Cet article est écrit par Christophe Davy, dirigeant de Brand Online Commerce, qui est « l’invité permanent » de François sur ce blog.
Comme toute société gérant des sites de e-commerce, chez Brand Online Commerce nous devons lutter quotidiennement contre les tentatives d’achat frauduleuses. Cela passe par la mise en place de matrices d’évaluation du risque, par des blocages automatisés des commandes jugées douteuses, mais aussi (et malheureusement) par pas mal d’huile de coude (i.e. du temps) pour évaluer le potentiel frauduleux d’une commande douteuse.
Mais quelles sont les types de fraudes les plus courants en 2011 sur les sites de e-commerce ? Je vous propose des exemples concrets de fraudes que nous constatons dans notre activité quotidienne (sites de ventes de produits de beauté et de maroquinerie), et je vous invite à ajouter vos propres expériences en commentaires.
NB : je limite le périmètre de ce billet à l’Europe ; les USA, c’est encore autre chose…
NB2 : J’ai fait un billet sur la fraude familiale l’été dernier, je ne reviendrai pas dessus. Je rappellerai juste que c’est plus fréquent qu’on ne le croit, puisque c’est la version moderne du fait de piquer des sous dans le porte-monnaie de ses parents…
NB3 : je ne reviens pas non plus sur la « solution » 3D Secure, on en a déjà parlé ici et là, et ce n’est pas le sujet du présent billet (mais on reviendra dessus, car il y a peut-être enfin des choses intéressantes qui arrivent).
A tout seigneur, tout honneur : la Perfide Albion nous cause le plus de misères !
Au UK, la fraude en ligne a tout l’air d’être une deuxième nature… Le vol de numéros de cartes bancaires semble aisé, tant nous constatons de tentatives en provenance de ce pays.
C’est de loin la fraude la plus professionnelle, la plus organisée, avec des rituels bien huilés : c’est heureusement aussi ce qui la rend détectable !
Les éléments clés d’une fraude UK sont :
– un panier moyen de l’ordre de £200 – £250,
– un email créé sur yahoo.co.uk ou une autre plateforme gratuite, qui ne reprend ni le nom, ni le prénom du client avant le signe @,
– des textes toujours écrits en minuscules (les fraudeurs n’aiment pas perdre du temps à taper des majuscules).
Habituellement, l’adresse postale est un quartier lambda d’une ville quelconque (voire Londres), parfois un magasin (merci Google Street View…), et plus récemment nous avons été confronté à une fraude organisée à l’adresse d’une personne ayant déménagé récemment (très facile pour récupérer les colis, ils restent dans l’entrée de l’immeuble).
Les adresses IP de ces fraudes sont à 99% londoniennes.
En comparaison au UK, la fraude en provenance de France fait très amateur !
Je ne parle pas du vol de données qui, lui, doit être tout aussi organisé qu’ailleurs, mais des pratiques d’achat. Grosso modo, le fraudeur professionnel français veut tirer le maximum de la carte volée, et pourquoi pas en une fois. Les paniers moyens sont donc parmi les plus importants, il n’est pas rare de voir des commandes à plus de 500 €.
Les fraudeurs français sont moins fâchés que leurs homologues anglais avec les majuscules, mais ils partagent les mêmes emails Yahoo ou Hotmail (plateformes d’emails gratuits).
Et comme les anglais, ils ne répondent pas aux mails qu’on leur envoie ; ce qui, in fine, nous prouve bien qu’on a affaire à un fraudeur si on en doute encore…
Nos amis d’Afrique francophone se rappellent également régulièrement à notre bon souvenir !
Là, la fraude est très professionnelle dans la collecte (le vol) des coordonnées de cartes bancaires à utiliser, sur le territoire français.
En revanche, la fraude elle-même (les achats sur les sites), réalisée depuis un pays francophone (récemment, gros afflux d’adresses IP d’Abidjan en Côte d’Ivoire), laisse à désirer :
– plusieurs commandes avec le même compte client dans la même journée, avec différentes cartes (pas très discret…),
– des adresses postales en France avec des noms de rues qui n’existent parfois même pas (mais peut-être y a-t-il des complicités dans certains centres de tri…).
Pour ce type de fraudes, nous ne constatons pas de panier moyen régulier, ça va de 30 € à 400 €.
En black-listant régulièrement les adresses IP relevées, on réduit la pression, ou tout du moins on perturbe l’organisation de ceux chargés d’acheter en ligne. Provisoirement du moins…
Enfin, nos amis transalpins arrivent sur le terrain de la fraude…
Les commandes sont plus difficiles à détecter au premier abord, car les adresses sont souvent des adresses avec un nom de société, ce qui aurait tendance à abaisser notre niveau de méfiance.
Comme pour les fraudes UK, les montants sont de l’ordre de 200 à 400 €, et les emails proviennent de plateformes gratuites ; en outre, les fraudeurs italiens n’aiment pas plus que leurs confrères anglais les majuscules…
La fraude venant d’Italie est pour nous une tendance très récente, que nous suivons attentivement.
Au final, comme tout e-commerçant, nous subissons une pression permanente avec pour objectif absolu d’éviter de laisser partir un colis dans la nature : car à ce jeu du chat et de la souris, une fois que la livraison est enclenchée, nous avons perdu la partie…
Et vous, quels sont vos exemples de fraudes, subies ou déjouées ?
