E-Commerce : 7 types de fraudes en ligne à déjouer

L'e-commerce, et dans un plus large cadre les transactions en ligne, ont gagné en popularité au cours des deux dernières décennies.

Si la pandémie fut un accélérateur puissant, le retour à la normale ne semble pas freiner la tendance. De fait, les ventes en ligne dans le monde devraient continuer à croître pour atteindre 6,4 billions de dollars d'ici 2024. Malheureusement, les cybercriminels s’alignent sur l’évolution des modes de consommation et ciblent désormais prioritairement les e-acheteurs et les plateformes d’e-commerce les plus populaires. Le nombre d’escroqueries est ainsi passé, en cumul annuel, de 247 000 cas enregistrés par la police et la gendarmerie en 2012 à 423 000 en 2021, selon les chiffres de la SSMSI. Dressons l’état des lieux des différents types de fraude auxquels les e-marchants et leurs clients doivent être sensibilisés en 2023.

La fraude en ligne traditionnelle à la carte de crédit

Généralement perpétrée par des fraudeurs débutants, il s'agit de l’escroquerie la plus courante dans le domaine du commerce électronique. Dans le cadre cette attaque, le fraudeur accède aux informations en provenance de cartes de crédit volées, par exemple en acquérant des identifiants sur le Dark Web ou en recopiant les données de la carte de crédit d’un tiers, et cela, avant de les utiliser pour acheter des biens et services. Le fraudeur peut recourir à diverses méthodes pour s'assurer qu'il pourra s’emparer des marchandises sans être inquiété, comme les envoyer à des réexpéditeurs ou encore s’appuyer sur des technologies comme les proxys résidentiels pour masquer son identité.

La fraude aux tests de cartes

Technique plus avancée que la simple fraude à la carte de crédit, le test de carte s’est répandu ces dernières années. Concrètement, le fraudeur accède à seulement une partie des informations d'identification émanant de cartes de crédit volées. Des centaines voire des milliers de cartes peuvent être « testées ». Les attaquants qui tentent une fraude par test de carte ignorent généralement : si la carte est toujours valide (et non bloquée), si elle peut encore être utilisée pour effectuer une transaction et quel en est le plafond de paiement. Pour le connaître, le fraudeur testera la carte en réalisant des petits achats sur des sites d’e-commerce. Une fois la transaction approuvée, le fraudeur passera à des achats plus conséquents dans l’optique de soutirer le maximum de valeur de chaque carte…

La fraude à la rétrofacturation

Le fraudeur achète des marchandises en ligne en prenant le soin de demander une rétrofacturation à réception de l'article, option proposée par de plus en plus d’e-commerçants. Ensuite, l'auteur de l'attaque conteste la transaction. À titre d’exemple, ce dernier peut affirmer que l'article n'est jamais arrivé à destination ou indiquer à l’établissement de paiement qu'il a renvoyé l'article au commerçant (chose qu'il n’a jamais faite évidemment). Ainsi, la banque rembourse la transaction au « client » (le fraudeur), néanmoins le commerçant doit toujours régler le même montant au réseau de cartes de crédit. En raison de la nature des réclamations, la fraude par rétrofacturation est souvent appelée « fraude amicale ». Elle peut être opérée par des détenteurs de cartes de crédit légitimes, ce qui la rend plus difficile à détecter.

La fraude à la prise de contrôle de comptes (ATO)

Le cybercriminel pirate l'accès à un compte légitime d'utilisateur sur un site d’e-commerce et l'utilise pour effectuer des transactions. Les fraudeurs peuvent utiliser différentes techniques en vue d’obtenir des comptes à exploiter :

·       Les attaques par force brute (consiste à essayer toutes les combinaisons possibles de mots de passe ou de clés de chiffrement pour accéder à un système ou à un compte)

·       Le bourrage de données d'identification

·       L’achat d'informations d'identification sur le Dark Web

·       Une technique d'hameçonnage (phishing) contre les clients du site

L’ATO (Account Takeover Fraud) peut causer de sérieux préjudices à la fois pour la plateforme et ses clients. Côté clients, elle peut déboucher sur des préjudices plus graves comme le vol d'identité. En outre, le client est susceptible de mettre en cause la responsabilité du e-commerçant. Les ATO réussies entraînent des dommages à long terme, voire permanents, sur la réputation d'une entreprise.

La fraude au remboursement

Cette technique malicieuse est souvent utilisée lorsque le fraudeur ne peut pas se faire livrer des marchandises à son adresse ni retirer de l'argent via une carte de crédit volée. Dans ce contexte, le fraudeur utilise les identifiants d'une carte de crédit volée pour effectuer un achat en ligne, puis contacte le e-commerçant pour demander un remboursement. Une tactique courante de la fraude au remboursement consiste à effectuer délibérément un paiement excédentaire, puis à demander un remboursement pour le montant excédentaire tout en demandant que l'argent soit renvoyé via un autre moyen de paiement (par exemple en prétendant la fin de validité de la carte de crédit). De cette manière, le fraudeur peut recevoir le montant « excédentaire » sans que le débit initial de la carte de crédit ne soit remboursé, ce qui pourra donner lieu à une rétrofacturation lorsque le propriétaire légitime de la carte de crédit conteste le paiement.

La fraude par triangulation

L'attaque implique trois parties : le fraudeur, un acheteur et l’e-commerçant. Pour réaliser une fraude par triangulation, le fraudeur crée d'abord une boutique de commerce électronique (par exemple, via Shopify) ou une vitrine sur une plateforme d’e-commerce (comme Amazon ou eBay). Ensuite, une tactique courante consiste à vendre des produits très demandés en dessous du marché pour attirer rapidement des clients. Enfin, lorsqu'un réel client effectue un achat en ligne et saisit les informations relatives à sa carte de crédit, le fraudeur les intercepte et les utilise pour acheter les produits demandés sur une plateforme d’e-commerce. Les clients (qui reçoivent les marchandises) peuvent penser qu'ils ont réalisé une bonne affaire, alors qu’en réalité, ils paient le prix prévu. Lors de cet achat, les informations de leur carte de crédit ont été volées.

La fraude par interception

La fraude par interception consiste à passer des commandes auprès d’une plateforme de e-commerce en utilisant les adresses de facturation et de livraison valides liées à des cartes, de sorte que la transaction puisse être effectuée. Le fraudeur tente ensuite d'intercepter les marchandises. Les cybercriminels utilisent diverses techniques de fraude par interception. Parmi les plus courantes, mentionnons le dépôt de réclamations qui apparaissent comme légitimes auprès du service clientèle d'un e-commerçant, par exemple une demande de modification de l'adresse de livraison avant l'expédition. Alternativement, l’attaquant peut au moment de la livraison tenter d'intercepter physiquement le colis. Enfin, ce dernier peut tenter de contacter directement le prestataire de transport pour demander le réacheminement du colis à une autre adresse.