Démarrer  Nous contacter 

Attaques par NIB au Japon : De quoi s’agit-il et comment les prévenir?

Radar
Radar

Luttez contre la fraude grâce à la puissance du réseau Stripe.

En savoir plus 
  1. Introduction
  2. Qu’est-ce qu’une attaque par NIB?
    1. La technique du NIB
    2. Dommages causés par les attaques par NIB
  3. Quelles sont les répercussions de ces attaques sur les entreprises au Japon?
    1. Augmentation des frais de traitement en raison d’un grand nombre de demandes d’autorisation
    2. Perte de possibilités de vente et plaintes des clients
    3. Suspension des paiements par carte bancaire
    4. Perte de confiance des clients et propagation des dommages
  4. Comment les entreprises japonaises peuvent-elles prévenir les attaques par NIB?
    1. 3D Secure
    2. Outils contre les agents numériques
    3. Systèmes de détection des fraudes
    4. Limites sur les saisies d’informations de carte
  5. Quelles sont les répercussions des attaques par NIB sur les titulaires de cartes?
    1. Utilisation frauduleuse de carte non détectée
    2. Réémission de cartes
  6. Comment les titulaires de cartes peuvent-ils prévenir les attaques par NIB?
    1. Prévenir les attaques par NIB
    2. Se remettre d’une attaque par NIB
  7. FAQ sur les attaques par NIB
    1. Quand un relevé de carte bancaire est-il mis à jour?
    2. Est-il possible que seul le numéro de carte de crédit soit utilisé à mauvais escient?
    3. Quand 3D Secure pour les cartes de crédit deviendra-t-il obligatoire?
  8. Ce qu’il faut savoir sur les attaques par NIB
  9. Premiers pas avec Stripe 

Une attaque par NIB est un acte criminel au cours duquel une personne obtient et utilise illégalement les informations de carte de crédit d’une autre personne. Les attaques par NIB sont en hausse au Japon et ont une incidence significative sur les entreprises et les titulaires de cartes. Pour cette raison, il est nécessaire d’utiliser des mesures pour prévenir les attaques par NIB.

Dans cet article, nous expliquons les attaques par NIB, les dommages qu’elles peuvent causer et les contre-mesures que les entreprises et les titulaires de cartes peuvent utiliser pour les prévenir.

Qu’y a-t-il dans cet article?

  • Qu’est-ce qu’une attaque par NIB?
  • Quelles sont les répercussions de ces attaques sur les entreprises au Japon? 
  • Comment les entreprises japonaises peuvent-elles se prémunir contre les attaques par NIB?
  • Quelles sont les répercussions de ces attaques sur les titulaires de cartes?
  • Comment les titulaires de cartes peuvent-ils prévenir les attaques par NIB?
  • FAQ sur les attaques par NIB
  • Ce qu’il faut savoir sur les attaques par NIB

Qu’est-ce qu’une attaque par NIB?

Une attaque par NIB est une méthode de fraude à la carte de crédit qui utilise la cohérence des chiffres des numéros de carte de crédit pour obtenir illégalement des numéros de carte. Dans le cadre d’une attaque par NIB, l’attaquant utilise un programme ou un logiciel qui génère automatiquement des nombres aléatoires. Ces numéros sont ensuite testés pour identifier les numéros de carte et les codes de sécurité valides.

Les attaquants utilisent les pages de paiement des sites de commerce électronique pour déterminer si ces numéros générés par des machines sont valides ou non. Si une page de paiement accepte un paiement par carte de crédit à l’aide de ces numéros, le numéro de carte et le code de sécurité sont considérés comme valides. Ils risquent alors d’être utilisés frauduleusement sur divers autres sites de commerce électronique.

Voici une explication détaillée des méthodes spécifiques utilisées lors d’une attaque par NIB :

La technique du NIB

Une attaque par NIB implique la génération automatique de chiffres basés sur la régularité des numéros de carte de crédit.

Conformément à la norme internationale de l’Organisation internationale de normalisation/Commission électrotechnique internationale (ISO/IEC) 7812, les numéros de carte de crédit sont composés de :

  • Un numéro d’identification de l’émetteur (NIÉ) : Ce numéro est parfois aussi appelé numéro d’identification bancaire (NIB) et comprend les six premiers chiffres.

  • Un numéro de compte membre : Ce nombre est composé du septième à l’avant-dernier chiffre.

  • Un chiffre de contrôle : Il s’agit du dernier chiffre.

À l’aide d’un algorithme spécial, le chiffre de contrôle détermine si le numéro de carte est correct. L’émetteur de la carte de crédit détermine le NIÉ. Il s’agit d’informations publiques que tout le monde peut vérifier. Par exemple, les cartes de crédit Rakuten portent le numéro NIÉ « 3584-03 » et les cartes de crédit Visa EPOS portent le numéro NIÉ « 4897-83 ».

Après avoir établi un point de départ grâce à quelques conjectures, les nombres sont automatiquement générés par un ordinateur. Le nombre final est déterminé en testant à plusieurs reprises des combinaisons du code de sécurité et de la date d’expiration, en plus de le NIÉ, du numéro de compte du membre et du chiffre de contrôle.

Dommages causés par les attaques par NIB

Selon l’Association japonaise du crédit à la consommation, le montant total des dommages causés par l’utilisation non autorisée de cartes de crédit au Japon de janvier à décembre 2023 s’élevait à 54,1 milliards de yens, soit le montant le plus élevé jamais enregistré. Par rapport aux 43,7 milliards de yens de dommages totaux en 2022, cela représente une augmentation de plus de 10 milliards de yens en une seule année.

Si l’on décompose le montant des dommages causés par l’utilisation frauduleuse des cartes de crédit par catégories, le montant total des dommages causés par le vol de numéro en 2023 s’élevait à 50,5 milliards de yens. Cela représente 93,3 % du montant total des dommages causés par l’utilisation frauduleuse des cartes de crédit.

Les attaques par NIB entrent généralement dans la catégorie des attaques de type « vol de numéro », mais toutes les attaques impliquant un vol de numéro n’utilisent pas les techniques par NIB. Cependant, selon les tendances récentes, les activités frauduleuses impliquant le vol de numéros de carte de crédit, y compris les techniques par NIB, deviennent de plus en plus complexes et sophistiquées chaque année. On craint que les pertes ne continuent d’augmenter.

Quelles sont les répercussions de ces attaques sur les entreprises au Japon?

Voici l’incidence de ces attaques sur les entreprises japonaises :

Augmentation des frais de traitement en raison d’un grand nombre de demandes d’autorisation

L’autorisation de la carte (c’est-à-dire le processus d’obtention d’un crédit ou d’approbation de crédit) permet aux entreprises de vérifier auprès de la société émettrice de la carte de crédit si le client dispose de fonds ou de crédit suffisants pour payer une transaction. L’entreprise doit payer à la société émettrice de la carte de crédit des frais de traitement pour chaque autorisation, généralement compris entre 1 et 5 yens.

Si un site de commerce électronique fait l’objet d’une attaque par NIB, des frais d’autorisation importants lui seront généralement facturés au fur et à mesure que les numéros de carte sont soumis pour autorisation. Bien que les frais pour chaque tentative d’autorisation soient faibles, le coût des autorisations peut rapidement atteindre un montant élevé.

Même si les cartes de crédit ne sont pas utilisées frauduleusement directement sur ce site, l’entreprise peut tout de même subir des dommages en raison d’un grand nombre d’autorisations et de leurs coûts associés.

Perte de possibilités de vente et plaintes des clients

Lors d’une attaque par NIB, un grand nombre de tentatives d’accès sont effectuées à un seul endroit. Cela peut surcharger le système, ralentir le traitement des paiements et des commandes et, dans certains cas, empêcher les clients légitimes d’accéder au site de commerce électronique. Plus problématique encore, les paiements par carte de crédit peuvent donc être temporairement indisponibles.

Si cette situation se produit sur un site de commerce électronique, les clients se sentiront probablement incommodés, méfiants ou mal à l’aise et cesseront complètement d’utiliser le site. Cela peut entraîner une perte d’occasions de vente pour l’entreprise. De plus, le site sera inondé de demandes et de plaintes de la part de clients réels soucieux de savoir si leurs commandes et leurs paiements ont été traités correctement.

Suspension des paiements par carte bancaire

Les sociétés émettrices de cartes de crédit surveillent en permanence les conditions de paiement. Pour cette raison, les sociétés émettrices de cartes de crédit peuvent suspendre temporairement les paiements des sites de commerce électronique qui ont été la cible d’une attaque par NIB.

L’attaque par NIB utilise un grand nombre de chiffres aléatoires qui entrent en conflit les uns avec les autres. Il en résulte le grand nombre de demandes d’autorisation mentionnées ci-dessus, qui peuvent être signalées comme frauduleuses. Par conséquent, le prestataire de carte de crédit peut juger nécessaire d’arrêter complètement les paiements par carte de crédit sur un site donné. Et tant que ces paiements sont suspendus, il est impossible de fournir des services de paiement par carte de crédit aux clients légitimes.

Perte de confiance des clients et propagation des dommages

Comme mentionné ci-dessus, les paiements par carte de crédit peuvent être temporairement indisponibles. Si le site de commerce électronique tombe en panne alors qu’un client passe une commande, il peut être perçu comme dangereux ou incapable de traiter des paiements sécurisés.

Si un client vérifie auprès de l’entreprise, il peut recevoir une réponse du type : « Les paiements par carte de crédit sont temporairement suspendus en raison d’une activité non autorisée provenant de l’extérieur de l’entreprise. » Un message comme celui-ci peut augmenter le malaise ou la méfiance du client.

De plus, si une attaque par NIB réussit, les attaquants peuvent considérer le site comme ayant une sécurité médiocre. Par conséquent, le site pourrait continuer à être ciblé à l’avenir. De plus, si un tiers malveillant obtient des informations de carte de crédit valides sur le site de commerce électronique d’une entreprise, les informations personnelles des clients ont été compromises. Les informations de leur carte peuvent également être utilisées frauduleusement ailleurs, ce qui peut causer un préjudice supplémentaire aux clients.

Comment les entreprises japonaises peuvent-elles prévenir les attaques par NIB?

Voici les mesures que les entreprises peuvent prendre pour se protéger contre les attaques par NIB et réduire la probabilité d’être touchées :

3D Secure

3D Secure est un système d’authentification qui vise à empêcher l’utilisation non autorisée de cartes de crédit lors de paiements sur des sites de commerce électronique. Les mots de passe à usage unique et l’authentification biométrique deviennent la norme, et ils sont utilisés pour confirmer que la personne qui saisit les informations de la carte de crédit est le propriétaire légitime de la carte.

Par exemple, dans 3D Secure 2.0 (également connu sous le nom de « EMV 3D Secure »), il est possible d’empêcher toute utilisation non autorisée, telle que le vol d’informations de carte de crédit. Le système effectue une évaluation des risques basée sur des données détaillées, telles que les informations sur l’appareil du client, la région d’accès et l’heure de la journée. Toutefois, 3D Secure 2.0 ne suffit pas à lui seul à prévenir complètement la fraude, il est donc nécessaire de mettre en œuvre diverses autres mesures de prévention de la fraude au-delà de la 3D Secure 2.0.

Outils contre les agents numériques

L’utilisation d’outils de détection des agents numériques est un autre moyen d’empêcher les accès non autorisés automatisés, y compris les attaques par NIB principal. Le reCAPTCHA de Google est un outil de détection des agents numériques bien connu, et c’est un service de sécurité que toute entreprise peut adopter.

reCAPTCHA v2 propose deux types de tests. L’une demande au client de cocher une case pour confirmer qu’il ne s’agit pas d’un robot, et l’autre exige que les clients sélectionnent les bonnes images parmi un ensemble de plusieurs images. Par exemple, les instructions peuvent indiquer : « Veuillez sélectionner les images qui incluent un passage pour piétons. » On rencontre souvent cette sécurité lors de la soumission d’un formulaire de demande sur un site Web ou lors de la connexion à un compte.

De plus, la dernière version, reCAPTCHA v3, utilise l’apprentissage automatique pour analyser les modèles d’activité Web des clients et déterminer automatiquement si le site est consulté par un humain ou un robot. Bien que reCAPTCHA v3 ne nécessite pas d’intervention du client comme reCAPTCHA v2, il offre une sécurité supérieure.

Systèmes de détection des fraudes

Un système de détection de la fraude identifie les utilisations frauduleuses en fonction des informations de paiement antérieures et du comportement. Voici quelques-unes des informations qu’il recherche :

  • Une adresse non valide ou fictive

  • Un nom du titulaire de la carte ne correspond pas

  • Des commandes passées à partir de différents terminaux

  • Des paiements répétés avec des numéros de carte différents

À l’aide d’un système de détection de la fraude, les entreprises peuvent prévenir plus efficacement les dommages causés aux sites de commerce électronique en détectant et en bloquant automatiquement les transactions frauduleuses qui ne peuvent pas être vérifiées avec 3D Secure. Les systèmes de détection de la fraude n’exigent pas non plus des titulaires de carte légitimes qu’ils passent par des étapes supplémentaires pour effectuer des paiements, comme une authentification supplémentaire. Cela peut conduire à une amélioration de l’expérience d’achat pour les clients.

Stripe aide les entreprises à optimiser leur environnement de paiement en ligne en faisant face à la menace croissante de la fraude à l’échelle mondiale. L’outil exclusif de prévention de la fraude de Stripe, Stripe Radar, utilise l’apprentissage automatique pour s’adapter aux modèles de fraude en constante évolution, ce qui permet de mettre en place des mesures de prévention de la fraude plus avancées. Parce qu’il peut être intégré au flux de paiement sans nécessiter de temps et de coûts supplémentaires pour développer indépendamment un système de détection de la fraude, l’utilisation du système peut commencer en douceur et facilement.

Limites sur les saisies d’informations de carte

La définition d’une limite au nombre de fois qu’un client peut saisir les informations de sa carte de crédit sur l’écran de paiement peut empêcher les attaques par NIB à grande échelle.

Cependant, si la limite est trop stricte, elle peut bloquer l’utilisation de la carte si un titulaire de carte légitime saisit par erreur des informations incorrectes trop souvent. Une limite trop stricte peut augmenter le risque d’abandon de panier et diminuer la satisfaction des clients.

Quelles sont les répercussions des attaques par NIB sur les titulaires de cartes?

Voici quelques exemples de dommages qu’un titulaire de carte pourrait subir à la suite d’une attaque par NIB :

Utilisation frauduleuse de carte non détectée

Si les informations de carte de crédit générées lors d’une attaque par NIB sont jugées valides, il est probable qu’elles seront utilisées par un tiers malveillant. Au fur et à mesure que ces attaquants adoptent des méthodes plus sophistiquées, beaucoup maintiennent délibérément le montant d’argent dépensé à un niveau si bas qu’il n’est pas immédiatement détecté comme une utilisation frauduleuse par le client.

Réémission de cartes

S’il y a plusieurs cas de transactions frauduleuses par carte de crédit, la société émettrice de la carte de crédit peut décider d’annuler la carte. Comme nous l’expliquerons plus tard, si un titulaire de carte de crédit remarque lui-même une attaque par NIB, il doit contacter la société émettrice de la carte de crédit et faire annuler la carte. Dans les deux cas, la carte devra être réémise et ne pourra pas être utilisée tant qu’elle ne l’aura pas été.

Comment les titulaires de cartes peuvent-ils prévenir les attaques par NIB?

Lorsqu’une carte de crédit est utilisée frauduleusement dans le cadre d’une attaque par NIB, il s’agit d’un fardeau à la fois financier et psychologique pour le client. Voici ce que les titulaires de carte peuvent faire pour réduire leur risque d’être victimes d’une agression et ce qu’ils doivent faire si les informations de leur carte de crédit sont utilisées dans le cadre d’une attaque par carte de crédit :

Prévenir les attaques par NIB

Vérifiez attentivement et régulièrement les relevés de carte

Lorsqu’un titulaire de carte consulte régulièrement son relevé, il est plus susceptible de remarquer des paiements dont il ne se souvient pas. Par exemple, comparativement à une personne qui ne consulte son relevé qu’une fois par mois, une personne qui consulte son relevé après chaque magasinage ou repas sera plus susceptible de se rendre compte si un paiement est inhabituel ou non.

Utiliser un service de notification d’utilisation

Un service de notification d’utilisation permet à un titulaire de carte de recevoir des notifications par courriel, message texte ou notification poussée chaque fois qu’une carte de crédit est utilisée. Ils sont informés en temps réel du montant, de la date, de l’heure, du nom de l’entreprise et d’autres informations après l’utilisation de la carte. S’ils reçoivent une notification alors qu’ils n’ont pas utilisé la carte, ils sauront immédiatement qu’il s’agit d’une fraude et pourront prendre les mesures appropriées.

Définir des restrictions d’utilisation de la carte

L’établissement d’une limite pour chaque type de situation d’utilisation peut offrir une certaine tranquillité d’esprit aux clients détenant une carte de crédit. Il est également important de fixer des limites individuelles pour chaque situation. Par exemple, si le titulaire de la carte ne voyage jamais en dehors du Japon, il peut fixer la limite à l’étranger au minimum. Il peut également configurer la carte de manière à empêcher les transactions uniques de grande valeur, de sorte qu’ils sont moins susceptibles de devenir la cible de fraudes liées aux achats en ligne.

Se remettre d’une attaque par NIB

Parfois, ces attaques sont inévitables, même si l’entreprise et le titulaire de la carte prennent toutes les mesures possibles pour prévenir la fraude. Voici ce qu’un titulaire de carte peut faire s’il est victime d’une attaque par NIB :

Contactez la société émettrice de la carte de crédit pour suspendre la carte

Dès qu’un titulaire de carte constate une utilisation non autorisée, il doit immédiatement contacter la société émettrice de la carte de crédit et demander que la carte soit suspendue. En cas d’utilisation non autorisée, ils peuvent demander un remboursement en refusant le paiement par le biais d’un processus appelé contestation de paiement.

Utiliser le système d’indemnisation

Après la suspension d’une carte de crédit, les titulaires de carte peuvent utiliser le système d’indemnisation de la société émettrice de la carte de crédit. Les détails de l’indemnisation varient d’une entreprise à l’autre, mais si une utilisation non autorisée a été confirmée, elle peut utiliser le système d’indemnisation comme mesure d’aide aux consommateurs. Par conséquent, les titulaires de carte doivent vérifier à l’avance les détails du système d’indemnisation. Cela peut les aider à agir calmement en cas d’attaque par NIB.

FAQ sur les attaques par NIB

Quand un relevé de carte bancaire est-il mis à jour?

En termes de délais, lorsque le magasin envoie les données d’utilisation à la société émettrice de la carte de crédit, celles-ci apparaissent sur le relevé. Par exemple, si le magasin envoie des données d’utilisation immédiatement après un paiement par carte de crédit, il s’écoule généralement deux ou trois jours entre le moment du paiement et le moment où ils apparaissent sur le relevé. Cependant, le moment de la transmission des données varie d’un magasin à l’autre. Dans certains cas, il peut s’écouler plusieurs semaines, voire plusieurs mois, avant qu’un paiement n’apparaisse sur un relevé.

Si un titulaire de carte utilise une carte de crédit pour payer un produit, les informations de transaction n’apparaîtront pas immédiatement sur le relevé.

Est-il possible que seul le numéro de carte de crédit soit utilisé à mauvais escient?

Les cartes de crédit contiennent plusieurs informations qui peuvent être utilisées à mauvais escient, comme un code de sécurité et une date d’expiration. Certaines personnes peuvent craindre que leur numéro de carte ait été révélé à un tiers et qu’il soit utilisé à mauvais escient. Cependant, en général, si un seul de ces détails est divulgué, les chances d’une utilisation non autorisée réussie sont faibles.

En effet, pour faire des achats en ligne dans un centre commercial en ligne ou souscrire à des services numériques sur Internet, les titulaires de carte doivent saisir le numéro de carte, le code de sécurité et la date d’expiration. En d’autres termes, il n’est pas possible d’effectuer un paiement par carte de crédit en ligne en ayant uniquement le numéro de carte.

Cependant, si le code de sécurité et la date d’expiration sont divulgués en même temps que le numéro de la carte, ils pourraient être utilisés frauduleusement. Pour cette raison, chaque fois qu’un titulaire de carte effectue un paiement par carte de crédit, que ce soit en personne ou non, il doit faire attention à ce que les gens autour de lui peuvent voir. Il doit éviter de faire des achats en ligne dans des endroits où il y a un grand nombre de personnes, car quelqu’un pourrait essayer de regarder l’écran de paiement et d’obtenir ses informations.

Quand 3D Secure pour les cartes de crédit deviendra-t-il obligatoire?

Dans le cadre des mesures visant à empêcher l’utilisation non autorisée des cartes de crédit, 3D Secure 2.0 sera obligatoire pour les sites de commerce électronique au Japon d’ici la fin du mois de mars 2025. À mesure que 3D Secure devient obligatoire, il est important que toutes les entreprises du secteur des cartes de crédit encouragent les entreprises de commerce en ligne à y participer.

Ce qu’il faut savoir sur les attaques par NIB

Dans cet article, nous avons examiné les méthodes d’attaque et le montant des dommages monétaires dans les attaques par NIB, ainsi que les dommages et les contre-mesures pour les entreprises et les clients.

Les attaques par NIB font appel à des techniques malveillantes qui permettent des attaques aléatoires en utilisant la génération automatique de numéros par machine pour obtenir frauduleusement des informations de carte de crédit. Pour se défendre contre les attaquants qui envisagent d’utiliser les attaques par NIB, il est très important de prendre en charge 3D Secure et de renforcer le niveau de sécurité du site de commerce électronique de votre entreprise. Pour ce faire, vous pouvez mettre en œuvre la détection de la fraude et créer un environnement sur votre site où les clients peuvent faire leurs achats en toute tranquillité.

Du côté du client, les titulaires de cartes de crédit doivent également faire preuve d’une prudence accrue lorsqu’ils utilisent leur carte, vérifier régulièrement leurs relevés et faire preuve de prudence lors du stockage et de la gestion de leurs informations personnelles.

Le contenu de cet article est fourni uniquement à des fins informatives et pédagogiques. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de consulter un avocat compétent ou un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation particulière.

Plus d'articles

Envie de vous lancer ?

Créez un compte et commencez à accepter des paiements rapidement, sans avoir à signer de contrat ni à fournir vos coordonnées bancaires. N'hésitez pas à nous contacter pour discuter de solutions personnalisées pour votre entreprise.
Radar

Radar

Luttez contre la fraude grâce à la puissance du réseau Stripe.

Documentation Radar

Utilisez Stripe Radar pour protéger votre entreprise contre la fraude.