La fraude est un défi de taille pour les chefs d’entreprise. Vous pouvez proposer un produit très recherché, attirer des clients fidèles et offrir un service client irréprochable, mais rien de tout cela ne protégera votre entreprise contre les acteurs frauduleux qui tentent de s’introduire dans les comptes de vos utilisateurs. La fraude par prise de contrôle de compte est l’une des formes les plus courantes d’usurpation d’identité, elle représente 53 % de l’ensemble des fraudes sur les comptes existants en 2019. Ce type de fraude est une source de préoccupation majeure pour les entreprises. La fraude par prise de contrôle de compte a coûté aux entreprises américaines 25,6 milliards de dollars en 2020, soit une augmentation de 500 % par rapport à 2017, selon Juniper Research. Ces violations de compte peuvent nuire à la réputation d’une entreprise ainsi qu’à la confiance qu’elle a acquise auprès de ses clients.
Étant donné que le montant des pertes dues à la fraude par prise de contrôle de compte augmente chaque année, les entreprises en ligne ont besoin d’un plan pour détecter et bloquer les acteurs frauduleux avant qu’ils n’agissent. Voici ce qu’il faut savoir pour détecter et prévenir la fraude par prise de contrôle de compte.
Sommaire
- Qu’est-ce que la fraude par prise de contrôle de compte (ATO) ?
- Types de fraude par prise de contrôle de compte
- Comment la fraude par prise de contrôle de compte nuit aux entreprises
- Comment détecter et prévenir la fraude par prise de contrôle de compte
Qu’est-ce que la fraude par prise de contrôle de compte (ATO) ?
La fraude par prise de contrôle de compte, aussi désignée sous le nom de compromission de compte, se produit lorsqu’un fraudeur prend le contrôle du compte d’un client légitime afin d’en extraire des informations ou d’en retirer de l’argent. Cela peut concerner n’importe quel type de compte en ligne, qu’il s’agisse d’un compte bancaire ou d’un compte auprès d’une entreprise de livraison de produits alimentaires. Selon le type de compte compromis, le fraudeur peut utiliser les informations extraites pour se faire passer pour le client et ouvrir un nouveau compte bancaire, commander une nouvelle carte bancaire, échanger des points de fidélité ou passer des commandes sur des sites de shopping ou de livraison de repas. Les fraudeurs peuvent également utiliser les informations qu’ils obtiennent pour accéder à d’autres comptes ou vendre les informations du compte à des parties malveillantes.
Types de fraude par prise de contrôle de compte
Une étude réalisée en 2020 par Aite Group a révélé que 38 % des consommateurs déclarent avoir été récemment victimes d’une fraude par prise de contrôle de compte. Ce type de fraude peut prendre plusieurs formes.
Hameçonnage
Les escroqueries par hameçonnage se produisent généralement par e-mail ou par message texte. Le client recevra un message lui demandant des dons ou des informations personnelles, ou l’incitant à cliquer sur un lien ou une pièce jointe qui installe automatiquement un logiciel malveillant sur son appareil.Logiciel malveillant
Les logiciels malveillants, communément appelés maliciels, sont des logiciels intrusifs conçus pour endommager un appareil ou y obtenir un accès non autorisé. Un cheval de Troie est un type de logiciel malveillant qui prend le contrôle de l’appareil d’un utilisateur, permettant ainsi aux pirates d’intercepter des informations, telles que les coordonnées d’un compte bancaire ou d’une carte bancaire. Les chevaux de Troie bancaires pour mobiles sont spécifiquement conçus pour voler des comptes bancaires, en affichant souvent une fausse page qui imite une véritable application bancaire pour mobiles, qu’ils utilisent pour capturer les informations relatives au compte et à l’autorisation de l’utilisateur.Bourrage d’identifiants
L’utilisation de listes d’informations d’identification compromises ou volées pour s’introduire dans un compte est connue sous le nom de « bourrage d’identifiants » (credential stuffing en anglais). On parle également d’attaques par rejeu. Comme de nombreuses personnes utilisent les mêmes combinaisons de nom d’utilisateur et de mot de passe pour plusieurs comptes, la découverte des informations d’identification d’un compte peut permettre aux pirates d’accéder à plusieurs comptes.Attaque par force brute
La saisie de différentes combinaisons de nom d’utilisateur et de mot de passe jusqu’à ce que l’une d’entre elles réussisse à déverrouiller un compte est qualifiée d’attaque par force brute. Les escrocs utilisent souvent des listes de mots de passe courants créées par des robots pour trouver un mot de passe valide, ou ils utilisent des robots pour essayer différentes combinaisons de caractères aléatoires jusqu’à ce qu’ils découvrent le mot de passe d’un utilisateur.Attaque de l’homme du milieu
Une attaque de l’homme du milieu (man-in-the-middle, MITM) se produit lorsqu’un acteur frauduleux trouve un moyen de s’interposer entre un utilisateur et une application à laquelle il tente d’accéder, comme un site de commerce électronique ou une application de banque mobile. Un type courant de cette attaque consiste à mettre en place un point d’accès WiFi frauduleux et à voler les identifiants de connexion, les informations de compte et les numéros de carte bancaire des personnes qui tentent de se connecter à ce point d’accès.Détournement de session
Le fait de prendre le contrôle de la session d’un utilisateur lorsqu’il se connecte à un service en ligne est considéré comme un détournement de session. Par exemple, si un utilisateur se connecte à son compte via une boutique en ligne afin d’effectuer un nouvel achat, le pirate pourrait voler toutes les données de la carte bancaire qu’il utilise pour effectuer des dépenses frauduleuses.Échange de cartes SIM
L’échange de cartes SIM implique qu’un acteur frauduleux contacte l’opérateur de téléphonie mobile de la victime et se fasse passer pour elle afin de tromper un employé du centre d’appel et de l’amener à transférer le numéro de téléphone de la victime sur une autre carte SIM. En contrôlant le numéro de téléphone de la victime, l’acteur frauduleux peut accéder à ses données bancaires ou effectuer des transactions nécessitant une authentification par message texte.
Comment la fraude par prise de contrôle de compte nuit aux entreprises
Tout type d’activité frauduleuse représente un risque sérieux pour les commerces en ligne, et la fraude par prise de contrôle de compte ne fait pas exception à la règle. La fraude par reprise de compte peut nuire à votre entreprise, que ce soit en matière de fidélisation de la clientèle ou de pénalités financières.
Atteinte à la réputation
La réputation d’une entreprise peut être gravement entachée par une violation de compte. Les clients se soucient de la sécurité de leurs données et de leurs informations personnelles, et le fait d’entendre parler d’une fraude par prise de contrôle de compte sur les réseaux sociaux ou dans les journaux pourrait les dissuader d’ouvrir un compte auprès de l’entreprise en question. Une atteinte à la réputation peut survenir soudainement, alors qu’il faut beaucoup plus de temps pour se remettre d’une telle atteinte.
Problèmes de fidélisation de la clientèle
Des nouvelles faisant état d’un piratage peuvent également affecter les clients déjà acquis. Les personnes qui n’ont pas été affectées par une faille peuvent prendre peur et fermer leur compte par précaution. Une enquête mondiale de Vodafone a révélé que 89 % des entreprises ont déclaré que l’amélioration de la cybersécurité renforcerait la loyauté et la confiance des clients.
Sanctions financières
Les sanctions financières associées à la fraude à la prise de contrôle des comptes s’accumulent. Si un pirate informatique effectue un achat frauduleux sur le compte d’un client, le propriétaire du compte sera généralement remboursé par l’émetteur de sa carte bancaire après avoir contesté la réclamation. L’entreprise qui a vendu les biens achetés perd toutefois ce revenu, perd les produits expédiés à l’acteur frauduleux et doit généralement payer des frais de contestation de paiement à l’organisme de traitement des paiements. Le coût peut être encore plus élevé si la fraude se répète. Une entreprise qui connaît un taux de fraude élevé peut être placée sous un programme de surveillance lié aux contestations de paiement, se voir facturer des frais de traitement des paiements plus élevés, voire être complètement bannie par un prestataire de services de paiement.
En plus des frais de contestation de paiement, le Règlement général sur la protection des données (RGPD) et d’autres lois sur la protection de la vie privée peuvent également entraîner des amendes en cas de manquement à la protection des données des clients. En vertu du RGPD, les amendes sont proportionnelles à l’affaire, mais les entreprises reconnues coupables de violations moins graves peuvent se voir infliger des amendes de plusieurs millions d’euros.
Comment détecter et prévenir la fraude par prise de contrôle de compte
L’essentiel pour protéger votre entreprise contre la fraude par prise de contrôle de compte est d’être proactif plutôt que réactif. Cela signifie qu’il faut mettre en place des mesures pour détecter et bloquer les acteurs frauduleux avant qu’ils n’aient la possibilité de commettre une infraction. Les différents types de fraude par prise de contrôle de compte se manifestant de différentes manières, les entreprises doivent rester vigilantes en matière de détection et de prévention.
Voici les mesures que vous pouvez prendre pour protéger votre entreprise :
Suivi des modifications du compte
Certains types de fraude sont accompagnés de signaux d’alerte, par exemple lorsque les coordonnées de plusieurs clients changent en même temps, ou lorsque plusieurs comptes sont soudainement mis à jour avec les mêmes coordonnées de client. Mais les attaques sophistiquées seront plus subtiles et nécessiteront de repérer un ensemble de comportements, par exemple lorsqu’une personne met à jour les coordonnées d’un client, se connecte rapidement à partir d’un nouvel appareil, puis commande des produits à une adresse de livraison qui n’était pas répertoriée auparavant. Les outils d’apprentissage automatique, comme Stripe Radar, utilisent des données pour aider les entreprises à distinguer les acteurs frauduleux des vrais clients, tout en s’adaptant aux nouveaux profils de fraude.
Pour détecter les prises de contrôle de comptes avant qu’un acteur frauduleux ne puisse causer de réels dommages, vous pouvez notamment demander aux utilisateurs de vérifier leur identité avant de modifier les informations de leurs comptes (en utilisant l’authentification à deux facteurs) et informer immédiatement les utilisateurs de toute modification apportée à leur compte.
Signaler les incohérences liées aux appareils
Un autre aspect essentiel de la détection de la fraude consiste à être attentif aux appareils suspects liés aux comptes d’utilisateurs. Par exemple, plusieurs comptes liés à un même appareil ou des comptes comportant un nombre anormalement élevé d’appareils de modèles « inconnus » en raison d’une usurpation d’identité (se faire passer pour un appareil différent afin de dissimuler sa véritable identité ou de tromper un système) sont des signes de failles potentielles. Les adresses IP de connexion provenant de plusieurs pays peuvent également être le signe d’une activité inhabituelle. En utilisant la puissance des outils de machine learning pour détecter ces incohérences à un stade précoce, les entreprises peuvent gagner du temps et de l’argent sur le long terme.
Les outils de machine learning sont disponibles pour chaque compte Stripe afin de permettre aux entreprises de se développer tout en se protégeant de la fraude. Pour mieux comprendre comment Stripe Radar utilise les données de centaines de milliards de dollars de paiements chaque année pour détecter avec précision et prévenir la fraude par prise de contrôle de compte, apprenez-en plus ici.
Le contenu de cet article est fourni uniquement à des fins informatives et pédagogiques. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de consulter un avocat compétent ou un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation particulière.