Top 5 des fraudes en ligne les plus courantes et comment les banques peuvent s'en prémunir ?
En 2021, le nombre de transactions en ligne a augmenté de 65%. Cette hausse se retranscrit également au niveau du taux d'attaques frauduleuses qui atteint 233%, un chiffre record alarmant.
Le paysage des paiements a irrémédiablement changé. La quantité de données créées par chaque transaction numérique, la fragmentation de l'identité entre les appareils et les comptes, et les attentes des clients en matière de transactions en temps réel montrent que les institutions financières doivent prévenir, informer leurs utilisateurs et intervenir en amont contre les fraudes en ligne.
1. Prise de contrôle du compte (ATO)
La prise de contrôle du compte est une forme d'usurpation d'identité numérique dans laquelle un tiers malveillant accède aux informations du compte en ligne d'un utilisateur. Ces attaques sont faites manuellement ou de façon automatisée à l'aide de robots, de scripts, de code personnalisé ou d'outils de sécurité. Selon une étude réalisée par le FBI, cette pratique coûte 12,5 milliards de dollars aux entreprises dans le monde.
Dans la majorité des cas, ces criminels collectent les informations personnelles publiées en ligne et sur les réseaux sociaux pour répondre aux questions de sécurité et prendre le contrôle des comptes bancaires.
Comment s’en prémunir : Pour les banques, la meilleure solution pour contrer ce type de fraude, avant qu'elle n'atteigne le stade de la transaction, est d'avoir de la visibilité sur ce qui se passe durant toute la session bancaire en ligne, afin de détecter en temps réel un agissement qui n’est pas identique aux habitudes de l'utilisateur légitime. Une authentification continue de l'utilisateur est l'approche correcte : la création d'un profil numérique suite à une analyse comportementale détaillée de l'utilisateur permettra de détecter ce comportement illégitime (connaissance du contenu affiché, style d'utilisation du clavier, utilisation d'une VPN, entre autres variables).
2. Escroqueries par ingénierie sociale
Cette pratique consiste à créer une situation d’urgence ou de risque qui permettra d' exploiter les sentiments des victimes afin d’abuser de leur confiance, et de les pousser à fournir des informations confidentielles que le fraudeur utilise pour commettre une attaque frauduleuse ou convaincre la victime de lui donner de l'argent sous de faux prétextes.
Pour ce faire, ils étudient les habitudes de leurs cibles et leurs profils sur les réseaux sociaux (leurs habitudes de vie). Ils peuvent même en arriver à faire du porte-à-porte en se faisant passer pour un acteur légitime, comme un agent de recensement, et recueillir des informations sensibles. Autre exemple, au début de la pandémie, les gouvernements du monde entier ont accordé des prêts d'urgence pour aider les entreprises en difficulté. De nombreux fraudeurs ont concentré leurs efforts sur ces programmes d'aide gouvernementaux pour arnaquer les consommateurs. S'initiant au plus près de la vie privée des consommateurs, cette pratique est dangereuse car elle s'appuie sur l’émotion humaine (curiosité, ambition, urgence) pour parvenir à ses fins.
En comprenant les habitudes de leurs clients, les banques peuvent intervenir si elles soupçonnent que leurs clients risquent d'être victimes d'une fraude, notamment par authentification hors bande (OOBA) ou d'une bannière pop-up leur demandant s'ils sont certains de vouloir effectuer une transaction.
3. Escroqueries à l'achat, ou l’achat en ligne de marchandises qui ne seront jamais reçues.
Ces escroqueries impliquent l’utilisation des réseaux sociaux ou des plateformes de vente entre particuliers, dont la véracité des annonces n' est pas toujours contrôlée efficacement. Ces plateformes ont évolué pour devenir des plateformes de commerce en ligne et un portefeuille de services avancé (dont font partie des marketplaces), cela augmente le nombre de personnes touchées par ce type de pratiques frauduleuses augmentent fortement. Selon un rapport de Lloyds Banking groupe, les attaques frauduleuses sur cette plateforme ont augmenté de 155% comparé à l’année dernière.
En effet grâce aux réseaux sociaux, il est possible, en quelques clics, de trouver une bonne affaire. Les escroqueries les plus courantes portent sur des biens se revendant entre particuliers (voitures, téléphones, vêtements, etc.)
Dans la plupart des cas, le vendeur demande un virement bancaire, puis bloque l'acheteur une fois l'argent arrivé pour ne plus être traçable.
Pour détecter les arnaques en ligne, les banques doivent poursuivre leurs actions de prévention auprès de leurs clients, et mettre en place des outils de surveillance qui permettent de détecter les tentatives de fraudes en temps réel et de bloquer ces transactions instantanément.
4. Escroqueries par usurpation d'identité
Dans ce cas précis, les escrocs se font passer pour des personnes de confiance (employés de banque, forces de l’ordre). Ils prétendent que le compte bancaire de la victime est compromis et lui demandent de transférer ses fonds vers un autre compte dont ils ont le contrôle.
Il n'est pas rare que les cybercriminels ciblent leurs victimes après avoir volé leurs données grâce à une escroquerie précédente (ex. ingénierie sociale). Il leur sera alors facile de reproduire une correspondance (email, courrier, appel téléphonique) d'une organisation dont les victimes sont clientes ou membres et de les inciter à communiquer des informations sensibles relatives à leurs moyens de paiement.
5. Smishing
Sur le même principe que le phishing, cette arnaque (contraction de SMS et phishing) s’en prend aux utilisateurs de smartphone. Elle consiste à envoyer un faux SMS en se faisant passer pour un organisme reconnu, comme par exemple, un SMS de la sécurité sociale demandant de mettre à jour sa carte vitale.
Malgré une baisse constatée sur 2021, le smishing reste l’une des pratiques les plus utilisées. En 2021, 73 000 demandes d’assistance en ligne ont été comptabilisées pour des faits de cybermalveillance en France.
Les trois formes les plus courantes de Smishing sont :
- Le smishing bancaire qui correspond à la réception d’un SMS soi-disant envoyé par sa banque.
- Le Smishing par malware qui encourage à télécharger un programme sur son mobile, par exemple une application.
- Le smishing financier qui vise à faire transférer directement des fonds aux malfaiteurs.
L'avenir de l'argent est numérique, il est indispensable que les institutions financières sécurisent leurs transactions via des outils technologiques qui permettent de lutter activement contre l'évolution rapide et permanente de la fraude en ligne.