Les fraudes à la création de compte, c’est quoi ?

Les fraudes à la création de compte, également appelées fraudes aux nouveaux comptes (NAF) ou fraudes aux faux comptes, consistent pour des fraudeurs à créer des comptes sur des services en ligne avec une intention malveillante.

Les fraudeurs s’engagent dans cette activité de plusieurs manières et pour des raisons différentes (et nous les détaillerons ci-dessous), mais l’idée générale reste la même :

• Un fraudeur crée des comptes sur un service en ligne avec l’intention malveillante d’utiliser des informations d’identité fausses ou volées.

 

• Un fraudeur utilise de faux comptes pour mener des activités frauduleuses pour monétiser (directement ou indirectement).

Les tactiques de fraudes à la création de compte varient entre différents services en ligne en fonction des informations nécessaires pour créer le compte, des procédures de vérification des informations et éventuellement de la manière dont ces comptes peuvent être utilisés pour une activité illégitime. Voici quelques exemples de différences entre services :

• Plateformes de jeu en ligne : Parfois, il suffit d’une adresse électronique valide pour créer un compte. Une fois créé, un faux compte peut être utilisé, par exemple, pour envoyer des spams à d’autres joueurs ou pour gagner des avantages dans le jeu, qui peuvent ensuite être transférés.

 

• E-commerce et vente en ligne : Une adresse électronique et des informations de base comme le genre et le nom suffisent pour créer un compte. Un faux compte peut être utilisé, par exemple, pour tester une carte de crédit (c’est-à-dire simplement pour vérifier que les détails du compte et de la carte bancaire soient valides) ou dans le cadre d’un chaînage des comptes de référence pour collecter des bonus de référence.

 

• Services financiers : Pour créer un compte, il faut en général fournir des informations détaillées telles qu’une adresse postale, un numéro de téléphone et un numéro de sécurité sociale. Un faux compte peut être utilisé, par exemple, pour accéder à un crédit.

Un acteur malveillant parcourt le flux d’enregistrement de compte en utilisant des informations fausses ou volées d’un compte, en procédant de la manière suivante :

• Informations de compte volées ou vol d’identité : Le fraudeur utilise des informations de personnes réelles, comme un nom et une adresse électronique qui sont réelles et qui correspondent. Dans ce cas, en plus du fournisseur de service, le vrai propriétaire de cette identité est également une victime.

 

• Informations de compte fausses ou identités synthétiques : Le fraudeur utilise des informations d’identité fausses ou des informations d’identité partiellement réelles (comme un vrai nom et une vraie pièce d’identité avec une fausse adresse électronique et un faux numéro de téléphone).

En fonction du flux d’enregistrement pour le service en particulier, le fraudeur pourrait devoir affronter des processus de vérification comme la vérification de l’adresse électronique ou du numéro de téléphone. Le fraudeur utilisera des informations qu’il peut vérifier, ce qui peut le pousser à utiliser des services en ligne qui fournissent des adresses électroniques et des numéros de téléphone virtuels/factices. Ou, dans le cas d’une attaque plus sophistiquée, le fraudeur pourrait commencer par accéder à l’adresse électronique ou au téléphone de la victime ou encore utiliser l’ingénierie sociale pour piéger la victime et vérifier les informations relatives à son compte.

Une fois que le fraudeur a réussi à créer le compte, il peut l’utiliser pour mener des activités illégitimes, ou vendre ce compte sur des forums du dark web pour que d’autres l’exploitent. Selon le service concerné, l’arnaque et les objectifs du fraudeur (par ex. envoyer des spams, tester des cartes de crédit, obtenir des crédits et des promotions), il se connectera au compte et l’utilisera pour atteindre son objectif.

Dans plusieurs cas, en fonction de l’échelle, les fraudeurs peuvent utiliser des bots pour enregistrer plusieurs comptes sur une courte durée avec un minimum de main d’œuvre humaine. Cela signifie que le fraudeur, un opérateur bot dans ce cas, prépare une liste d’informations sur le compte devant être utilisées par le bot et fournir cette liste comme une entrée dans le bot. Le bot enregistre alors les comptes en les suivant.

Il existe plusieurs approches pour détecter une fraude à la création de compte.

1. Évaluation des informations sur le compte : Les fournisseurs tiers peuvent vérifier la validité des informations fournies. Par exemple, il existe des services pour comparer les informations aux données publiques, vérifier la réputation des adresses électroniques/numéros de téléphone, ou forcer la vérification des adresses électroniques/numéros de téléphone en utilisant une vérification hors-ligne (par ex. Un OTP envoyé à une adresse électronique/un numéro de téléphone).

 

2. Évaluation de la transaction : Le risque/la légitimité d’une tentative de création de compte peut être évalué en comparant les informations sur le compte et les attributs de l’appareil et du réseau (par ex. adresse IP, emplacement, langues).

 

3. Évaluation du comportement : Le risque/la légitimité d’une tentative de création de compte peut être évalué en s’appuyant sur les attributs comportementaux de l’utilisateur lors du parcours de création du compte. Les anomalies comportementales incluent les créations répétées de comptes depuis le même appareil ou les schémas comportementaux qui montrent que l’utilisateur ne connaît pas les informations du compte (par ex., un utilisateur doit savoir taper son propre nom, son identité et son adresse électronique sans accroc). Le comportement de l’utilisateur après avoir créé le compte reflète aussi son intention. Par exemple, si l’utilisateur crée immédiatement des codes de référence et les utilise pour créer d’autres comptes, c’est le signe d’une intention d’abuser des références.

 

4. La détection des bots : comme indiqué ci-dessus, les bots sont souvent utilisés pour évoluer vers une fraude à la création de compte. Utiliser la détection de bot lors du parcours de création du compte peut permettre de détecter ces bots.

Les fraudes par création de compte peuvent être empêchées en bloquant ou en ajoutant des difficultés lors du flux de création de compte en fonction du niveau de risque fourni en utilisant les méthodes de détection décrites ci-dessus. Parmi ces difficultés, il peut s’agir d’inclure des mesures de vérification des comptes comme la vérification de l’adresse électronique/du numéro de téléphone et le recours à des services de vérification des identités (par ex. PingOne Verify).

Appliquer la détection des fraudes et l’évaluation des risques dans le cadre des parcours et des transactions de l’utilisateur au-delà du processus de création de compte peut également empêcher la monétisation des comptes illégitimes par les fraudeurs (s’ils parviennent à créer un compte sans être pris). Parmi les exemples figurent l’évaluation des risques lorsqu’un compte est utilisé comme référence ou lorsqu’une méthode de paiement est ajoutée à un compte. Les modèles de détection et d’évaluation des risques de fraudes identifieront l’utilisation du compte comme illégitime en s’appuyant sur les données collectées lors de la création du compte ainsi que sur les données collectées lors du parcours et des transactions de l’utilisateur après avoir créé le compte.

Il n’existe pas d’approche unique permettant de couvrir les fraudes de création de compte pour tous les services. La meilleure manière de procéder est de combiner plusieurs approches. Ping peut procéder à la vérification des informations d’un compte avec PingOne Verify. PingOne Fraud et PingOne Risk couvrent l’évaluation des transactions, l’évaluation des comportements et la détection des bots. DaVinci peut être utilisé pour orchestrer la détection et l’application, notamment les connexions avec des fournisseurs tiers.