[Tribune] À l'ère du commerce en ligne, le vol à l'étalage est devenu numérique
Alors que le credential stuffing et le phishing touchent le business de la vente alimentaire en ligne, les enseignes de grande distribution doivent procéder à une analyse catégorielle des risques en termes de transactions frauduleuses.
Je m'abonneLa pandémie a contraint les acheteurs à radicalement modifier leurs comportements et cela est particulièrement évident dans le secteur alimentaire. L'e-commerce alimentaire a connu une forte accélération au cours des 12 derniers mois. Les chiffres avancés par Nielsen en partenariat avec la Fevad indiquent un taux de croissance jamais atteint, jusqu'à +98% sur la dernière semaine du premier confinement. Au total, 7,4 millions de français se sont mis à acheter leur alimentation en ligne entre janvier et septembre 2020. Si beaucoup ont opté pour ce canal à cause de la pandémie et de ses restrictions, il est probable que certains y aient pris goût et conservent cette habitude post-Covid.
Parallèlement à cette adoption massive, nous avons constaté une augmentation de la fraude en ligne. Les modes opératoires observés vont de la fraude à la carte bancaire (les fraudeurs passent des commandes de faibles montants sur les sites des supermarchés pour tester la validité des données de cartes volées) à des schémas de fraude plus sophistiqués ciblant directement les comptes clients. Cette dernière méthode est particulièrement appréciée des cybercriminels puisque des achats réglés via des points de fidélité auront moins tendance à éveiller les soupçons que ceux effectués par carte bancaire. Il est en effet très facile de se procurer des données de connexion volées sur le dark web: on y trouve de nombreuses listes de comptes clients rattachés à de grandes enseignes de supermarchés.
Nos recherches ont permis de trouver facilement de multiples listes disponibles à l'achat sur le dark web et contenant des informations de connexion aux comptes clients au sein de grandes chaînes de supermarchés.
En général, les fraudeurs se retrouvent en possession de ces données grâce au credential stuffing, utilisant des bots pour tester en masse des données obtenues suite à des incidents de piratage. Testées sur de multiples sites, celles qui fonctionnent sont ensuite revendues sur le dark web.
Pour obtenir des données de connexion valides, les cybercriminels utilisent également l'hameçonnage (phishing). Les victimes ciblées sont incitées à partager des informations confidentielles. D'après le rapport "State of the Phish" de Proofpoint, 48% d'entreprises françaises ont été victimes d'une attaque de phishing qu'elles n'ont pas été à même de bloquer en 2020.
L'une des raisons pour lesquelles ce type de fraude est devenu plus courant au cours des derniers mois est liée à la multiplication des modes de livraison (à domicile, drive et click and collect). Ces nouveaux canaux, souvent mis en place dans la précipitation, souffrent aujourd'hui de potentielles vulnérabilités: restrictions sanitaires, délais de vérification des commandes raccourcis, augmentation des volumes, autant de failles que les fraudeurs cherchent inévitablement à exploiter.
En dehors d'une preuve d'achat (numéro de commande, reçu, etc.) que les criminels peuvent obtenir s'ils ont pris le contrôle du compte client, la pièce d'identité et la signature sont rarement demandées pour récupérer la commande. De plus, les habitudes des consommateurs ayant fortement évolué, détecter la fraude en s'appuyant sur l'analyse comportementale n'est plus aussi fiable.
La flambée des achats en ligne a considérablement compliqué des équipes de vérification manuelle des commerçants. Comme l'instantanéité est reine et que les fraudeurs n'ont de cesse de perfectionner leur art, les analystes fraude doivent s'efforcer de trouver un équilibre délicat entre validation rapide des commandes, maintien d'une expérience client sans friction et, évidemment, prévention de la fraude. Cela conduit les commerçants à adopter une approche excessivement frileuse. En effet, les supermarchés peuvent annuler les commandes qu'ils considèrent frauduleuses, mais le risque est de rejeter des acheteurs légitimes. Ce genre de rejet frustre les clients... et les sites concurrents ne sont qu'à un clic.
Que peuvent faire les commerçants? Dans un premier temps, comprendre quelles sont les marchandises les plus visées. Actuellement, les produits pharmaceutiques et les alcools sont des cibles courantes car ils sont impérissables et faciles à revendre. Néanmoins, ces tendances peuvent évoluer avec le temps. L'essentiel est donc de repérer puis de surveiller les catégories les plus exposées. Deuxièmement, il est essentiel d'identifier et de confirmer que l'utilisateur d'un compte client en est bien le propriétaire légitime.
Les supermarchés subissent une pression énorme. Les commandes en ligne affluent et les clients s'attendent à être livrés rapidement. Les délais pour confirmer la légitimité de chaque commande manuellement sont tellement courts que ce n'est tout simplement pas réaliste, ou du moins, nécessite l'intervention d'un prestataire externe. De nombreux commerçants s'associent à des spécialistes de la prévention des fraudes qui sont au fait des dernières tendances en la matière et s'appuient sur la big data et l'intelligence artificielle pour stopper les schémas frauduleux les plus élaborés.
Avec l'avènement de l'e-commerce, le vol à l'étalage s'est transformé. Aujourd'hui, les supermarchés doivent tenir la cadence pour s'adapter, tirer profit de la révolution e-commerce, tout en se protégeant contre des menaces en constante évolution.
L'auteur
Emilie Grunzweig a rejoint Riskified en 2014, peu après la création de l'entreprise. En tant que directrice du service insights de Riskified, Emilie Grunzweig effectue des recherches sur les schémas de fraude CNP, les comportements d'achat en ligne et analyse les données relatives aux commandes afin de distiller des informations exploitables sur la gestion de la fraude.