Six types de fraude aux paiements - et comment les entreprises peuvent s'en prémunir

Radar
Radar

Luttez contre la fraude grâce à la puissance du réseau Stripe.

En savoir plus 
  1. Introduction
  2. En quoi consiste la fraude aux paiements ?
  3. Types of payment fraud
    1. Hameçonnage
    2. Skimming
    3. Usurpation d’identité
    4. Fraude aux contestations de paiement
    5. Compromission des e-mails professionnels
    6. Fraude sans présentation de la carte bancaire
  4. Les avantages de la protection contre la fraude

La fraude aux paiements peut menacer les finances des entreprises et la vie privée des clients, et la lutte contre ce fléau nécessite la mise en place de solutions défensives aussi sophistiquées et flexibles que les tactiques employées par les fraudeurs.

La fraude aux paiements peut se présenter sous différentes formes, du vol de numéros de cartes bancaires à partir d'un lecteur de cartes non protégé à de faux e-mails malveillants. Par exemple, une étude menée en 2021 par Tessian a révélé que les employés américains reçoivent en moyenne 14 e-mails par an qui les incitent à agir de manière financièrement frauduleuse. Dans certains secteurs, ce chiffre est beaucoup plus élevé, les employés du commerce de détail recevant en moyenne 49 e-mails frauduleux chaque année.

L'hameçonnage est l'un des types de fraude aux paiements les plus courants, représentant 44 % de toutes les violations de données en 2020. Le skimming, par lequel des acteurs frauduleux s'emparent des informations de cartes bancaires aux distributeurs automatiques de billets ou aux terminaux de paiement, coûte aux entreprises environ 1 milliard de dollars chaque année. L'usurpation d'identité, qui consiste à voler des informations personnelles et à les utiliser pour effectuer des achats frauduleux, représentait 24 % de près de 6 millions de rapports de fraude en 2021, selon la Federal Trade Commission. Et ce ne sont là que quelques-uns des types de fraude aux paiements contre lesquels les entreprises doivent lutter.

La fraude aux paiements est une menace majeure, mais les entreprises peuvent l'atténuer grâce à un certain nombre de tactiques de protection efficaces. Voici ce que vous devez savoir sur les types de fraude les plus courants, comment ils se présentent et ce que vous pouvez faire pour protéger votre entreprise et vos clients.

Sommaire

  • En quoi consiste la fraude aux paiements ?
  • Les différents types de fraude aux paiements
  • Les avantages de la protection contre la fraude

En quoi consiste la fraude aux paiements ?

La fraude au paiement est un type de fraude financière qui implique le recours à des informations de paiement fausses ou volées pour obtenir de l'argent ou des biens. La fraude aux paiements peut se produire de différentes manières, mais elle implique souvent que des fraudeurs volent des informations de cartes bancaires ou de comptes bancaires, falsifient des chèques ou utilisent des informations d'identité volées pour effectuer des transactions non autorisées.

Types of payment fraud

There are several methods that fraudulent actors use to commit payment fraud. Here are some of the most common tactics:

Most common types of payment fraud - Icons representing ten different types of payment fraud

Hameçonnage

Définition :
L’hameçonnage est un type d’attaque d’ingénierie sociale, une tactique qui consiste à tromper les utilisateurs par manipulation psychologique. Les fraudeurs utilisent des courriels, des SMS ou des sites Web frauduleux pour inciter les internautes à divulguer des informations sensibles comme des identifiants de connexion et des informations de carte de crédit.

Les attaques d’hameçonnage sont généralement menées par le biais d’e-mails qui semblent provenir d’une source fiable, telle qu’une banque ou un détaillant en ligne réputé. Le courriel peut demander au destinataire de cliquer sur un lien pour modifier les informations de son compte, vérifier une transaction récente ou obtenir une récompense. Lorsque le destinataire clique sur le lien, il est dirigé vers un faux site Web où il est invité à saisir ses identifiants de connexion, ses informations de carte de crédit ou d’autres données sensibles.

Les attaques d’hameçonnage peuvent également être menées par le biais de SMS, (« smishing »), ou de réseaux sociaux (« pharming »). Dans ces cas, l’acteur malveillant envoie un message ou un lien vers un site Web frauduleux qui semble légitime, afin de voler des informations personnelles ou d’infecter l’appareil avec un logiciel malveillant.

Comment l’éviter :
Pour vous protéger contre les attaques d’hameçonnage, soyez prudent lorsque vous cliquez sur des liens ou ouvrez des pièces jointes provenant de sources inconnues ou suspectes. Restez à l’affût des tactiques courantes utilisées par les fraudeurs, telles que le langage urgent ou menaçant, les mots mal orthographiés ou les liens suspects. L’utilisation d’un logiciel antivirus peut également aider à se protéger contre les attaques de phishing.

Comme c’est le cas pour les autres types de fraude aux paiements, les escroqueries par hameçonnage ont tendance à évoluer au fil du temps, et deviennent plus avancées et plus légitimes. Les particuliers et les entreprises doivent s’informer et former leurs employés aux techniques d’hameçonnage et sur la façon de reconnaître et d’éviter ce type d’attaques.

Skimming

Définition :
Le skimming consiste pour acteur malveillant à utiliser un dispositif, appelé skimmer, pour voler des informations de carte de crédit ou de débit. L’auteur de l’escroquerie fixe un skimmer sur un lecteur de carte aux distributeurs automatiques ou aux terminaux de point de vente, comme les pompes à essence, les caisses en libre-service et d’autres terminaux de paiement. Le dispositif capture les données de la bande magnétique de la carte, qui peuvent être utilisées pour créer des cartes contrefaites ou pour effectuer des achats non autorisés.

En plus des skimmers, les acteurs malveillants peuvent également utiliser de petites caméras ou des superpositions qui s’insèrent sur le clavier du guichet automatique ou du terminal de paiement pour capturer le code secret du client. Ces informations sont ensuite utilisées avec les données de la carte volée pour effectuer des retraits ou des achats non autorisés.

Comment l’éviter :
Le skimming peut être difficile à détecter, car les dispositifs utilisés pour cette pratique sont souvent petits et discrets, mais ce n’est pas impossible. Certains signes peuvent indiquer la présence d’un skimmer, tels que des lecteurs de cartes desserrés ou endommagés, des appareils inhabituels ou supplémentaires connectés au terminal de paiement, ou des appareils qui semblent différents des autres terminaux de paiement dans la région.

Pour vous protéger contre cette pratique, soyez prudent lorsque vous utilisez des terminaux de paiement et des distributeurs automatiques, et inspectez l’appareil pour détecter tout signe d’altération. Couvrir le clavier lors de la saisie de votre code secret peut également aider à se protéger contre les éventuelles caméras.

Surveillez régulièrement les relevés bancaires et de carte de crédit pour détecter toute transaction suspecte et signalez dès que possible tout skimming présumé à la banque ou à l’émetteur de la carte de paiement.

Payer avec des portefeuilles numériques ou des cartes à puce EMV vous permet également de vous protéger contre le skimming, car cette technologie est plus sûre que les cartes à bande magnétique. S’assurer que votre entreprise est prête à accepter ces moyens de paiement sécurisés est une excellente protection contre le skimming.

Usurpation d’identité

Définition :
L’usurpation d’identité est un type de fraude au paiement dans lequel un acteur malveillant vole les informations personnelles d’une personne, comme son nom, son numéro de sécurité sociale ou son numéro de carte de crédit, et les utilise pour effectuer des achats non autorisés ou ouvrir des comptes au nom de la victime. Le vol d’identité peut avoir de graves conséquences financières et juridiques pour la victime, sans parler du stress que cela lui cause.

Le vol d’identité est un terme générique qui décrit un certain nombre de tactiques frauduleuses. Par exemple, les attaques d’hameçonnage sont un type d’usurpation d’identité. Les violations de données, où un pirate informatique accède à la base de données d’une entreprise et vole des informations personnelles à grande échelle, constituent également un vol d’identité. D’autres méthodes de vol d’identité comprennent le vol de courrier, la fouille de bennes à ordures ou le vol de portefeuilles ou de sacs à main. Une fois qu’un acteur malveillant a obtenu les renseignements personnels d’une personne, il peut les utiliser pour ouvrir de nouveaux comptes de carte de crédit, demander des prêts ou même produire de fausses déclarations de revenus.

Comment l’éviter :
Pour prévenir l’usurpation d’identité, les entreprises peuvent prendre un certain nombre de mesures. Tout d’abord, vérifiez que les données des clients sont stockées en toute sécurité, en utilisant le cryptage et d’autres mesures de sécurité pour empêcher tout accès non autorisé. Les entreprises doivent limiter l’accès aux données des clients aux seuls employés qui en ont besoin dans le cadre de leur travail et exiger des mots de passe robustes et une authentification multifacteur pour tous les comptes et systèmes qui contiennent des données clients.

La formation des employés est importante pour prévenir le vol d’identité. Elle doit inclure les bonnes pratiques en matière de sécurité, comme l’identification d’e-mails d’hameçonnage et la création de mots de passe forts.

Surveiller les comptes des clients à la recherche d’activités suspectes, comme des connexions non autorisées ou des modifications des informations de compte, peut aider les entreprises à détecter rapidement les usurpations d’identité et à réduire les dommages. En choisissant la bonne pile technologique de paiement, vous pouvez éviter que la détection et la prévention de la fraude ne consomment du temps et des ressources. Stripe Radar est une technologie avancée de détection et de prévention de la fraude intégrée à tous les produits de paiement Stripe, y compris Terminal.

Enfin, les entreprises doivent disposer d’un plan pour répondre aux violations de données, notamment en informant les clients concernés et en offrant des services de protection contre l’usurpation d’identité.

Fraude aux contestations de paiement

Définition :
La fraude aux contestations de paiement, également appelée « fraude amicale », se produit lorsqu’un client conteste une transaction légitime, affirmant qu’il n’a pas effectué l’achat lui-même ou qu’il n’a pas reçu le produit ou le service qu’il a payé. Dans certains cas, le client peut recevoir un remboursement tout en conservant le produit ou le service, ce qui entraîne une perte financière pour l’entreprise. La fraude liée aux contestations de paiement peut avoir des conséquences financières importantes pour les entreprises : elles peuvent perdre les revenus de la vente et être soumises à des frais de contestation de paiement et à des pénalités.

La fraude liée aux contestations de paiement peut se produire de différentes manières. La méthode la plus courante consiste pour un client d’effectuer un achat légitime, mais de contester ensuite le paiement auprès de la société émettrice de sa carte de crédit, en affirmant que l’article n’était pas conforme à sa description ou qu’il ne l’a jamais reçu. Une autre méthode consiste pour un client à utiliser intentionnellement une carte de crédit volée pour effectuer un achat, puis conteste le paiement comme non autorisé.

Comment l’éviter :
Pour se protéger contre la fraude liée aux contestations de paiement, les entreprises doivent vérifier l’identité du client et s’assurer qu’il est bien le propriétaire légitime de la carte de crédit utilisée pour effectuer l’achat. Il peut s’agir d’exiger une signature ou un code CVV pour les transactions sans présentation de la carte bancaire, ou la mise en place d’outils de détection de la fraude tels que la vérification de l’adresse ou la géolocalisation IP. Les entreprises doivent également se doter d’une politique claire en matière de remboursement et de retour, ainsi que d’un processus de gestion des litiges relatifs aux contestations de paiement. Les entreprises doivent conserver des registres clairs de toutes les transactions, y compris les reçus, les informations d’expédition et les communications avec les clients, au cas où elles auraient besoin de fournir des preuves dans le cadre d’un litige relatif à une contestation de paiement.

Compromission des e-mails professionnels

Définition :
La compromission des e-mails professionnels (Business e-mail compromise, ou BEC) est un type de fraude par paiement dans lequel les e-mails incitent les employés à transférer de l’argent vers des comptes frauduleux. Dans le cadre d’une escroquerie par BEC, les fraudeurs accèdent à un compte de messagerie professionnel, souvent par le biais de tactiques d’hameçonnage ou d’ingénierie sociale, et l’utilisent pour envoyer des courriels à des employés ou à des fournisseurs demandant des virements bancaires ou d’autres paiements.

Les escroqueries par BEC peuvent prendre plusieurs formes. Souvent, il s’agit d’un acteur malveillant qui se fait passer pour un dirigeant ou un fournisseur de haut niveau et demande un paiement ou un transfert urgent. L’e-mail peut sembler légitime, utilisant l’image de marque de l’entreprise et une adresse e-mail connue. Toutefois, si l’employé suit les instructions contenues dans l’e-mail, il transférera l’argent sur un compte bancaire contrôlé par les fraudeurs.

Les escroqueries par BEC peuvent être difficiles à détecter, car elles impliquent souvent des tactiques d’ingénierie sociale qui exploitent la confiance que les employés accordent à la hiérarchie. Voici certains signes qui indiquent une escroquerie par BEC :

  • Demandes urgentes de paiement
  • Instructions de paiement inhabituelles
  • Fautes de grammaire ou d’orthographe inhabituelles

Comment l’éviter :
La protection contre les escroqueries par BEC repose sur les mêmes tactiques et bonnes pratiques que celles que les entreprises doivent déjà utiliser pour se prémunir contre d’autres types de fraude. Formez les employés aux manières de reconnaître et de signaler les e-mails suspects et mettez en œuvre des protocoles de sécurité des e-mails robustes, comme l’authentification à deux facteurs et le chiffrement.

Les entreprises doivent également disposer d’un processus clair d’approbation des paiements qui inclut la vérification des instructions de paiement via un canal secondaire, comme un appel téléphonique ou une conversation en personne. Il est recommandé de mettre en œuvre une stratégie claire pour les demandes internes, en particulier si elles impliquent un transfert d’argent.

Enfin, comme pour toute fraude, il est important de surveiller régulièrement les comptes bancaires pour détecter toute activité suspecte et de mettre en place un plan pour répondre à une escroquerie par BEC, par exemple en contactant les forces de l’ordre et en informant les clients ou les partenaires qui pourraient avoir été touchés.

Fraude sans présentation de la carte bancaire

Définition :
La fraude sans présentation de la carte bancaire (card-not-present, ou CNP) est un type de fraude au paiement qui se produit lorsqu’un acteur malveillant utilise des informations de carte de crédit volées pour effectuer des achats sans présenter physiquement la carte, généralement en ligne ou par téléphone. Avec l’essor du commerce électronique, la fraude CNP est devenue de plus en plus courante et peut avoir des conséquences financières importantes pour les entreprises, qui peuvent être tenues responsables de contestations de paiement ou d’achats frauduleux.

La fraude CNP se produit généralement lorsqu’un fraudeur obtient des informations de carte de crédit volées par le biais de violations de données ou d’autres moyens et utilise ces informations pour effectuer des achats non autorisés en ligne. Une autre méthode consiste à utiliser des tactiques d’ingénierie sociale, telles que l’hameçonnage, pour obtenir les informations de la carte directement auprès de la victime.

Comment l’éviter :
Pour se protéger contre la fraude CNP, les entreprises peuvent prendre plusieurs mesures :

  • Utiliser des outils de détection de la fraude, tels que la vérification de l’adresse ou la géolocalisation de l’adresse IP, pour vérifier l’identité du client et détecter toute activité suspecte
  • Mettre en œuvre des protocoles d’authentification forte, y compris l’authentification à deux facteurs et la création de jetons, pour protéger les informations de carte
  • Tenir des registres clairs et accessibles de toutes les transactions, y compris les informations d’expédition et les communications avec les clients, en cas de litige relatif à une contestation de paiement.
  • Mettre en œuvre une politique de remboursement et de retour détaillée et clairement communiquée aux clients, ainsi qu’un processus de traitement des contestations de paiement et des transactions frauduleuses.

Les avantages de la protection contre la fraude

Des mesures de protection contre la fraude peuvent apporter une certaine tranquillité aux entreprises, protéger leurs actifs financiers et les données de leurs clients, améliorer leur réputation et renforcer leur conformité réglementaire. Mais les avantages ne s'arrêtent pas là. Voici un aperçu des principaux bénéfices que les entreprises peuvent tirer de la mise en place de mesures de protection contre la fraude :

  • Protection des actifs financiers
    La protection contre la fraude permet de protéger les actifs financiers d'une entreprise. Si les tentatives isolées de fraude aux paiements peuvent déjà coûter cher, le risque de fraude à grande échelle peut constituer une menace encore plus importante lorsque les entreprises se développent. En mettant en œuvre des mesures de protection contre la fraude, les entreprises peuvent réduire le risque de perte financière et planifier l'avenir avec plus de certitude.

  • Protection des données des clients
    En mettant en place des mesures de détection et de prévention de la fraude, les entreprises ne se protègent pas seulement elles-mêmes : elles protègent également leurs clients. En effet, la fraude aux paiements implique souvent le vol des données de clients, par exemple leurs numéros de cartes bancaires et leurs informations personnelles. Avec des mesures de protection contre la fraude, les entreprises peuvent protéger les données de leurs clients et renforcer la confiance et la fidélité de ces derniers.

  • Réduction des contestations de paiement
    Les contestations de paiement peuvent entraîner non seulement une perte de revenus et de marchandises, mais aussi des frais et des pénalités (sans compter le temps et l'énergie perdus à résoudre le problème). Il est possible de prévenir ce phénomène en mettant en place des mesures de protection contre la fraude, qui permettront de détecter et d'empêcher les transactions frauduleuses, mais aussi de mettre en évidence des tendances et des failles en matière de contestation de paiement.

  • Préservation de la réputation et fidélisation des clients
    En prenant toutes les mesures possibles pour minimiser la fraude, vous renforcez la confiance de vos clients. Les tentatives (même isolées) de fraude aux paiements peuvent nuire à la réputation d'une entreprise, parfois de manière irrémédiable. En mettant en place une stratégie de protection contre la fraude, les entreprises témoignent de leur engagement en faveur de la sécurité. Un signal particulièrement important pour les plateformes et les places de marché, dont les utilisateurs doivent défendre leur réputation auprès de leur propre clientèle.

  • Respect de la réglementation
    De nombreux secteurs sont soumis à des exigences réglementaires en matière de sécurité et de confidentialité des données. En mettant en place des mesures de protection contre la fraude, les entreprises peuvent se conformer à ces réglementations et éviter des amendes et des pénalités.

Heureusement, la plupart des ressources matérielles et logicielles modernes qui, comme celles proposées par Stripe, permettent d'accepter et de traiter les paiements, de suivre les commandes des clients et de gérer les données financières d'une entreprise, incluent des mesures de protection efficaces contre la fraude. Il est généralement moins coûteux de mettre en place de telles mesures que de supporter les coûts potentiels engendrés par la fraude aux paiements.

Pour en savoir plus sur la façon dont Stripe Radar protège les produits Stripe en utilisant les données de millions d'entreprises internationales pour lutter intelligemment contre la fraude à tous les niveaux, consultez cette page.

Le contenu de cet article est fourni uniquement à des fins informatives et pédagogiques. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de solliciter l'avis d'un avocat compétent ou d'un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation particulière.

Envie de vous lancer ?

Créez un compte et commencez à accepter des paiements rapidement, sans avoir à signer de contrat ni à fournir vos coordonnées bancaires. N'hésitez pas à nous contacter pour discuter de solutions personnalisées pour votre entreprise.
Radar

Radar

Luttez contre la fraude grâce à la puissance du réseau Stripe.

Documentation Radar

Utilisez Stripe Radar pour protéger votre entreprise contre la fraude.