Ce que vous devez savoir sur la fraude par terst de carte

Article fourni par Authorize.net

Les petites et moyennes entreprises doivent être proactives en matière de gestion de la fraude afin de se protéger contre les fraudeurs qui peuvent les considérer comme des cibles faciles. Vous croyez peut-être que la taille de votre entreprise vous rend moins vulnérable aux attaques frauduleuses, mais c'est souvent le contraire qui se produit. Les fraudeurs sophistiqués ont une bonne idée des entreprises qui sont moins bien protégées ou qui n'ont pas de responsable de la lutte contre la fraude. Ils peuvent cibler des entreprises qu'ils considèrent comme relativement peu protégées en procédant à des tests de cartes.

Imaginez vous réveiller pour trouver votre site bombardé par des milliers de transactions. La première chose qui vous vient à l’idée, c’est « Youpi! ». « Mon travail acharné porte ses fruits. » Mais en y regardant de plus près, on s'aperçoit que tous les achats sont des petits montants et que la grande majorité d'entre eux ont été refusés pour une raison ou une autre. Vous réalisez qu’ils sont frauduleux. Au début, vous n'êtes pas certain que ce soit grave, puisqu’il s’agit de petits montants. Mais vous commencez à recevoir des appels de clients au sujet d'achats qu'ils n'ont jamais effectués. Lorsque les appels ont cessé, vous commencez à additionner tous les débits compensatoires et les frais d'autorisation et vous réalisez que les bénéfices de ce mois-ci, et peut-être même ceux de l'année, sont en train de s'effondrer. Malheureusement, vous n’êtes pas seul. Les tests de cartes constituent l'une des plus grandes menaces pour les commerçants modernes du commerce électronique. En fait, il s’agit de la forme la plus courante de fraude ayant été subie par les marchands en Amérique du Nord en 2021.¹

Qu’est-ce que le test de carte?

Les fraudeurs utilisent les tests de cartes pour valider les numéros de cartes de crédit en vue d'une utilisation ultérieure. Les tests se divisent généralement en deux catégories : les tests portant sur des numéros de carte obtenus illégalement et les tests portant sur des numéros de carte devinés de manière intelligente. Un fraudeur disposant d'un numéro de carte de crédit volé effectue un petit achat pour vérifier si la carte est active et si l'achat échappe aux mesures de détection de la fraude du commerçant. Si le petit achat est réussi, le fraudeur commence à effectuer des achats plus importants afin de tirer le maximum de la carte avant que la fraude ne soit détectée².

Ce processus permet de savoir quelles cartes ont été annulées ou désactivées et lesquelles sont encore valides. Une fois que les numéros de carte annulés ou refusés ont été éliminés, les fraudeurs effectuent des achats plus importants ou revendent les renseignements validés.

Qui est à risque?

Les attaques par test de carte visent souvent les petites et moyennes entreprises ainsi que les organisations qui acceptent des dons ou même des frais de scolarité. Les entreprises et les organisations qui ne vendent pas de biens matériels sont particulièrement vulnérables, car elles partent du principe que la fraude n'est pas un problème, les fraudeurs le savent et les ciblent donc délibérément.

Quels sont les effets probables d’une attaque de test de carte?

Nos analystes des risques ont constaté qu'une attaque par test de carte peut affecter négativement une entreprise non préparée pendant plusieurs mois, entraînant des pertes financières et autres. Voici un échéancier typique de ce que vous pourriez vivre :

Jour 1 (jour de l’attaque)

Le fraudeur soumet potentiellement des milliers de commandes, dont beaucoup peuvent être approuvées. Les commandes de biens physiques approuvés pourraient commencer à être expédiées, ce qui entraînerait des pertes de produits. Une fois que les émetteurs de cartes sont au courant de ce qui se passe, ils peuvent demander à votre acquéreur d'interrompre votre capacité à traiter des transactions. Vous devrez fournir la preuve d'une stratégie d'atténuation avant de pouvoir reprendre le traitement des transactions.

Jours 2 à 30

Comme le fraudeur a soumis un grand nombre de transactions, il se peut que vous deviez payer des frais de traitement d'autorisation importants à votre acquéreur et à votre passerelle de paiement. Par exemple, vos frais d'autorisation pourraient passer d'une moyenne de 40 $ par mois à 15 000 $ par mois. Pire encore, vous ne percevrez pas non plus de revenus sur ces transactions.

Jours 31 à 120

Les débits compensatoires et les frais associés commencent à arriver parce que les transactions n'ont pas été annulées lors de l'attaque initiale. Votre entreprise peut subir une atteinte à sa marque et à sa réputation et perdre la confiance de ses clients.

Que puis-je faire pour protéger mon entreprise contre les tests de cartes?

Malheureusement, une fois qu’une attaque de test de carte est lancée, il y a peu de choses que vous pouvez faire. Votre avenir sera plus prospère si, au lieu de réagir à une attaque une fois qu’elle s’est produite, vous adoptez une approche proactive pour prévenir les tests de cartes (et d'autres types de fraude).

1. Soyez proactif. Consultez votre site Web et voyez où vous pourriez être vulnérable. Quels sont les outils de vérification des clients dont vous disposez actuellement? N’ignorez pas les activités suspectes.
2. Utilisez un outil d’atténuation de la fraude. Authorize.net dispose d’un outil de lutte contre la fraude intégré : Advanced Fraud Detection Suite comprend 13 filtres de fraude facilement configurables qui permettent de définir des seuils minimums de transaction, des paramètres de vitesse de paiement, des limitations par pays et bien plus encore, afin d'empêcher le traitement de transactions frauduleuses.
3. Configurez un pare-feu simple. De nombreux pare-feu sont dotés d'outils de base pour la détection, la prévention et la suppression des réseaux de zombies.
4. Songez à mettre en œuvre un certain type de CAPTCHA dans votre processus de paiement. Cette technologie s'est améliorée au cours des dernières années et peut produire beaucoup moins de frictions pour vos clients que les versions précédentes.
5. Si vous acceptez des dons ou d’autres montants de paiement personnalisés, fixez un minimum. Les fraudeurs cherchent à valider la validité d'une carte sans que le titulaire s'en aperçoive et le signale. Moins les frais sont élevé, moins ils risquent d'attirer l'attention. Fixez une valeur minimale aussi élevée que possible tout en restant appropriée pour la plupart des donateurs.

Aucune solution ne peut à elle seule mettre fin à la fraude, c'est pourquoi nous recommandons une stratégie à plusieurs niveaux. Envisagez de combiner les meilleures pratiques, telles que l'examen des risques, les seuils de paiement minimum et l'identification précoce des anomalies, avec une gamme d'outils performants.

Arrêtez la fraude avant qu'elle ne se produise. Les petites entreprises devraient être proactives en matière de gestion de la fraude; prenez le temps de comprendre ce que vous pouvez faire de manière proactive pour protéger votre entreprise et les outils disponibles qui vous permettront de prévenir la fraude et à garantir votre protection.

¹ Prévention de la fraude par test de carte par les gourous de rétrofacturation, 1er janvier 2022, https://www.chargebackgurus.com/blog/card-testing-fraud

² Prévention de la fraude par test de carte par les gourous de rétrofacturation, 1er janvier 2022, https://www.chargebackgurus.com/blog/card-testing-fraud