E-commerce : quels sont les différents types de fraude en ligne ?
Depuis l'instauration de la DSP2, l'adoption de solutions d'authentification forte s'est généralisée chez les e-marchands pour renforcer la sécurité des paiements en ligne. Pour autant, de nouvelles techniques de fraude apparaissent, comment renforcer sa vigilance ?
Je m'abonne
Fraude en ligne, où en est-on ?
Face à un déploiement généralisé des solutions d'authentification forte sur les paiements en ligne (réception d'un code ou d'un mode de passe par SMS ou encore validation de la transaction par le biais de l'application mobile de sa banque), le constat est plutôt positif : les fraudes sur les paiements par internet sont en baisse en 2021, selon l'Observatoire de la sécurité des moyens de paiement.
Le coût n'est pour autant pas neutre pour les e-commerçants : en Europe, le coût de la fraude serait 3,49 fois supérieur au montant de chaque transaction perdue (source : LexisNexis Fraud Multiplier(TM)). Et cela impacte aussi la confiance que portent les consommateurs vis-à-vis des sites web sur lesquels ils achètent car pour beaucoup, la faute est en priorité rejetée sur le commerçant plutôt que sur les fraudeurs. Les enjeux sont alors multiples, notamment en ce qui concerne les fraudes à la carte bancaire : vérifier qu'il s'agit d'une personne et non d'un robot, mais aussi vérifier qu'il s'agit bien du propriétaire de la carte bancaire et non d'une usurpation d'identité !
Pour effectuer la première vérification, une bonne pratique est celle de la proposition d'un captcha au moment de la transaction, où le client est amené à inscrire une série de chiffres et de lettres ou encore à identifier un élément notable sur une photo.
1. La fraude au paiement par carte bancaire
"On constate ce type de fraude en particulier sur des petits montants - moins de 30 € - pour lesquels certains e-marchands font l'impasse sur l'étape d'authentification forte, notamment pour des raisons de simplification du parcours d'achat", explique David Le Dru, expert fraude chez Monext solution de paiement retail et en ligne.
Pas étonnant donc que les services par abonnement - streaming, jeux en ligne etc. - sont particulièrement exposés à cette technique de fraude, car il s'agit bien souvent de transaction de quelques euros. Selon une analyse de Stripe, spécialisée dans le paiement en ligne, les organisations caritatives sont touchées par cette arnaque. Là encore pour de mêmes raisons de petits montants de dons mais aussi par manque de ressources (experts fraude et outils).
En prévention, des règles de gestion de l'activité peuvent être mises en place comme celle de limiter le nombre de nouveaux clients par jour ou les achats provenant d'une même adresse IP sur une période donnée etc. L'intelligence artificielle peut aussi venir en soutien pour détecter des activités inhabituelles.
2. La fraude par manipulation
"Sur des montants plus importants, qui nécessitent une validation du détenteur de la carte, les techniques ont évolué vers de l'ingénierie sociale, où une véritable manipulation psychologique est opérée", constate David Ledru. L'escroquerie est de plus en plus élaborée, consistant à appeler la personne en se faisant passer pour son service bancaire ou le service fraude de sa banque. Le possesseur réel de la carte bancaire est alors amené à valider lui-même les informations et la transaction pensant au contraire l'empêcher !
La fraude commence donc le plus souvent par une recherche d'information pour simuler une pseudo "connaissance et proximité" avec la personne.
La bonne pratique : sensibiliser ses clients sur ces nouvelles approches de fraude avec pédagogie pour informer que ce type d'agissements existe.
3. La fraude au paiement en plusieurs fois
Face à des modes de paiement de plus en plus diversifiés, les cybercriminels continuent de faire évoluer leurs techniques de fraude. Avec le déploiement du paiement fractionné - en France, plus d'un tiers des consommateurs utilise le paiement fractionné pour s'équiper- les arnaques liées au paiement en plusieurs fois se sont donc multipliées.
"Ici, les utilisateurs paient la première échéance puis font opposition sur la carte ou vide le compte pour aboutir à une situation de non solvabilité des autres prélèvements", explique David Le Dru.
Mieux vaut donc être accompagné d'un partenaire solution robuste concernant la prise de risque ou de mieux scorer en amont les accords au paiement en plusieurs fois pour éviter les profils les plus à risque, d'autant que de plus en plus de ménages cumulent les paiements fractionnés (même pour des petits montants) , amenant à des situations de surendettement des ménages.
4. La fraude à la "pseudo" non réception des colis
Ici la tromperie consiste à faire mine de ne pas avoir reçu la commande pour effectuer une demande d'annulation de la transaction auprès du marchand ou auprès de la banque. Ou encore d'affirmer avoir effectué un retour alors que le produit est conservé.
D'où l'importance d'un process de suivi des commandes rigoureux : confirmation de la transaction, de l'adresse de livraison etc. mais aussi d'une politique de retour des produits claire, qui stipule que la démarche n'est possible qu'une fois le produit réceptionné.
5. L'usurpation du compte client
Enfin, la recommandation est à une sécurisation plus forte des espaces clients sur les sites marchands, pour ne pas que les consommateurs soient exposés à des piratages de leur compte, notamment via la récupération de leur mot de passe.
Quel attrait pour le fraudeur ? Celui notamment de récupérer des vouchers ou codes achetés, comme cela peut être le cas pour des enseignes qui proposent des bons d'achat via leur programme de fidélité ou l'achat de produits numériques comme des codes pour des jeux vidéo. On privilégiera donc les nouveaux modes d'authentification comme les social login, l'identification par biométrie ou encore le one time password avec un code ou lien à usage unique. Sinon, l'invitation à créer un mot de classe complexe, difficilement retrouvable, même par des bots.
Pour aller plus loin : Comment se protéger contre la fraude dans l'industrie du tourisme ?
