Tout ce que vous devez savoir sur la fraude en ligne

En raison de la pandémie mondiale, de plus en plus de gens sont restés chez eux. Ceci a entrainé une forte croissance des ventes en ligne, en particulier pour les secteurs de la banque et de la distribution, mais aussi des livraisons de produits alimentaires, de l’enseignement, des services de streaming, des ventes en pharmacie, de la télémédecine, et bien d’autres encore.

La Conférence des Nations unies sur le Commerce et le Développement a annoncé qu’en 2020 le commerce en ligne s’est accru pour représenter 19 % des ventes mondiales de la distribution, et dans les seuls États-Unis les ventes en ligne ont augmenté de 105 milliards de dollars, ce qui représente une croissance de près de 40 % au premier trimestre 2021.

La fraude en ligne, notamment la cybercriminalité et les escroqueries, a augmenté au même rythme que cette croissance. Et la fraude a augmenté en volume mais aussi en sophistication. Aux troisième et quatrièmes trimestres 2020, les attaques sophistiquées ciblant les commerçants ont augmenté pour atteindre 76 % de l’ensemble des attaques. Ces types d’attaque sont plus lents mais plus difficiles à détecter, car ils tentent d’imiter le comportement humain. Et en raison de l’évolution des fraudes, les entreprises ont indiqué avoir plus de difficultés à les combattre.

Source

Source

Source

La fraude continuera de gagner en volume et en sophistication à un rythme égal ou supérieur à celui de la croissance du commerce en ligne. Les gouvernements se précipitent pour s’adapter aux changements nécessaires du droit du cyberespace afin de condamner les pirates, mais la meilleure option consiste en premier lieu à empêcher les fraudes.

La fraude est une tromperie ou une représentation incorrecte, une déformation de la vérité pour convaincre quelqu’un se séparer de quelque chose de valeur ou de céder des droits. La fraude en ligne englobe à la fois la fraude financière et le vol d’identité sur les canaux numériques, tels que les sites Internet ou les applications mobiles. Elle est généralement réalisée par un criminel cachant des informations ou fournissant des informations incorrectes pour voler des informations, des produits ou de l’argent à ses victimes.

La fraude en ligne nuit aux entreprises et aux consommateurs. Les entreprises perdent de l’argent et doivent répercuter ces coûts sur les clients. Elles doivent également prendre des mesures pour veiller à ce que chaque transaction potentielle soit légitime. Cela peut représenter une charge non voulue par les clients pour prouver qu’ils n’essaient pas de frauder.

Les cybercriminels sont créatifs et ils disposent d’une myriade de moyens pour escroquer des personnes ou des entreprises. Lorsque les méthodes de prévention et de détection des fraudes évoluent pour ralentir ou arrêter des programmes spécifiques qu’ils utilisent, ils modifient leur approche afin de contourner cette technique de détection.

La capacité des cybercriminels à s’adapter lorsque leurs techniques sont exposées et expliquées signifie que les solutions de détection de fraude classiques ont du mal à détecter les signes révélateurs d’une activité frauduleuse.

Les criminels qui fraudent procèdent généralement par des moyens manuels ou automatisés. Les tentatives manuelles impliquent des personnes qui utilisent Internet pour pirater des systèmes ou obtenir un accès à des informations qu’ils utilisent pour se faire passer pour des utilisateurs légitimes. Les tentatives automatisées impliquent des bots de programmation ou des émulateurs visant à accélérer et intensifier les efforts pour accéder à des systèmes et des informations, puis les utiliser.

Les bots et les scripts automatisés effectuent des tâches simples, répétitives, rapidement et à grande échelle. Les émulateurs sont des programmes qui imitent les appareils mobiles depuis des ordinateurs de bureau. Ils sont utilisés séparément dans la plupart des cas, mais ils peuvent être combinés.

Certaines de ces approches incluent :

• Le piratage de compte (Account takeover, ATO) utilise des comptes existants, légitimes et leurs informations de cartes de crédit stockées (ou volées) et leurs points de fidélité. Un pirate accède au compte, fait des achats et peut utiliser ou revendre la marchandise, demander à être remboursé ou rétrofacturer un commerçant. La compromission de messagerie d’entreprise (business e-mail compromise, BEC) constitue une forme de piratage de compte où une personne obtient un accès illicite à un compte de messagerie de l’entreprise et réalise des transferts de fonds non autorisés. En 2020, il s’agissait de la forme de fraude la plus coûteuse, entraînant des pertes de 1,8 milliard de dollars.

Source

• L’ouverture frauduleuse de compte ou les attaques de création de compte configurent de nouveaux comptes avec des informations de cartes de crédit volées pour payer, souvent en dilapidant des coupons, des points de fidélité et des programmes de référence pour effectuer des achats. Ces attaques peuvent demander des remboursements et appliquent toujours des rejets de débit aux commerçants.
  

Source

• La fraude aux paiements, ou aux commandes en tant qu’invité, permet d’utiliser les informations de cartes de crédit volées et l’option de paiement en tant qu’invité sur les sites Internet pour les clients qui ne souhaitent pas créer un compte. Cela permet aux pirates de contourner les contrôles d’identité lorsqu’ils utilisent des informations de cartes de crédit volées. Ils utilisent souvent des bots pour automatiser le test des numéros de la carte volée sur un site Internet, puis ils utilisent manuellement ces mêmes informations de carte sur différents sites (parfois des semaines plus tard) ainsi que les codes de réduction afin de se faire passer pour des clients légitimes. Cette technique est également appelée « fraude sans présence de carte » (CNP fraud en anglais).
  

Source

Il existe également des attaques non frauduleuses et n’étant pas illégales, mais qui nuisent aux commerçants en ligne et à leurs clients.

• Les abus de caisse sont l’équivalent du trafic de tickets pour la vente en ligne et cette technique est utilisée pour faire cela, entre autres choses. Les pirates utilisent un script automatisé pour acheter un volume de produits haut de gamme en édition limitée, en quelques minutes ou secondes, épuisant ainsi les stocks de commerçants légitimes. Ils revendent ensuite ces articles à des prix bien plus élevés.
  
  
• L’accaparement des stocks consiste à utiliser des bots qui vont placer des produits dans les paniers d’achats, faussant ainsi les données d’inventaire et faisant paraître les produits comme étant en rupture de stock. Ces bots peuvent également rediriger les clients vers les sites Internet des concurrents pendant des périodes commerciales intensives comme le Black Friday et en période de fêtes. Les bots peuvent vider les stocks d’un article en à peine deux secondes, et jusqu’à 20 % du trafic vers les paniers d’achats en ligne provient des bots malveillants.

Étant donné que les pirates ont développé des techniques de plus en plus élaborées et agiles pour répondre aux mesures de détection et de blocage de leurs programmes, les approches de détection de fraude classiques peinent à détecter ces techniques plus complexes. Les pirates s’efforcent à un rythme croissant de contourner les outils de détection en se faisant passer pour des clients légitimes.

La vente de détail en ligne, les services de streaming, les réseaux sociaux, les services financiers et de divertissement sont les principaux secteurs visés par les fraudes via le piratage de comptes.

Les établissements financiers et les émetteurs sont la cible fréquente de la fraude aux nouveaux comptes, en particulier pour les cartes de crédit, les comptes en ligne et les prêts.

Les abus de caisse sont pratiqués contre les détaillants au moyen de sneaker bots, de ticketing bots et de grinch ou jingle bots. Ils agissent souvent contre les conditions générales d’un site.

La fraude à la caisse, ou la fraude au paiement en tant qu’invité, vise principalement les détaillants. Cette technique est favorisée par les informations de cartes de crédit volées disponibles, qui ont triplé au cours de l’année 2019 pour atteindre plus de 76 millions de dossiers. Les commerçants ont une raison majeure pour continuer à proposer une option de paiement en tant qu’invité sur leur site Internet. En effet, la deuxième raison la plus fréquente d’abandon de panier est lorsqu’un site demande à un client de créer un compte.

Face à la croissance exponentielle des opérations en ligne et à l’explosion des types et de la quantité des tentatives de fraude, la question n’est pas si, mais quand. Si vous vendez activement des produits ou des services sur Internet, vous avez déjà été ou vous finirez par être la cible d’activités frauduleuses tentées par des cybercriminels.

Alors que de nouvelles tendances de fraude émergent, il est primordial d’examiner vos données soumises au risque de fraude afin de comprendre et de vous protéger contre des schémas comportementaux frauduleux.

La meilleure manière de comprendre la portée d’un piratage de compte, de la fraude au nouveau comptes et des autres attaques frauduleuses est d’analyser les actions de chaque pirate sur votre site. Analysez leurs mouvements et leurs comportements en recherchant des tendances inhabituelles, non humaines, tout – y compris les frappes de touches, le défilement, les mouvements de souris, la manière dont ils interagissent avec les écrans tactiles, la manière dont ils tiennent l’appareil et le degré de pression qu’ils appliquent sur l’écran.

Toutes ces données sur le comportement qui enrichissent les données que vous collectez déjà signifie moins de sessions passées à un examen manuel.

Utilisez des outils pour réduire les examens manuels

La détection des fraudes est largement automatisée, avec des sessions signalées gérées par des examinateurs manuels qui passent en revue la session afin de déterminer si une activité frauduleuse se prépare ou s’il s’agit d’un faux positif. Ceci retarde les commandes et ralentit les flux, en particulier si les examinateurs analyses une multitude de sessions.

La mise en place d’un outil de détection des fraudes fournit une visibilité sur les schémas comportementaux qui déclenchent des alertes. Accorder une plus grande confiance à la détection automatique permet de réduire les commandes signalées pour être examinées manuellement. Ainsi, les examinateurs peuvent se concentrer sur des questions plus importantes.

Surveillez les comportements pour détecter plus tôt les fraudes

La fraude est un phénomène complexe. Des tendances émergentes telles que le piratage de comptes sont plus compliquées que la fraude au paiement, car lorsqu’une fraude au paiement a lieu, l’acheteur perçoit un débit compensatoire et ne perd donc pas d’argent. Une fraude plus élaborée nécessite une compréhension plus approfondie de vos données.

La surveillance en continu des données comportementales sur toutes les sessions d’utilisateurs permet de détecter les fraudes plus tôt. La fraude est alors détectée dès qu’elle se manifeste et les données collectées contribuent à optimiser la détection des fraudes et à réduire le nombre d’incidents qui aboutissent ou qui nécessitent un examen manuel.

Une détection à temps réduit les incidents et la friction

En réduisant le temps dont disposent les bots pour effectuer du bourrage d’identifiants, les pirates sont contraints d’explorer manuellement et de monétiser un compte. Cela réduit la fréquence et l’impact d’une attaque frauduleuse. L’analyse complète de chaque expérience utilisateur permet une détection précoce et minimise les incidents de fraude sur l’ensemble de votre site.

Entre-temps, une détection précise, à temps, et une diminution des faux positifs réduit la friction pour les clients légitimes et leur permet de poursuivre leur expérience en toute efficacité. L’expérience utilisateur est ainsi améliorée grâce à la réduction significative des événements tels que les CAPTCHA.

Les analystes de la fraude examinent en contexte les informations actuelles et passées associées à un utilisateur, un appareil et une IP afin de déterminer si une session d’utilisateur ou une transaction donnée présente un risque ou est légitime. Cela leur permet d’analyser non seulement des transactions mais également le comportement précédant ces transactions, apportant ainsi un éclairage sur les indicateurs de fraude qui étaient ignorés auparavant.

Par exemple, en regardant le parcours d’un utilisateur au sein d’une session, les mouvements de souris, l’utilisation du copier-coller, le remplissage automatique, etc., tout ceci fournit des informations sur le comportement d’un utilisateur et permet à l’analyste d’identifier les activités frauduleuses avec une plus grande précision et plus tôt. Les comportements inconscients tels que les clics et les mouvements de souris, le défilement et bien d’autres paraissent différents selon qu’ils sont effectués par une personne ou par un bot ou un script. Les comportements conscients (la navigation, les actions et leur ordre, la vitesse et bien d’autres) révèlent l’intention d’un utilisateur. Ceux-ci montrent également des différences flagrantes selon qu’il s’agisse d’un humain ou d’un bot.

Sans les données de l’expérience complète d’un pirate, il est difficile d’éliminer les faux positifs. Par exemple, si un outil réalise uniquement des analyses de transaction, le temps qu’une transaction soit identifiée comme étant une fraude, il est trop tard, le mal est fait. Il existe un grand laps de temps entre la session initiale, lorsqu’un utilisateur accède pour la première fois à un site Internet ou une application mobile, et lorsque l’utilisateur quitte ce site ou cette application. Ce laps de temps offre aux cybercriminels tout le temps dont ils ont besoin pour vous escroquer.

Ce manque d’informations quant à ce qu’il se passe exactement pendant une session est le point à traiter. Lorsque vous collectez des données dynamiques en continu tout au long du parcours d’un utilisateur, vous pouvez identifier les vulnérabilités exploitées et détecter et arrêter les tentatives de fraude avant qu’elles ne produisent des dégâts.

Grâce à l’analyse des données tout au long du parcours d’un utilisateur au moyen d’une surveillance continue, les efforts des pirates peuvent être repérés bien avant le règlement. Les pirates sont ainsi pris en flagrant délit et les examinateurs manuels identifient les schémas qu’ils peuvent rechercher lorsqu’ils cherchent à savoir si une situation particulière présente un risque de fraude ou non.

L’analyse des données comportementales donne un aperçu de ce à quoi ressemble un comportement frauduleux, elle fournit par ailleurs des informations détaillées quant à la manière de procéder avec ces données afin de créer une expérience plus sûre et plus efficace pour vos clients.

Comment puis-je faire en sorte que l’expérience utilisateur ne soit pas affectée négativement ?

Tout simplement, n’interrompez pas vos clients et ne les considérez pas comme des criminels. Ils sont prompts à abandonner leur panier d’achats ou à passer sur un site Internet concurrent s’ils font fasse à des mesures intrusives visant à éviter les fraudes qui les considèrent eux-mêmes comme une menace potentielle.

Plus vous facilitez la réalisation d’une transaction, plus ils seront susceptibles de la faire aboutir et de revenir à l’avenir. Améliorez l’expérience utilisateur en éliminant les mesures d’authentification intrusives telles que les CAPTCHA ou en collectant des données personnelles (Personal Identifiable Information, PII).

Cela signifie que vous devez surveillez les comportements et évaluer les risques d’une potentielle fraude sans toutefois gêner activement les utilisateurs. Votre solution de prévention des fraudes idéale offre une expérience fluide pour vos clients pendant leurs achats, et assure une détection des fraudes invisible, mais efficace.

Les fonctionnalités que vous devez rechercher dans une solution incluent :

• Une visibilité complète tout au long du parcours des utilisateurs
  Une transparence des données complète vous aide à comprendre pourquoi un comportement frauduleux est identifié. En collectant des données comportementales et d’appareil, toutes les actions effectuées tout au long de l’expérience d’un utilisateur sont à votre portée.
  
  
• Un outil d’intégration adaptatif et efficace
  Outre le fait de bénéficier d’une visibilité sur l’activité de chaque utilisateur, il est utile que votre solution s’adapte à l’environnement en constante évolution des comportements et des schémas frauduleux en toute efficacité. Lorsque les pirates appliquent de nouvelles méthodes ou adaptent les méthodes existantes pour détruire ou contourner vos obstacles, votre outil de prévention des fraudes doit être en mesure de suivre cette évolution et d’identifier les différences.
  
  
• Une collecte de données fluide, invisible pour le client
  Collectez les données comportementales tout au long de l’expérience utilisateur sans interrompre l’expérience de vos utilisateurs légitimes grâce à la surveillance des sessions.

Des solutions telles que PingOne Fraud fonctionnent en toute discrétion pour protéger votre entreprise sans gêner vos clients.

PingOne Fraud détecte et prévient la fraude en ligne en surveillant de manière continue les sessions de chaque utilisateur lorsqu’ils se connectent, bien avant qu’ils ajoutent des articles au panier et procèdent au règlement. Les sessions sont analysées à l’aide de l’apprentissage automatique pour évaluer la biométrie comportementale, la navigation et les attributs d’appareils afin de distinguer les utilisateurs légitimes des scripts, bots et émulateurs. En conséquence, la fraude en ligne est détectée et neutralisée presque avant qu’elle n’ait lieu, sans attendre l’étape du règlement.

La protection contre les fraudes est le prolongement naturel de nos efforts en matière de cybersécurité globale et de protection des identités. Il est important de savoir qui sont les clients et quand quelqu’un tente de se faire passer pour un client dans un but malveillant. De même que notre plateforme fonctionne pour assurer la sécurité des systèmes et des données de nos clients en détectant et empêchant les tentatives d’accès non autorisés, nous pensons que la meilleure manière de protéger votre entreprise contre la fraude est d’empêcher son apparition en premier lieu.

Les entreprises qui sont en cours de transformation numérique ont besoin de solutions d’identification fluides, mais sécurisées. La détection et la prévention des fraudes sont un élément clé supplémentaire dans nos solutions d’identification intelligentes visant à lutter contre les activités malveillantes des bots, des émulateurs et des personnes.

Il n’y a pas de meilleure façon de réduire les risques de fraude en ligne pour votre entreprise.

La fraude en ligne est une activité en plein essor. À mesure que les moyens pour contrer les cybercriminels se développent, ceux-ci se montrent de plus en plus créatifs dans leur tentatives pour passer inaperçus. Ils travaillent sans relâche à trouver de nouvelles façons de concevoir et d’exécuter des attaques. Les approches traditionnelles de détection des fraudes ne sont pas à la hauteur pour détecter les attaques élaborées qui existent aujourd’hui. Toutefois, un outil de prévention des fraudes performant qui exploite les données comportementales et d’appareils peut combler de nombreux fossés que d’autres solutions laissent à la portée des pirates.

PingOne Protect vous offre une protection de pointe contre les attaques grâce à une analyse comportementale sophistiquée qui distingue les clients légitimes des actes frauduleux manuels ou automatisés, sans compliquer les transactions sérieuses pour vos clients.

Si vous vous souciez de la fraude en ligne et du coût qu’elle peut représenter pour votre entreprise, rendez-vous sur notre site Internet pour en savoir plus sur la réduction des risques de fraude au sein de votre entreprise.