Par Laurent Szpirglas, Regional Sales Manager France chez Ping Identity
La pandémie mondiale a obligé beaucoup de consommateurs à rester chez eux. Ceci a entraîné une nette augmentation des transactions en ligne, particulièrement dans les secteurs de la banque, de la distribution, mais aussi de la livraison de repas, de l’éducation, des services de streaming, de la télémédecine, pour ne citer que ceux-là.
La conférence des Nations Unies pour le commerce et le développement a indiqué que l’e-commerce a atteint 19% de l’ensemble des ventes de la grande distribution dans le monde en 2020, et dans les seuls Etats Unis, les ventes e-commerce se sont accrues de 105 Mrds$, ce qui représente une croissance de près de 40% au premier trimestre 2021.
La fraude en ligne – englobant le cyber crime et les arnaques – a augmenté dans la même proportion. Et les fraudes se sont accrues non seulement en nombre mais aussi en sophistication. Aux troisième et quatrième trimestres 2020, les fraudes sophistiquées ciblant les commerçants en ligne ont représenté 76% de l’ensemble des attaques. Ces fraudes sont plus lentes, mais aussi plus difficiles à détecter car elles s’efforcent d’imiter le comportement humain. Et les entreprises ont plus de difficulté à les combattre.
La fraude va continuer à croître en volume et en sophistication à un rythme équivalent ou supérieur à la croissance des transactions en ligne. Les gouvernements dans le monde entier s’efforcent de remédier au problème en promulguant de nouvelles lois visant à poursuivre les fraudeurs, mais la meilleure option reste d’éviter que ce type de fraude se produise.
Qu’est-ce que la fraude ?
Une fraude est une tromperie ou une fausse déclaration, une perversion de la vérité afin de convaincre quelqu’un de se séparer de quelque chose ou d’abandonner un pouvoir ou un droit. La fraude en ligne englobe à la fois la fraude financière et le vol d’identité sur des canaux digitaux tels que les sites web ou les applications mobiles. Elle est habituellement réalisée par un attaquant qui cache ou fournit des informations incorrectes pour soutirer à ses victimes des informations, des produits ou de l’argent.
La fraude en ligne est préjudiciable à la fois aux entreprises et aux consommateurs. Les entreprises perdent de l’argent et doivent répercuter ces coûts aux consommateurs. Elles doivent aussi prendre des précautions pour garantir que chaque transaction potentielle est légitime. Ceci peut créer une complexité supplémentaire pour les consommateurs, qui doivent prouver qu’ils n’essaient pas de commettre une fraude.
Quels sont les différents types de fraude en ligne ?
Les cyber criminels sont créatifs, et multiplient les moyens d’abuser les individus et les organisations. Lorsque les méthodes de détection et de prévention des fraudes évoluent pour ralentir ou stopper des tactiques d’attaque spécifiques qu’ils utilisent, ils modifient rapidement leur approche pour contourner ces nouvelles techniques de détection.
La capacité des fraudeurs à s’adapter lorsque leurs techniques sont découvertes et contrées a pour conséquence que les solutions classiques de détection des fraudes ont souvent du mal à identifier des signes probants d’activité frauduleuse.
Les tactiques pour commettre des fraudes en ligne peuvent mettre en jeu des processus manuels ou automatisés. Les processus manuels impliquent des individus qui utilisent Internet pour s’introduire dans des systèmes ou accéder à des informations qu’ils utilisent pour usurper l’identité d’utilisateurs légitimes. Les processus automatisés impliquent des ‘bots’ ou des émulateurs pour accélérer ou accroître l’échelle des efforts visant à accéder ou utiliser des systèmes et des informations.
Les ‘bots’ ou scripts automatisés effectuent des tâches simples et répétitives rapidement et sur une grande échelle. Les émulateurs sont des programmes qui imitent des terminaux mobiles ou des ordinateurs de bureau. Ils sont utilisés séparément dans la plupart des cas.
Les techniques de fraude en ligne les plus courantes comprennent :
- La prise de contrôle de compte (ATO ou Account takeover). Cette technique consiste à utiliser des comptes légitimes existants et leurs identifiants de carte de crédit et points de fidélité stockés (ou volés). Le fraudeur accède au compte, effectue des achats, et peut utiliser, revendre la marchandise ou demander des remboursements. Une forme d’ATO, appelée BED (business email compromise), qui consiste à obtenir un accès illicite à un compte email d’entreprise pour effectuer des transferts de fonds non autorisés, est restée la technique de fraude la plus coûteuse en 2020, représentant 1,8 Mrds$ de perte.
- La fraude au nouveau compte consiste à créer de nouveaux comptes client utilisant des numéros de carte de crédit volés pour payer, souvent en abusant de coupons, de points de fidélité et de programmes de recommandation pour effectuer des achats. Le fraudeur peut alors demander des remboursements et aux commerçants des refacturations.
- La fraude à la page de paiement (Checkout fraud) utilise des informations de cartes de crédit volées et l’option « Paiement Invité » (Guest Checkout) sur des sites web pour des consommateurs qui ne souhaitent pas créer un compte client sur le site. Cette technique permet aux fraudeurs de contourner les vérifications d’identité lorsqu’ils utilisent des numéros de carte de crédit volés. Ils emploient souvent des ‘bots’ pour automatiser le test des numéros de carte de crédit sur un site, puis se servent des mêmes numéros sur différents sites (parfois plusieurs semaines après) avec des codes promotionnels pour ressembler à des clients légitimes.
Parce que les fraudeurs sont devenus plus sophistiqués et agiles dans leur réponse aux efforts pour détecter et stopper leurs tactiques, les approches classiques de détection des fraudes ont du mal à détecter des stratégies d’attaque plus complexes. De plus en plus, les fraudeurs s’efforcent de contourner les outils de détection en émulant (imitant) des clients légitimes.
Quelles sont les chances d’être victime d’une fraude en ligne ?
Avec la croissance explosive des transactions en ligne, et l’augmentation concomitante du volume et des types de fraude, la question n’est plus de savoir si une attaque va se produire, mais quand. Toutes les entreprises qui vendent activement des produits ou des services sur Internet ont déjà été ou seront un jour ou l’autre la cible de cyber criminels adeptes de la fraude en ligne.
Que faire pour réduire le risque de fraude en ligne ?
Les attaques de multipliant, il est vital d’examiner les données de fraude pour comprendre et se défendre contre des schémas de comportement frauduleux. La meilleure façon de comprendre l’étendue d’attaques de type ATO ou fraude au nouveau compte est d’examiner précisément les actions de chaque fraudeur sur le site concerné. Analyser ses mouvements et comportements pour détecter des signaux inhabituels, non humains – touches clavier employées, défilement, mouvements de la souris, interactions avec des écrans tactiles, pression sur l’écran.
Toutes ces données, qui s’ajoutent aux données de fraude déjà collectées, permettent de réduire le temps passé au contrôle manuel.
1/ Utiliser des outils pour réduire le contrôle manuel
La détection des fraudes ou anomalies est majoritairement automatisée, seules les sessions suspectes étant traitées manuellement pour déterminer s’il y a une fraude en cours ou s’il s’agit d’un faux positif. Cette procédure retarde les commandes et ralentit les process, spécialement si le contrôle est effectué sur un grand nombre de sessions.
L’utilisation d’un outil de détection de la fraude permet d’identifier les schémas comportementaux déclencheurs d’alertes. Accroître la confiance dans la détection automatique veut dire moins de commandes suspectes contrôlées manuellement, les interventions manuelles se concentrant sur les cas les plus ardus.
2/ Contrôler les comportements pour anticiper les détections
La fraude est complexe. Des types d’attaques telles qu’ATO sont plus difficiles à contrer qu’une simple fraude au paiement par exemple, car dans ce cas le payeur reçoit un remboursement et ne perd pas d’argent. Des fraudes plus sophistiquées nécessitent une analyse des données plus approfondie.
Un contrôle en continu des données comportementales couvrant l’intégralité des sessions utilisateur permet de détecter les fraudes plus tôt. Un tel contrôle détecte les fraudes dès qu’elles se produisent, et les données collectées aident à optimiser la détection et à réduire le nombre de fraudes non détectées ou qui nécessitent un contrôle manuel.
3/ Détecter sans attendre pour réduire le nombre d’incidents
Réduire la capacité des bots en les détectant et les bloquant rapidement oblige les fraudeurs à explorer et à exploiter les comptes manuellement, ce qui réduit par conséquent la fréquence et l’impact des attaques frauduleuses.
Grâce à l’analyse de l’intégralité du parcours de chaque client, les fraudes sont détectées plus tôt et ont moins de chances de réussir.
En même temps, une détection rapide et précise et la réduction des faux positifs réduisent les frictions pour les clients légitimes, qui bénéficient d’un parcours d’achat plus efficace. L’expérience utilisateur en profite, en réduisant nettement le recours à des étapes de sécurité telles que les contrôles CAPTCHA.