Identifier et prévenir les fraudes dans le commerce en ligne

08 / 09 / 2022

Il n'est pas toujours facile pour les commerçants en ligne de démasquer les différents stratagèmes des escrocs. Vous découvrirez dans ce blog quels sont les types d'escroquerie les plus fréquents et comment vous pouvez vous en protéger afin d'éviter les préjudices financiers.

woman working on the laptop

Comment protéger ma boutique en ligne contre les fraudeurs ?

La pandémie de Covid-19 a entraîné un boom du commerce en ligne dont on ne peut que se réjouir. Malheureusement, les tentatives de fraudes en ligne ont aussi augmenté, car les cybercriminels s'efforcent de profiter de cette aubaine. Il n'est pas toujours facile pour les commerçants en ligne de détecter les différentes tactiques des escrocs. Si la fraude entraîne un non-paiement, les frais peuvent être très élevés pour vous, gestionnaire de boutique en ligne. Dans de nombreux cas pourtant, les fraudes pourraient être déjouées, si les anomalies de la commande ou du processus de commande étaient détectées au préalable. Cela exige une vigilance accrue lors du traitement des commandes et effectué des contrôles précis et efficaces.

Dans ce blog Saferpay, découvrez comment les fraudeurs procèdent, comment ils peuvent être identifiés et comment vous, commerçant, vous pouvez vous protéger contre la fraude et éviter ainsi des préjudices financiers.

 

Les 4 types de fraude les plus fréquents dans l'e-commerce

Pour ne pas tomber dans les filets des fraudeurs et se prémunir efficacement en tant que commerçant contre les tentatives de fraude et de manipulation, il est important de connaître les différentes stratagèmes de fraude et de pouvoir ainsi agir dès les premiers signes.
 

1. Vol des données de carte
 

Les données nécessaires à un paiement e-commerce, telles que le numéro de carte, le nom, la date d'expiration et le numéro de vérification de la carte, peuvent facilement être « dérobées », car elles sont imprimées sur la carte de manière bien visible pour tous. Il suffit d'un bref moment d'inattention, à la réception de l'hôtel ou au bar de la plage par exemple, pour qu'un fraudeur habile puisse prendre une photo de la carte sans se faire remarquer. En ligne également, il y a des risques sérieux que les données de la carte tombent entre des mains malhonnêtes: par hameçonnage, par exemple, lorsqu'un titulaire de carte saisit par inadvertance les données de sa carte sur un site web non sécurisé où les personnes malintentionnées peuvent les récupérer, ou bien lorsque les données de la carte déjà enregistrées sur un site sont piratées.

Après le piratage réussi d'un commerçant en ligne, les données de carte volées sont souvent proposées sur le marché noir du Darknet. Là, les escrocs en ligne peuvent les acquérir de manière anonyme. Toutefois, les données de cartes piratées en ligne sont le plus souvent incomplètes, car le numéro de vérification de la carte ne doit jamais être enregistré par les commerçants et les prestataires de services de paiement (comme Saferpay). Les escrocs essaient donc souvent de deviner les données manquantes en effectuant de nombreuses tentatives de paiement. Pour ce faire, ils saisissent un petit montant de transaction afin de ne pas attirer inutilement l'attention. Si les escrocs ont toutes les données d'une carte, y compris le numéro de vérification, il faut alors s'attendre à des transactions de montants importants.

Soyez attentif aux indices suivants :

  • Nombre élevé de tentatives d'achat d'un montant de transaction en général bas ayant échouées
  • Le nom du titulaire de la carte ne correspond pas au nom de l'adresse de livraison
  • Montant de la transaction inhabituellement élevé
     

2. Fraude par prise de contrôle de compte
 

Il y a fraude par prise de contrôle de compte (« Account Takeover » ou ATO) lorsqu'un fraudeur obtient l'accès au profil d'un client dans votre boutique en ligne. Il peut ainsi effectuer des achats au nom de votre client avec le moyen de paiement enregistré dans la boutique. Ce type d'usurpation d'identité est par exemple possible si votre client a choisi un mot de passe facile à deviner ou si le mot de passe de son compte e-commerce a pu être piraté par une attaque d’ hameçonnage. Un fraudeur, ayant piraté le compte e-mail d'un de vos clients, peut également accéder au profil de ce dernier dans votre boutique en ligne et causer des préjudices financiers.

Soyez attentif aux indices suivants :

  • Un client effectue des tentatives de connexion très fréquentes
  • Le mot de passe du compte du client a été récemment réinitialisé
  • Le nom ou l'adresse du client a changé
  • Le nom du titulaire de la carte ne correspond pas au nom de l'adresse de livraison
     

3. Escroquerie par réservation
 

Pour les escrocs, le plus simple et le plus pratique est de recevoir directement de l'argent plutôt que de commander des marchandises au nom d'un client. C'est pourquoi ils apprécient particulièrement la fraude à la réservation, notamment dans le secteur hôtelier : les données d'une carte volée sont utilisées pour réserver un séjour prolongé à l'hôtel, puis ce séjour est annulé sous un prétexte quelconque, et on demande à être remboursé sur une autre carte de crédit ou sur un autre compte. Le titulaire légitime de la carte demandera également un remboursement dès qu'il se rendra compte du préjudice.

Soyez attentif aux indices suivants :

  • Le niveau élevé du montant est suspect
  • Remboursement demandé sur un autre moyen de paiement que celui utilisé pour le paiement de la réservation
  • Données client différentes, par ex. communication via une autre adresse e-mail
  • Les raisons invoquées pour l'annulation de la réservation sont souvent les mêmes : une maladie, un accident ou une urgence médicale dans la famille
     

4. Fraude amicale
 

Il y a fraude amicale (« Friendly fraud ») lorsqu'un client demande une rétrofacturation (chargeback), au lieu d'un remboursement par le commerçant, pour des achats en ligne payés avec une carte de crédit ou de débit. Dans la plupart des cas, il n'y a pas d'intention frauduleuse. Par exemple, un article est commandé en ligne, mais, plus tard, lorsque le titulaire de la carte consulte son décompte de carte, il ne se souvient pas de l'opération. Il réclame alors un remboursement. Ou bien, l'achat a été effectué par un enfant sans surveillance qui a eu accès à un appareil sur lequel sont stockées des données de carte de crédit. Dans certains cas, il arrive pourtant que des clients nient tout simplement avoir reçu la marchandise, cherchant ainsi à obtenir une compensation. Malheureusement, il est difficile de détecter ces cas isolés.

Soyez attentif aux indices suivants :

  • Difficultés répétées avec le même client
  • Risque accru pour les biens numériques et les achats intégrés

 

Authentification forte du client contre la fraude en ligne

Les prestataires de services de paiement et les banques misent sur l'authentification forte des clients (« Strong Customer Authentication » ou SCA) par authentification à deux facteurs pour lutter contre la fraude en ligne : en plus de la saisie des données de la carte ou d'une connexion Wallet, un autre facteur (téléphone portable, mot de passe, empreinte digitale, etc.) est demandé pour vérifier l'identité du payeur. Avec une authentification forte du client la fraude est très improbable.

Avec Saferpay, les commerçants en ligne peuvent obliger un client à effectuer une authentification forte pour les moyens de paiement 3-D Secure, tels que Visa et Mastercard, en mettant le drapeau « ThreeDsChallenge » sur « FORCE » dans l'API. Cela est conseillé si vous savez, avant même la demande d'autorisation, qu'il s'agit d'une transaction particulièrement risquée (par exemple un montant de transaction inhabituellement élevé) ou si vous avez constaté des activités suspectes indiquant un probable vol de données de carte ou une usurpation d'identité.

Vous trouverez plus de détails sur le drapeau « ThreeDsChallenge » dans notre documentation API et dans le Guide d'intégration GuideSaferpay au chapitre 3-D Secure – Paramètres optionnels.

 

Transfert de responsabilité : qui paie en cas de dommage ?

En règle générale, c'est vous, le commerçant, qui assumez l'intégralité du risque en cas de fraude en ligne, et donc aussi les frais. Il y a transfert de responsabilité (« Liability Shift ») seulement si l'émetteur de la carte ou le prestataire de services de paiement se déclare prêt à assumer la responsabilité pour une transaction, au coup par coup. Avec les paiements 3-D Secure, vous bénéficiez presque toujours, en tant que commerçant, d'un transfert de responsabilité et vous êtes donc en sécurité. Vous courez un risque avec les moyens de paiement sans authentification forte du client et 3-D Secure, avec les paiements en dehors de l'espace PSD2 (où 3-D Secure n'est pas supporté par tous les émetteurs) ainsi que dans les cas exceptionnels et dérogations demandés par le commerçant.

En principe, s'il y a transfert de responsabilité, c'est le prestataire de services de paiement qui prendra les frais à sa charge en cas de rétrofacturation (chargeback). Mais le transfert de responsabilité ne garantit pas qu'il ne s'agit pas d'une fraude !

Identifier le transfert de responsabilité et l'authentification forte du client dans Saferpay

Transaction image

Dans le Backoffice Saferpay, au niveau des détails de la transaction, vous pouvez voir le transfert de responsabilité et l'authentification forte du client :

  • Dans la première section Détails de paiement le champ transfert de responsabilité indique s'il y a transfert de responsabilité. Exemple : « oui (Visa Secure) »
  • S'il s'agit d'un paiement 3-D Secure, d'autres détails sont affichés dans la section Authentification 3-D Secure 
  • Le champ Type d'authentification indique si une authentification forte du client a été effectuée. Exemple : « forte ».

 

Recommandations générales pour prévenir la fraude en ligne

Soyez attentif aux caractéristiques suivantes :

  • Le montant de la transaction est-il inhabituellement élevé ?
  • Bénéficiez-vous d'un transfert de responsabilité ?
  • Une authentification forte du client a-t-elle été effectuée ?
  • Y a-t-il eu plusieurs transactions avec le même moyen de paiement ou par le même client en peu de temps ?
  • Y a-t-il eu des modifications de compte qui pourraient indiquer une usurpation d'identité ou une fuite des données de la carte ?
  • Le pays émetteur de la carte correspond-il au pays de l'adresse IP et de l'adresse de livraison ?
  • L'adresse de livraison se trouve-t-elle dans un pays vers lequel vous n'expédiez normalement pas ou rarement ?
  • S'agit-il d'un nouveau client qui utilise une adresse e-mail combinant des chiffres et des lettres (par ex. skyblue123@gmail.com) d'un fournisseur d'accès gratuit ?
     

Ce que vous pouvez faire :

  1. Par principe, effectuez toujours les remboursements sur le moyen de paiement utilisé lors du paiement.
  2. Si votre gamme contient des articles présentant un risque élevé à susciter la fraude, vous pouvez forcer l'authentification forte du client avec le drapeau ThreeDsChallenge lors de la vente d’articles aux montants inhabituellement élevés.
  3. Vérifiez l'authenticité des données de la carte et effectuez une vérification de l'adresse à l'aide du formulaire Vérification des données relatives au titulaire de la carte.
  4. Si possible, demandez à vos clients de répéter le paiement avec un autre moyen de paiement (le cas échéant, avec le drapeau ThreeDsChallenge activé).
  5. Essayez d'identifier les transactions particulièrement risquées et examinez-les de plus près. Vous trouverez de nombreuses informations utiles à ce sujet dans les détails de la transaction dans le Backoffice Saferpay, par exemple le pays de l'adresse IP de l'acheteur et le pays de l'émetteur de la carte.

 

Que faire en cas de fraude ?

Même avec un contrôle minutieux, il peut arriver qu'un rejet de débit soit dû à une fraude. Tant que cela reste un cas isolé, cela ne pose pas de problème. La situation devient toutefois critique si les frais engendrés par la fraude réduisent sensiblement votre chiffre d'affaires ou si les sociétés exploitantes de cartes exigent des pénalités en raison du nombre élevé de fraudes.

Les mesures possibles suivantes vous aideront à agir correctement en cas de fraude, sans perdre de temps inutilement :

  • Vous observez un nombre anormalement élevé de tentatives de paiement avec certaines cartes : appelez le numéro d'appel central des cartes de crédit de votre pays pour faire part de vos soupçons que les données des carte pourraient être tombées entre des mains malhonnêtes. Jusqu'à l’obtention de la réponse, vous pouvez bloquer les numéros des cartes concernées dans le Backoffice Saferpay, dans la Configuration Gestion des risques. Si les demandes de paiement proviennent d'une seule adresse IP, vous pouvez également la bloquer dans la Gestion des risques afin qu'aucun autre paiement en provenance de cette adresse ne soit accepté.

  • Si vous avez eu de mauvaises expériences avec un client, vous pouvez envisager, pour ses futures transactions, de lui imposer une authentification forte avec le drapeau ThreeDsChallenge ce qui empêchera efficacement de nombreux cas de fraude amicale. Si la collaboration avec un client ne fonctionne pas, vous pouvez bloquer d'emblée le moyen de paiement de ce client pour des transactions futures dans la Gestion des risques de Saferpay.

  • Si vous constatez que vous subissez des fraudes répétées dans des pays où vous vendez habituellement peu, vous pouvez envisager de bloquer complètement ces pays dans le Backoffice Saferpay. La Gestion des risques de Saferpay permet de bloquer non seulement un pays de provenance pour une carte mais aussi pour l'adresse IP utilisée par un acheteur.

Nous sommes là pour vous conseiller et vous aider

Une analyse de risque manuelle approfondie est coûteuse et souvent impossible à réaliser de manière rentable chez les grands commerçants. Si vous souhaitez réduire votre taux de fraude, nous vous aidons volontiers à le faire. Qu'il s'agisse d'un problème de fraude en cours ou que vous souhaitiez protéger et optimiser encore davantage votre chiffre d'affaires, bien que le taux de fraude est faible. Nous avons la solution adaptée à vos besoins : n'hésitez pas à nous contacter !

fraud_eu@worldline.com (Europe)
fraud@worldline.com (Suisse)

Worldline Discovery Hub

For more information, contact david.daly@worldline.com