Archives par mot-clé : fraude

Phishing, mode d’emploi

1) Je reçois un mail, avec un titre accrocheur

2) Le corps du mail est alarmant, surtout vu la température extérieure

Le mail est expédié par EDF, je regarde le lien : hum, ça va sur une IP (et pas le domaine EDF), c’est du phishing.

3) Je clique sur le lien, j’arrive sur une page ou on me demande mes coordonnées :

Bon, il ne faut pas trop creuser, aucun des liens ne fonctionnent, mais le décor est convainquant, surtout si l’internaute est pressé et stressé.

4) Je renseigne les champs (avec des AAAA partout, je vous rassure), et j’arrive à l’étape suivante :

Ah, nous y voila : tout ça pour ça : récupérer un numéro de carte bleue bien valide.

Et ensuite: on est gentiment redirigé sur la page d’accueil d’EDF, ni vu ni connu.

Le temps que l’internaute se soit rendu compte de la supercherie, sa carte aura été utilisé sur de nombreux sites…

l’IP en question n’est même pas masquée, si la police était active sur ce type de comportements, elle pourrait arrêter Mr 95.142.173.131…

Les règles pour éviter la fraude

Les sites de vente en ligne sont sujet à plusieurs types de fraudes.

Mais il existe des moyens d’identifier la plupart de ces fraudes.

Comment ?

voici les règles :

Et non, je partage à peu près tout sur ce blog, mais je ne donnerais pas ces règles 😉

Pourquoi ?

Pour une seule raison : je ne veux pas que ces règles soient publiques. Sinon, elles perdraient instantanément leur valeur, étant connues des fraudeurs.

Si vous avez un site, vous pouvez me contacter, ou contacter d’autres spécialistes.

Il existe également des sociétés spécialisées dans la détection des fraudes, comme Fia Net.

3D Secure, la fin du calvaire ?

Cet article est écrit par Christophe Davy, dirigeant de Brand Online Commerce, qui est “l’invité permanent” de François sur ce blog.

3Dsecure-cadenas

Comme tout ceux qui gèrent des sites e-commerce, je craignais comme la peste le mode de contrôle des paiements 3D Secure, principalement parce qu’il fait perdre un certain nombre de clients qui, arrivés au bout du process d’achat, refusent (par peur du pop-up bancaire qui s’affiche) ou n’arrivent pas (ne recevant pas de leur banque le code SMS par exemple) à finaliser leur commande.

Depuis 2008, nous avons régulièrement parlé de cette problématique sur ce blog, notamment ici, ici, ici, ici, ou ici. Et vous trouverez une large palette d’articles sur 3D Secure partout sur le web. Le point commun de tous ces articles étant qu’ils sont a minima dubitatifs, et plus généralement très négatifs envers 3D Secure et son effet repoussoir sur les clients.

Ce qui est dommage dans tout cela, c’est que 3D Secure apporte tout de même un plus monumental au marchand : la sécurisation du chiffre d’affaires ! Avec 3D Secure, fini les débits intempestifs correspondants à de vieilles commandes s’avérant être des fraudes et pour lesquelles le fraudé se réveille et demande à récupérer son argent. Désormais, fraude ou pas, ce n’est plus de la responsabilité du marchand !

En cette rentrée 2011, la part de marché des transactions en 3D Secure reste faible, selon Ogone qui a sorti quelques chiffres dessus en début de mois. Mais cette part augmente régulièrement.

En nombre de sites marchands proposant 3D Secure, on atteint désormais presque un quart :

Ogone-3Dsecure-Part des sites installés

Mais surtout, si on regarde en nombre de transactions, 3D Secure représente 18,6% des transactions, contre 13% en février 2010.

Ogone-3Dsecure-Part des transactions

La progression est lente, mais réelle, et nul doute que d’ici peu, il y aura une accélération du nombre de transactions en 3D Secure, sous l’effet conjugué d’un nombre croissant de sites proposant ce type d’authentification, et d’une acceptation toujours plus grande par des internautes définitivement rassurés.

D’ailleurs, il faut savoir que dans certains pays, comme la Belgique, toutes les plateformes de paiement imposent 3D Secure à tous les marchands.

Chez Brand Online Commerce, nous n’avions jamais activé l’option 3D Secure, préférant un screening “maison” des tentatives de fraudes. Et puis l’occasion faisant le larron, nous avons finalement activé partiellement 3D Secure (sur un seul type de carte bancaire) sur l’un de nos sites en mai dernier.

Et 5 mois après les résultats sont finalement plutôt positifs ! Après un printemps délicat en terme de taux de transformation de la page de paiement, les choses se sont stabilisées depuis la rentrée. Comme si les internautes s’étaient “habitué” à la demande complémentaire de 3D Secure (code SMS ou date de naissance). Et comme par hasard, à un moment où 3D Secure commence vraiment à apparaître sur certains sites grand public.

Alors, au vu de l’avantage énorme de 3D Secure pour les marchands, et maintenant que son usage semble se démocratiser, pensez-vous que l’on va (enfin) voir une déferlante de 3D Secure sur les sites e-commerce ?

3D Secure intelligent

Bon 3DSecure, vous voyez ce que c’est :

C’est le système qui permet de fiabiliser les paiements, avec authentification du porteur de carte.

Concrètement, c’est une option, que vous activez, ou pas, quand vous êtes e-marchands.

si vous l’activez, vous avez moins de risque de fraude, mais votre taux de transfo risque de baisser.

Pourquoi ? Parce que pour authentifier l’internaute, ça passe par des “processus”, pas si évidents que ça, et pas homogènes d’une banque à l’autre.

Bon, mais le jeu en vaut la chandelle, et on sait bien, même si on ne se dépêche pas, qu’on va devoir y aller ;).

L’offre évolue, avec la possibilité d’activer de manière assez subtile 3DSecure.

En effet, puisque 3DSecure permet de gérer la fraude, on peut tout à fait choisir les moments ou on active l’option, et ceux ou on la désactive.

Exemples de stratégie :

  • N’activer 3DSecure que pour les commandes à plus de XXX €. Ce sont les commandes comportant le plus de risque.
  • N’activer 3DSecure que pour le premier achat. Le client qui revient, on a une relation de confiance avec lui. Vous avez déjà vu un fraudeur fidèle 😉 ?
  • N’activer 3DSecure que pour certaines commandes, jugées risquées…

Je sais pas vous, mais je pense que ça va dans le bon sens.

Autres articles sur 3D Secure :

Fraude en ligne : quelques exemples…

Cet article est écrit par Christophe Davy, dirigeant de Brand Online Commerce, qui est “l’invité permanent” de François sur ce blog.

Fraude billetsComme toute société gérant des sites de e-commerce, chez Brand Online Commerce nous devons lutter quotidiennement contre les tentatives d’achat frauduleuses. Cela passe par la mise en place de matrices d’évaluation du risque, par des blocages automatisés des commandes jugées douteuses, mais aussi (et malheureusement) par pas mal d’huile de coude (i.e. du temps) pour évaluer le potentiel frauduleux d’une commande douteuse.

Mais quelles sont les types de fraudes les plus courants en 2011 sur les sites de e-commerce ? Je vous propose des exemples concrets de fraudes que nous constatons dans notre activité quotidienne (sites de ventes de produits de beauté et de maroquinerie), et je vous invite à ajouter vos propres expériences en commentaires.

NB : je limite le périmètre de ce billet à l’Europe ; les USA, c’est encore autre chose…

NB2 : J’ai fait un billet sur la fraude familiale l’été dernier, je ne reviendrai pas dessus. Je rappellerai juste que c’est plus fréquent qu’on ne le croit, puisque c’est la version moderne du fait de piquer des sous dans le porte-monnaie de ses parents…

NB3 : je ne reviens pas non plus sur la “solution” 3D Secure, on en a déjà parlé ici et , et ce n’est pas le sujet du présent billet (mais on reviendra dessus, car il y a peut-être enfin des choses intéressantes qui arrivent).

Pirate UKA tout seigneur, tout honneur : la Perfide Albion nous cause le plus de misères !

Au UK, la fraude en ligne a tout l’air d’être une deuxième nature… Le vol de numéros de cartes bancaires semble aisé, tant nous constatons de tentatives en provenance de ce pays.

C’est de loin la fraude la plus professionnelle, la plus organisée, avec des rituels bien huilés : c’est heureusement aussi ce qui la rend détectable !

Les éléments clés d’une fraude UK sont :
– un panier moyen de l’ordre de £200 – £250,
– un email créé sur yahoo.co.uk ou une autre plateforme gratuite, qui ne reprend ni le nom, ni le prénom du client avant le signe @,
– des textes toujours écrits en minuscules (les fraudeurs n’aiment pas perdre du temps à taper des majuscules).

Habituellement, l’adresse postale est un quartier lambda d’une ville quelconque (voire Londres), parfois un magasin (merci Google Street View…), et plus récemment nous avons été confronté à une fraude organisée à l’adresse d’une personne ayant déménagé récemment (très facile pour récupérer les colis, ils restent dans l’entrée de l’immeuble).

Les adresses IP de ces fraudes sont à 99% londoniennes.

pirate souris

En comparaison au UK, la fraude en provenance de France fait très amateur !

Je ne parle pas du vol de données qui, lui, doit être tout aussi organisé qu’ailleurs, mais des pratiques d’achat. Grosso modo, le fraudeur professionnel français veut tirer le maximum de la carte volée, et pourquoi pas en une fois. Les paniers moyens sont donc parmi les plus importants, il n’est pas rare de voir des commandes à plus de 500 €.

Les fraudeurs français sont moins fâchés que leurs homologues anglais avec les majuscules, mais ils partagent les mêmes emails Yahoo ou Hotmail (plateformes d’emails gratuits).

Et comme les anglais, ils ne répondent pas aux mails qu’on leur envoie ; ce qui, in fine, nous prouve bien qu’on a affaire à un fraudeur si on en doute encore…

pirate souris

Nos amis d’Afrique francophone se rappellent également régulièrement à notre bon souvenir !

Là, la fraude est très professionnelle dans la collecte (le vol) des coordonnées de cartes bancaires à utiliser, sur le territoire français.

En revanche, la fraude elle-même (les achats sur les sites), réalisée depuis un pays francophone (récemment, gros afflux d’adresses IP d’Abidjan en Côte d’Ivoire), laisse à désirer :
– plusieurs commandes avec le même compte client dans la même journée, avec différentes cartes (pas très discret…),
– des adresses postales en France avec des noms de rues qui n’existent parfois même pas (mais peut-être y a-t-il des complicités dans certains centres de tri…).

Pour ce type de fraudes, nous ne constatons pas de panier moyen régulier, ça va de 30 € à 400 €.

En black-listant régulièrement les adresses IP relevées, on réduit la pression, ou tout du moins on perturbe l’organisation de ceux chargés d’acheter en ligne. Provisoirement du moins…

pirate souris

Enfin, nos amis transalpins arrivent sur le terrain de la fraude…

Les commandes sont plus difficiles à détecter au premier abord, car les adresses sont souvent des adresses avec un nom de société, ce qui aurait tendance à abaisser notre niveau de méfiance.

Comme pour les fraudes UK, les montants sont de l’ordre de 200 à 400 €, et les emails proviennent de plateformes gratuites ; en outre, les fraudeurs italiens n’aiment pas plus que leurs confrères anglais les majuscules…

La fraude venant d’Italie est pour nous une tendance très récente, que nous suivons attentivement.

pirate souris

Au final, comme tout e-commerçant, nous subissons une pression permanente avec pour objectif absolu d’éviter de laisser partir un colis dans la nature : car à ce jeu du chat et de la souris, une fois que la livraison est enclenchée, nous avons perdu la partie…

Et vous, quels sont vos exemples de fraudes, subies ou déjouées ?

La “fraude familiale”, la fraude qui coûte le plus !

Cet article est écrit par Christophe Davy, dirigeant de Brand Online Commerce, qui est “l’invité permanent” de François sur ce blog.

portefeuille cadenas

En relisant ce témoignage de Laurent Pavoine, l’excellent patron de Mageekstore, je me repose la question de l’impact de la fraude familiale sur le e-commerce.

Mais qu’appelle-t-on “fraude familiale” ? Tout simplement un achat réalisé avec un moyen de paiement à l’insu du titulaire de ce moyen de paiement (comme dans une fraude classique), mais avec un fraudeur qui est une personne de l’entourage du fraudé. En clair, le plus souvent, le fils ou la fille de la famille.

Les gros sites de e-commerce connaissent bien la fraude familiale, qui est de leur propre aveu (je l’ai entendu dans une conférence EBG en 2009) beaucoup plus dommageable que la fraude professionnelle. Et pour une raison très simple : elle est plus difficile à détecter.

L’ “avantage” avec les fraudeurs professionnels, c’est que comme tous professionnels ils ont mis au point des méthodes, et qu’ils les font systématiquement appliquer par des “collaborateurs” payés à acheter toute la journée des produits sur des sites marchands. Une fois la méthodologie cernée (montant du panier moyen, contenu du panier, structuration de l’adresse email,…), il est assez aisé de bloquer les commandes douteuses avant le shipping, et ainsi de ne pas être perdant dans l’affaire.

Avec la fraude familiale, il n’y a par définition pas de règle. Du petit jeune qui dépense 800 euros d’un coup (le cas Mageekstore) au plus futé qui essaime ses achats sur des petits montants dans l’espoir que cela passe inaperçu auprès de ses parents, la variété des méthodes est à l’image de l’amateurisme du fraudeur. Du coup, pour le marchand, le réveil est souvent douloureux lorsque tombe l’annonce du remboursement au client pour cause de “fraude à la carte bancaire”.

Et ce qui est le plus embêtant pour le marchand, c’est que lorsque le fraudé se réveille auprès de sa banque, il est de totale bonne foi ! Même un détecteur de mensonge ne broncherait pas ! Le marchand doit alors passer beaucoup de temps à expliquer au fraudé que cela pourrait venir de chez lui, preuves à l’appui (notamment l’adresse de livraison, souvent connue du fraudé, et l’e-mail du client – tiens, mais c’est l’e-mail de mon fils !). Parfois cela permet de récupérer les sommes, parfois pas. Dans tous les cas, cela coûte du temps, et donc de l’argent.

petit diable tirelireEt maintenant, le débit suspect que vous avez relevé il y a 6 mois sur votre compte, hurlant auprès de votre banquier que la sécurité des cartes bancaires était vraiment faible de nos jours, vous pourriez imaginer que cela soit votre petite tête blonde chérie qui vous a joué un tour ? La fraude familiale, ce n’est pas que chez les autres…