Comment les fraudeurs usurpent votre identité et dépensent votre argent en ligne ?

Focus sur les opérations d'usupration d'identité à des fins crapuleuses, notamment via le dark web.

À 1 h 49, la veille de Thanksgiving en 2016, Joseph Tanner (les informations personnelles ont été anonymisées) a commandé une e-carte cadeau d’une valeur de 100 dollars, soit 88,97 euros sur une marketplace spécialisée que nous appellerons eCards. Elle devait être envoyée à Kasper Gleason, sur son adresse e-mail gmx.com, avec ce court message : "Salut." Joseph Tanner a payé cet article avec une Mastercard de Bank of America dont le numéro se terminait par 2527 et dont l’adresse de facturation se situait à Webster, dans l’état de New York. Pour passer commande, il a utilisé le navigateur Google Chrome sur son téléphone T-Mobile Android 6, avec une adresse IP localisée à Seattle. La même adresse électronique a été renseignée pour l'expéditeur et le destinataire de l’e-carte, une pratique courante pour ceux qui préfèrent l’imprimer et l’offrir en main propre. Peut-être que Joseph, le New-Yorkais, était à Seattle pour Thanksgiving, faisant des achats de dernière minute pour surprendre Kasper, son ami ou son proche. En réalité, il n’en était rien. Kasper Gleason est un fraudeur qui a utilisé le nom de Joseph Tanner, son numéro de carte de crédit et son adresse de facturation, pour acheter la carte cadeau illégalement. Depuis cette première commande frauduleuse repérée par nos systèmes il y a plus de deux ans, ce nom et cette carte sont toujours associés à des incidents. À ce jour, nous continuons de déjouer les tentatives de fraudeurs qui utilisent les coordonnées de Joseph Tanner sur des douzaines de nos sites marchands, parfois plusieurs fois par mois ! Rien qu'en 2019, elles ont été détectées 44 fois sur le dark web.

Alors comment Kasper Gleason — si c'est son vrai nom — a-t-il mis la main sur les informations personnelles de Joseph Tanner ?

  •          Comment quelqu'un peut-il usurper votre identité ?
  •          Comment les coordonnées de Joseph Tanner se sont-elles retrouvées sur le dark web ?
  •          Comment Kasper Gleason s’y est-il pris pour tenter de faire valider sa commande par eCards ?
  •          Comment avons-nous aidé eCards à bloquer ces attaques ?
  •          Comment les commerçants peuvent-ils se prémunir contre la fraude e-commerce ?

Voici un aperçu étape par étape d'une commande réelle enregistrée dans notre système, qui retrace comment les données personnelles sont volées, revendues par des intermédiaires et des fraudeurs, puis utilisées lors d’une commande illicite sur eCards. Nous examinerons également certaines spécificités des procédés employés par les cybercriminels. Enfin, cet article écrit en partenariat avec Insights, vous parlera de ce que les e-commerçants peuvent faire pour éliminer l'utilisation de données personnelles volées sur leurs plateformes.

À quel moment la carte de monsieur Tanner est-elle apparue sur le dark web pour la première fois ?
Les données personnelles et de carte bancaire de Joseph Tanner ont commencé à apparaître sur de nombreux forums du dark web en 2014. Manque de chance, ses informations étaient proposées en guise d’échantillon gratuit d’un lot de cartes volées, une pratique utilisée par les trafiquants pour démontrer leur "sérieux" et la qualité de leurs "produits".Voici une capture d'écran des informations personnelles de Joseph Tanner, y compris son numéro de sécurité sociale, proposées en échantillon le 4 septembre 2018 sur une marketplace spécialisée dans la vente de données volées. Il est quasiment impossible d'identifier le moment exact où les informations de Joseph Tanner ont été volées. Il a pu utiliser sa carte dans une station-service, un distributeur de billets ou un terminal de paiement équipé de mouchards : ces dispositifs clonent les données de la bande magnétique ou de la puce EMV. Quelqu'un a pu voler son relevé de compte dans sa boîte aux lettres. Ou, ce qui est plus probable, son compte e-mail ou utilisateur a pu faire l’objet d’une opération de piratage de grande envergure, visant des sites marchands, des organismes gouvernementaux, des institutions financières ou autres. Les vols de données sont devenus banals.  

Les cybercriminels peuvent récupérer votre numéro de compte et votre identifiant bancaire en quelques minutes. En octobre 2017, la société Symantec indiquait dans son rapport que plus de 85 millions de données personnelles avaient été volées en France. Les mots de passe et les informations de carte bancaire sont les éléments les plus fréquemment piratées, représentant respectivement 14% et 10% des infractions. L’Hexagone est le pays le plus touché derrière les États-Unis (791,8 millions) et juste devant la Russie. Le coût de ce type de cybercriminalité s’est élevée à 2,88 milliards d’euros en 2015 et son impact sur l’e-commerce français reste conséquent. En effet, la quantité de données volées disponibles en ligne, continue d'entraver la lutte contre la fraude par carte non-présente (CNP). Malgré les nombreuses avancées des autorités ces dernières années, les sites et marketplaces revendant des informations piratées constituent toujours une part importante de l'économie souterraine et restent des catalyseurs de la fraude CNP. Ces plateformes sont devenues le principal moyen par lequel les fraudeurs et les cybercriminels obtiennent des données de cartes, parce qu'ils peuvent les acheter sans avoir à les voler eux-mêmes. Cela réduit les barrières à l'entrée pour ceux qui ont des compétences ou des ressources limitées. Dans un rapport sur les menaces dans le retail et l’e-commerce qui examine des centaines de milliers d'achats en ligne à l’international, IntSights et Riskified ont découvert qu’en comparaison avec l’année précédente, il y avait eu de juillet à septembre 2018 une hausse de 297 % du nombre de faux sites Web conçus pour hameçonner les clients. Les cybercriminels ciblent de plus en plus souvent les commerçants et leurs clients par le biais des réseaux sociaux, devenus un canal de croissance essentiel pour les marques.

Comment cette commande a-t-elle été perçue par les responsables fraude ?
Nous avons déjà mentionné que Kasper Gleason avait passé sa commande à 1 h 49 du matin, le 23 novembre 2016. Mais ce n'est pas la seule qu'il ait passée : une minute plus tard, il repasse exactement la même commande. Et six minutes plus tard, un autre clic. À 1 h 58, Kasper Gleason passe sa dernière commande et cette fois encore, le panier est identique. Avant ces achats effectués tôt le matin du 23 novembre 2016, Joseph Tanner n’avait jamais rien commandé sur eCards et son compte client a été créé la veille. Bien qu'il ne s'agisse pas d'un signe de fraude manifeste, les commandes passées par de nouveaux acheteurs et liées à des comptes récents, attirent souvent l'attention des responsables fraude. La carte se terminant par 2527 avait un code postal correspondant à l'adresse de facturation à Webster, dans l’état de New York et un numéro de téléphone du même état. Nous avons déjà vu que la commande avait été passée en utilisant un téléphone Android T-Mobile, avec une adresse IP localisée à Seattle. Aucun proxy ou VPN n'a été utilisé pour tenter de masquer cette IP. L'adresse e-mail de livraison pour "Kasper Gleason" était kgs337373@gmx.com, avec le client de messagerie suisse-allemand. Des e-mails aléatoires, comme kgs337373@gmx.com, sont généralement plus risqués qu'une adresse de type Kasper.Gleason@gmail.com ou kgleason@gmail.com. C'est logique : les fraudeurs opèrent à grande échelle et ont besoin de nombreuses adresses. Ils utilisent donc des services gratuits et les créent au hasard, cherchant rapidement lesquelles sont disponibles.Un responsable fraude qui examinerait cette commande, ou cette série de quatre tentatives, aurait des difficultés à prendre une décision : il y a quelques indices suspects, mais aucun contexte pour en prendre une. L’exploration des données grâce à l’utilisation de technologies d’analyse des comportements a permis à eCards d'évaluer ces détails ambigus instantanément et avec précision, pour finalement rejeter ces commandes. Nous savons que l'achat de cartes cadeaux au petit matin indique un risque élevé. Les fraudeurs planifient ces tentatives, espérant que les équipes de vérification manuelle employées par certains commerçants seront absentes et que les systèmes de gestion de fraude seront moins performants durant la nuit. De plus, en quelques microsecondes, notre technologie a comparé le numéro de carte et l'adresse de Joseph Tanner, ainsi que l'e-mail de Kasper Gleason, avec les données enregistrées dans notre système : il n'y a jamais eu de transaction légitime de Joseph Tanner réglée avec la carte bancaire 2527 et il n’a jamais passé commande avec une adresse IP le situant en dehors de l'état de New York. Enfin, le fait que Kasper Gleason ait essayé de passer la même commande quatre fois en dix minutes, révèle son amateurisme. Il n’a modifié aucune information, n’a pas cherché à masquer sa localisation en utilisant un serveur proxy et le court intervalle dans lequel il a passé ses commandes, indique de multiples tentatives, sans doute dans l'espoir que l'une d’entre elles serait acceptée. Nous observons souvent ce comportement, lorsqu’un fraudeur cherche à tester le système antifraude d'un commerçant. Il peut s’agir d’amateurs qui tentent leur chance ou de criminels plus expérimentés, tâtant le terrain pour de futures opérations plus élaborées, comme une attaque de botnet par exemple. La carte utilisée provenant d’un échantillon gratuit largement diffusé, nous permet de déduire qu’il s’agissait plutôt d’un amateur. À ce jour, des douzaines de tentatives de fraude utilisant des variantes du nom Joseph Tanner et le numéro de carte 2527 continuent d’être déjouées. Ces tentatives sont révélatrices du type de données que les fraudeurs utilisent et permettent aux systèmes auto-apprenants de continuellement s’améliorer, afin de prévenir efficacement de nouvelles attaques.
Garder une longueur d’avance sur les évolutions de la fraude
Les nouvelles tendances et moyens disponibles sur le dark web ne cessent d’évoluer. Afin de maximiser leurs prises, les cybercriminels utilisent des dispositifs sophistiqués, automatisés et sur mesure. Un exemple est celui des "vérificateurs de comptes" : ils passent en revue des paires d’identifiants et de mots de passe volés, les testent automatiquement les unes après les autres, pour vérifier lesquelles peuvent frauduleusement débloquer les comptes utilisateurs des sites marchands. Cette pratique génère une longue liste de comptes valides appelés "hits", que le fraudeur peut ensuite utiliser à sa guise. Les vérificateurs ont des configurations paramétrées pour contourner les caractéristiques et mécanismes de défense de chaque site marchand.Capture d'écran d'un vérificateur de compte. Les bots d'achat automatique sont un autre type d'outil automatisé que les pirates informatiques utilisent fréquemment. À l'origine, ils ont été développés pour acheter des biens sur des sites légitimes, selon des règles prédéfinies. Vous voulez vous assurer de remporter les enchères de cette montre vendue sur eBay, qui doivent se clore à 3 h du matin ? C'est là qu'un bot auto-acheteur entre en jeu. Mais qu'est-ce qui empêche un fraudeur d'utiliser ce dispositif pour l’exploitation de cartes volées à grande échelle ?Des listes de paires d’identifiants et de mots de passe pour des sites marchands spécifiques, y compris un livreur de pizza, un service de streaming aux États-Unis, une application de chat multiplateforme pour les joueurs et un bureau de change en ligne. Il n'est pas surprenant que les fraudeurs s’empressent de détourner des outils légitimes pour une utilisation pernicieuse. Ils leur permettent d'automatiser tout le processus frauduleux, du vol de données de cartes bancaire aux attaques de grande envergure, tout cela sans aucune intervention manuelle.Une infographie détaillée par AIO Bot, un service de bot leader qui automatise la commande de baskets en édition limitée dès leur distribution, afin d’en garantir l'achat. Il est difficile d'atténuer les effets de ces dispositifs et techniques spécialement paramétrés pour s’attaquer à votre site. Pour garder une longueur d’avance, un système capable de s'adapter aux évolutions constantes de la fraude est indispensable.
Minimiser, contrôler et gérer la fraude

Comme dans le sport, la gestion de la fraude CNP nécessite d’être à la fois défensif et offensif, en combinant gestion de la fraude et outils de reconnaissance externes. Nous conseillons aux commerçants de s'en tenir à ces cinq règles. Une bonne offensive = un juste équilibre entre réduction de la fraude et fidélisation de la clientèle

  •          Supprimez tous les filtres antifraudes et les listes noires
  •          Ne vous focalisez pas uniquement sur les concordances lors de l'évaluation des commandes
  •          Prenez garde à ne pas ajouter de points de friction et à ne pas détourner vos clients légitimes
  •          Recherchez une solution antifraude qui s'adapte à votre croissance
  •          Ajustez vos mesures antifraudes à la façon dont vos clients font leurs achats

Une bonne défense = rester à l’affût dans un paysage en constante évolution

  1.        Surveillez les réseaux sociaux pour y repérer les faux comptes, les publicités de produits non autorisés et les arnaques au phishing
  2.        Tenez régulièrement vos clients informés sur les canaux de contact autorisés de votre support
  3.        Scrutez le dark web pour vous maintenir à jour sur les nouvelles techniques de piratage
  4.        Surveillez attentivement votre site e-commerce, en particulier les pages qui exigent de renseigner des données bancaires/personnelles

5.       Contrôler et limiter l’accès aux bases de données de l'entreprise grâce à l'authentification multifacteurs

Pour conclure... L'âge d'or du e-commerce commence à peine: les ventes en ligne ne représentent que 12 à 13 % du total des ventes au détail dans le monde. Les fraudeurs innovent constamment pour tenter d'exploiter les commerçants, focalisant leurs attaques contre ceux qui sont occupés à optimiser leurs stratégies omnicanales. Il n'y a cependant aucune raison de céder à la panique et s’éduquer sur les mécanismes de la fraude e-commerce est un excellent début.