Fraude en ligne : quelques exemples…

Cet article est écrit par Christophe Davy, dirigeant de Brand Online Commerce, qui est “l’invité permanent” de François sur ce blog.

Fraude billetsComme toute société gérant des sites de e-commerce, chez Brand Online Commerce nous devons lutter quotidiennement contre les tentatives d’achat frauduleuses. Cela passe par la mise en place de matrices d’évaluation du risque, par des blocages automatisés des commandes jugées douteuses, mais aussi (et malheureusement) par pas mal d’huile de coude (i.e. du temps) pour évaluer le potentiel frauduleux d’une commande douteuse.

Mais quelles sont les types de fraudes les plus courants en 2011 sur les sites de e-commerce ? Je vous propose des exemples concrets de fraudes que nous constatons dans notre activité quotidienne (sites de ventes de produits de beauté et de maroquinerie), et je vous invite à ajouter vos propres expériences en commentaires.

NB : je limite le périmètre de ce billet à l’Europe ; les USA, c’est encore autre chose…

NB2 : J’ai fait un billet sur la fraude familiale l’été dernier, je ne reviendrai pas dessus. Je rappellerai juste que c’est plus fréquent qu’on ne le croit, puisque c’est la version moderne du fait de piquer des sous dans le porte-monnaie de ses parents…

NB3 : je ne reviens pas non plus sur la “solution” 3D Secure, on en a déjà parlé ici et , et ce n’est pas le sujet du présent billet (mais on reviendra dessus, car il y a peut-être enfin des choses intéressantes qui arrivent).

Pirate UKA tout seigneur, tout honneur : la Perfide Albion nous cause le plus de misères !

Au UK, la fraude en ligne a tout l’air d’être une deuxième nature… Le vol de numéros de cartes bancaires semble aisé, tant nous constatons de tentatives en provenance de ce pays.

C’est de loin la fraude la plus professionnelle, la plus organisée, avec des rituels bien huilés : c’est heureusement aussi ce qui la rend détectable !

Les éléments clés d’une fraude UK sont :
– un panier moyen de l’ordre de £200 – £250,
– un email créé sur yahoo.co.uk ou une autre plateforme gratuite, qui ne reprend ni le nom, ni le prénom du client avant le signe @,
– des textes toujours écrits en minuscules (les fraudeurs n’aiment pas perdre du temps à taper des majuscules).

Habituellement, l’adresse postale est un quartier lambda d’une ville quelconque (voire Londres), parfois un magasin (merci Google Street View…), et plus récemment nous avons été confronté à une fraude organisée à l’adresse d’une personne ayant déménagé récemment (très facile pour récupérer les colis, ils restent dans l’entrée de l’immeuble).

Les adresses IP de ces fraudes sont à 99% londoniennes.

pirate souris

En comparaison au UK, la fraude en provenance de France fait très amateur !

Je ne parle pas du vol de données qui, lui, doit être tout aussi organisé qu’ailleurs, mais des pratiques d’achat. Grosso modo, le fraudeur professionnel français veut tirer le maximum de la carte volée, et pourquoi pas en une fois. Les paniers moyens sont donc parmi les plus importants, il n’est pas rare de voir des commandes à plus de 500 €.

Les fraudeurs français sont moins fâchés que leurs homologues anglais avec les majuscules, mais ils partagent les mêmes emails Yahoo ou Hotmail (plateformes d’emails gratuits).

Et comme les anglais, ils ne répondent pas aux mails qu’on leur envoie ; ce qui, in fine, nous prouve bien qu’on a affaire à un fraudeur si on en doute encore…

pirate souris

Nos amis d’Afrique francophone se rappellent également régulièrement à notre bon souvenir !

Là, la fraude est très professionnelle dans la collecte (le vol) des coordonnées de cartes bancaires à utiliser, sur le territoire français.

En revanche, la fraude elle-même (les achats sur les sites), réalisée depuis un pays francophone (récemment, gros afflux d’adresses IP d’Abidjan en Côte d’Ivoire), laisse à désirer :
– plusieurs commandes avec le même compte client dans la même journée, avec différentes cartes (pas très discret…),
– des adresses postales en France avec des noms de rues qui n’existent parfois même pas (mais peut-être y a-t-il des complicités dans certains centres de tri…).

Pour ce type de fraudes, nous ne constatons pas de panier moyen régulier, ça va de 30 € à 400 €.

En black-listant régulièrement les adresses IP relevées, on réduit la pression, ou tout du moins on perturbe l’organisation de ceux chargés d’acheter en ligne. Provisoirement du moins…

pirate souris

Enfin, nos amis transalpins arrivent sur le terrain de la fraude…

Les commandes sont plus difficiles à détecter au premier abord, car les adresses sont souvent des adresses avec un nom de société, ce qui aurait tendance à abaisser notre niveau de méfiance.

Comme pour les fraudes UK, les montants sont de l’ordre de 200 à 400 €, et les emails proviennent de plateformes gratuites ; en outre, les fraudeurs italiens n’aiment pas plus que leurs confrères anglais les majuscules…

La fraude venant d’Italie est pour nous une tendance très récente, que nous suivons attentivement.

pirate souris

Au final, comme tout e-commerçant, nous subissons une pression permanente avec pour objectif absolu d’éviter de laisser partir un colis dans la nature : car à ce jeu du chat et de la souris, une fois que la livraison est enclenchée, nous avons perdu la partie…

Et vous, quels sont vos exemples de fraudes, subies ou déjouées ?

24 commentaires

  1. @ Christophe

    En fait, ce n’est pas compliqué à mettre en place (les pigeons sont nombreux), les sites d’annonces commencent à pulluler de ce type d’offre. Et c’est d’une efficacité redoutable.

    Les consignataires sont généralement insolvables, et le e-commerçant en est de sa poche.

  2. @Alexis
    3D Secure réduit la fraude, mais réduit aussi le business… On parle de 20%, voire 30%, pour ceux qui ont essayé.
    Chez Brand Online Commerce, on s’en passe presque totalement, on préfère checker les fraudes à l’aide de nos matrices d’évaluation du risque.
    Pour info, des solutions de paiement comme Payline et Paybox proposent une activation sélective de 3D Secure (http://www.ecommerce404.fr/2011/02/3dsecure-selectif/), pour sécuriser par exemple les commandes au-delà d’un certain montant, mais pas celles en-dessous de ce montant.

  3. Très bon article pour rappeler d’être vigilant sur les commandes, surtout sur de grosses commandes.
    Pour justement faciliter le travail d’investigation de commerçant travaillant sous Prestashop, nous avons mis en place un module qui contrôle les adresse IP des pays de commande, de livraison et de facturation, ce qui permet à l’aide d’icône dans le listing des commandes d’avertir les commerçant lorsque le triptyque n’est pas valide ou que l’adresse ip du pays de commande est caché.

  4. Au delà d’être lucide sur l’origine géographique IP, ainsi que du code pays de la carte utilisée, il est conseillé de surveiller “l’encours porteur”, c’est à dire le nombre de transactions effectué sur une période avec une même carte.

    En effet certains fraudeurs multiplient les identités et diminuent le montant de leur panier moyen passant ainsi sous le radar de la vigilance des commerçants, mais utilisant souvent 1 même carte.

    Les plateformes de paiement comme PAYBOX informent le commerçant en cas de présence d’une même carte dans “n” commandes différentes.

  5. Très bon article.

    Mais toutes ses vérifications demandent une intervention humaine ou existe-t-il des solutions pouvant analyser (via une matrice de risque) les commandes ?

    La fraude au cosignataire c’est énorme. La crédulité/inconscience/basse moralité des gens est sans fond 😉

  6. @jérôme
    Chez nous, on bloque automatiquement des commandes répondant à certains critères de risque. Mais après, effectivement, il y a pas mal d’humain pour juger au cas par cas du caractère réellement douteux d’une commande.
    Il existe des sociétés comme Secuvad (http://www.secuvad.com) qui gèrent des matrices de risque en externe et signalent les commandes douteuses aux e-commerçants utilisant leur techno. On n’a pas encore essayé chez Brand Online Commerce, donc pas d’avis sur ce service.

  7. Pour compléter le message de Frederic, chez le prestataire Paybox, cela s’appelle “l’alerte paiement multiples”, il suffit d’adresser un mail à Paybox pour qu’ils la mette en place. C’est gratuit.
    Étonnant que cela ne soit pas en place d’office d’ailleurs.

  8. Merci pour cet article Christophe

    Je sens que je vais devoir regarder à la loupe toutes les commandes de l’étranger … quand la boutique sera ouverte…

    A t-on des chiffres sur cette fraude ? Parce que si 3DS fait perdre 20 à 30% des commandes (c’est ce que me disait benjamin de presqueparfait), combien y a t-il de tentatives de fraude et combien de temps doit-on y passer pour les éviter ? Car effectivement une fois shippé, c’est de la pure perte, et il faut en vendre derrière pour rattraper.

  9. Sur Paypal vous pouvez même le faire avec votre propre carte :
    Vous commandez et vous faites ensuite bloquer l’achat par votre banque en disant que ce n’est pas vous qui avez commandé. Imparable. Ppal rembourse systématiquement…
    Si le colis n’est pas envoyé en recommandé encore mieux : Il suffit de faire une réclamation comme quoi vous n’avez rien reçu et vous serez remboursé rubis sur l’ongle.
    Il y en a surement d’autres mais c’est avec celles-la que je me suis fait le plus souvent avoir. Ppal c’est bien pour l’acheteur, mais pour les vendeurs ya encore du boulot 🙁

  10. Pour lutter contre la fraude, nous croisons les comptes/commandes en liste noir avec les nouvelles commandes (adresses/mail/CP/tel/nom et IP) pour détecter une partie des tentatives et les commandes avec un mauvais score sont vérifiées manuellement.

    Le commandes avec IP douteuses sont automatiquement bloquées et les utilisations des liens pour le paiement sont limités.

    Les limites d’utilisation nous permettent aussi de détecter les véritables clients pour les aider avec 3DS et la redirection vers la banque via pop-up 🙁 .

    “Nos fraudeurs” utilisent de plus en plus American Express qui est une carte avec trop peu de protection.

    Ckarone

  11. J’ai commandé un IPad chez Price Minister, le colis est arrivé défoncé et le postier en a pris note et réexpédié l’envoi, procédure exigée par Price M. A travers le site j’ai prévenur PM et le vendeur de l’articel, ce dernier gentiment m’a proposé d’annuler la vente d’autant qu’il avait souscrit une assurance transport. Alors que Price Minister annonce un délai de 3 semaines pour étudier la réclamation, il m’ont annoncé presque tout de suite qu’il la récusait et payait le vendeur! Devant mes protestations ils m’ont demandé les papiers de la post, j’ai communiqué les photos copies dunrégistre de la poste. Pas de réponse, devant mon insistance PM m’a demandé de cesser de les harcele, qu’ils avaient besoin de 6 semaines pour faire une enquête et, en effet, après deux mois en tout, j’ai reçu un avis de refus de réclamation. J’ai, bien sûr tous les échanges mais je ne sais pas où m’adresser pour me faire rembourser. Dois-je vraiment passer par un avocat? Est-ce sur cette hésitation des particuliers que compte Price Minister pour ne rien faire? UN CONSEIL S’IL VOUS PLAIT ( autre que celui de ne plus acheter sur ce site). MERCI!!!

  12. Zut! je vois que je suis sur un site pour les commerçants, vous ne parlez pas des clients qui sont victimes! J’ai payé prés de 300€ à une grosse boite comme vous semblez l’être et je ne sais même pas comment m’y prendre pour me défendre alors que mon dossier est indiscutable!
    Envoyez-moi une réponse quand même SVP , après tout, les pratiques malhonnêtes des commerçants font autant de tort à votre chiffre d’affaires que des clients louches.
    Merci

    1. Bonjour,

      Moi j’ai ouvert mon site en février 2011 je vends des articles pour bébé … J’étaitstranquille avec le 3D secure un peu trop même !!! 20 commandes pour un seul mois qui ne se concrétisaient pas … Puis le jour où je l’ai enlevé, les commandes se sont envolées, tranquille jusqu’à deux jours, je reçois un courrier de ma banque pour me dire “Hé salut ! tu as fait partir les colis ? Très bien, nous on te reprends l’argent, car le porteur de la CB a contesté le paiement” cool ! CB italienne livraison chez un pigeon Français 450€ pour moi. Depuis j’ai demandé à mercanet (BNP) d’activer les filtres pour refuser les paiements de CB étrangères et les commande d’adresse IP étrangères. Comme quoi même les escros se reproduisent !!! Désolé de ne pas parler des clients qui se font avoir, mais pour un e commerce c’est des milliers d’euro entre les escro et les mauvais payeurs, et il y a déjà pleins de forum pour les consommateurs arnaqués…

  13. “des textes toujours écrits en minuscules (les fraudeurs n’aiment pas perdre du temps à taper des majuscules)”
    Pour l’avoir constatez mainte et mainte fois Ce n’est pas une question
    de perte de temps mais du au fait que GoogleTraduc ne prenne en charge les majuscules
    Il est d autans plus flagrants de detecter les mails etc si l’ on connais le genre de fautes grammaticales sur GoogleTraduc et de ce fait décelez ou avoir un soupcon d’ arnaque futur

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *