Comment les fraudeurs usurpent votre identité et dépensent votre argent en ligne ?
Focus sur les opérations d'usupration d'identité à des fins crapuleuses, notamment via le dark web.
À 1 h 49, la veille de Thanksgiving en 2016, Joseph Tanner (les informations personnelles ont été anonymisées) a commandé une e-carte cadeau d’une valeur de 100 dollars, soit 88,97 euros sur une marketplace spécialisée que nous appellerons eCards. Elle devait être envoyée à Kasper Gleason, sur son adresse e-mail gmx.com, avec ce court message : "Salut." Joseph Tanner a payé cet article avec une Mastercard de Bank of America dont le numéro se terminait par 2527 et dont l’adresse de facturation se situait à Webster, dans l’état de New York. Pour passer commande, il a utilisé le navigateur Google Chrome sur son téléphone T-Mobile Android 6, avec une adresse IP localisée à Seattle. La même adresse électronique a été renseignée pour l'expéditeur et le destinataire de l’e-carte, une pratique courante pour ceux qui préfèrent l’imprimer et l’offrir en main propre. Peut-être que Joseph, le New-Yorkais, était à Seattle pour Thanksgiving, faisant des achats de dernière minute pour surprendre Kasper, son ami ou son proche. En réalité, il n’en était rien. Kasper Gleason est un fraudeur qui a utilisé le nom de Joseph Tanner, son numéro de carte de crédit et son adresse de facturation, pour acheter la carte cadeau illégalement. Depuis cette première commande frauduleuse repérée par nos systèmes il y a plus de deux ans, ce nom et cette carte sont toujours associés à des incidents. À ce jour, nous continuons de déjouer les tentatives de fraudeurs qui utilisent les coordonnées de Joseph Tanner sur des douzaines de nos sites marchands, parfois plusieurs fois par mois ! Rien qu'en 2019, elles ont été détectées 44 fois sur le dark web.
Alors comment Kasper Gleason — si c'est son vrai nom — a-t-il mis la main sur les informations personnelles de Joseph Tanner ?
- Comment quelqu'un peut-il usurper votre identité ?
- Comment les coordonnées de Joseph Tanner se sont-elles retrouvées sur le dark web ?
- Comment Kasper Gleason s’y est-il pris pour tenter de faire valider sa commande par eCards ?
- Comment avons-nous aidé eCards à bloquer ces attaques ?
- Comment les commerçants peuvent-ils se prémunir contre la fraude e-commerce ?
Voici un aperçu étape par étape d'une commande réelle enregistrée dans notre système, qui retrace comment les données personnelles sont volées, revendues par des intermédiaires et des fraudeurs, puis utilisées lors d’une commande illicite sur eCards. Nous examinerons également certaines spécificités des procédés employés par les cybercriminels. Enfin, cet article écrit en partenariat avec Insights, vous parlera de ce que les e-commerçants peuvent faire pour éliminer l'utilisation de données personnelles volées sur leurs plateformes.
À quel moment la carte de monsieur Tanner est-elle apparue sur le dark web pour la première fois ?
Les données personnelles et de carte bancaire de Joseph Tanner ont commencé à apparaître sur de nombreux forums du dark web en 2014. Manque de chance, ses informations étaient proposées en guise d’échantillon gratuit d’un lot de cartes volées, une pratique utilisée par les trafiquants pour démontrer leur "sérieux" et la qualité de leurs "produits".Les cybercriminels peuvent récupérer votre numéro de compte et votre identifiant bancaire en quelques minutes. En octobre 2017, la société Symantec indiquait dans son rapport que plus de 85 millions de données personnelles avaient été volées en France. Les mots de passe et les informations de carte bancaire sont les éléments les plus fréquemment piratées, représentant respectivement 14% et 10% des infractions. L’Hexagone est le pays le plus touché derrière les États-Unis (791,8 millions) et juste devant la Russie. Le coût de ce type de cybercriminalité s’est élevée à 2,88 milliards d’euros en 2015 et son impact sur l’e-commerce français reste conséquent. En effet, la quantité de données volées disponibles en ligne, continue d'entraver la lutte contre la fraude par carte non-présente (CNP). Malgré les nombreuses avancées des autorités ces dernières années, les sites et marketplaces revendant des informations piratées constituent toujours une part importante de l'économie souterraine et restent des catalyseurs de la fraude CNP. Ces plateformes sont devenues le principal moyen par lequel les fraudeurs et les cybercriminels obtiennent des données de cartes, parce qu'ils peuvent les acheter sans avoir à les voler eux-mêmes. Cela réduit les barrières à l'entrée pour ceux qui ont des compétences ou des ressources limitées. Dans un rapport sur les menaces dans le retail et l’e-commerce qui examine des centaines de milliers d'achats en ligne à l’international, IntSights et Riskified ont découvert qu’en comparaison avec l’année précédente, il y avait eu de juillet à septembre 2018 une hausse de 297 % du nombre de faux sites Web conçus pour hameçonner les clients. Les cybercriminels ciblent de plus en plus souvent les commerçants et leurs clients par le biais des réseaux sociaux, devenus un canal de croissance essentiel pour les marques.
Comment cette commande a-t-elle été perçue par les responsables fraude ?
Garder une longueur d’avance sur les évolutions de la fraude
Les nouvelles tendances et moyens disponibles sur le dark web ne cessent d’évoluer. Afin de maximiser leurs prises, les cybercriminels utilisent des dispositifs sophistiqués, automatisés et sur mesure. Un exemple est celui des "vérificateurs de comptes" : ils passent en revue des paires d’identifiants et de mots de passe volés, les testent automatiquement les unes après les autres, pour vérifier lesquelles peuvent frauduleusement débloquer les comptes utilisateurs des sites marchands. Cette pratique génère une longue liste de comptes valides appelés "hits", que le fraudeur peut ensuite utiliser à sa guise. Les vérificateurs ont des configurations paramétrées pour contourner les caractéristiques et mécanismes de défense de chaque site marchand.Minimiser, contrôler et gérer la fraude
Comme dans le sport, la gestion de la fraude CNP nécessite d’être à la fois défensif et offensif, en combinant gestion de la fraude et outils de reconnaissance externes. Nous conseillons aux commerçants de s'en tenir à ces cinq règles. Une bonne offensive = un juste équilibre entre réduction de la fraude et fidélisation de la clientèle
- Supprimez tous les filtres antifraudes et les listes noires
- Ne vous focalisez pas uniquement sur les concordances lors de l'évaluation des commandes
- Prenez garde à ne pas ajouter de points de friction et à ne pas détourner vos clients légitimes
- Recherchez une solution antifraude qui s'adapte à votre croissance
- Ajustez vos mesures antifraudes à la façon dont vos clients font leurs achats
Une bonne défense = rester à l’affût dans un paysage en constante évolution
- Surveillez les réseaux sociaux pour y repérer les faux comptes, les publicités de produits non autorisés et les arnaques au phishing
- Tenez régulièrement vos clients informés sur les canaux de contact autorisés de votre support
- Scrutez le dark web pour vous maintenir à jour sur les nouvelles techniques de piratage
- Surveillez attentivement votre site e-commerce, en particulier les pages qui exigent de renseigner des données bancaires/personnelles
5. Contrôler et limiter l’accès aux bases de données de l'entreprise grâce à l'authentification multifacteurs
Pour conclure... L'âge d'or du e-commerce commence à peine: les ventes en ligne ne représentent que 12 à 13 % du total des ventes au détail dans le monde. Les fraudeurs innovent constamment pour tenter d'exploiter les commerçants, focalisant leurs attaques contre ceux qui sont occupés à optimiser leurs stratégies omnicanales. Il n'y a cependant aucune raison de céder à la panique et s’éduquer sur les mécanismes de la fraude e-commerce est un excellent début.