La fraude aux paiements répond à plusieurs définitions mais, pour faire simple, ce terme qualifie une opération illégale qui détourne de l’argent ou qui crée de faux paiements ou des paiements que la victime n’a pas autorisés. Ces exactions sont réalisées en dérobant les informations personnelles de paiement de la victime ou en la dupant pour qu’elle les communique elle-même.
Il ressort de l’enquête AFP® 2022 sur le contrôle et la fraude aux paiements que 71 % des entreprises ont été victimes en 2021 de tentatives/d’attaques de fraude aux paiements, pour un coût global de plusieurs milliards de dollars à travers le monde.
Les clients ont besoin d’avoir la garantie que leur argent est entre dans de bonnes mains. Toutefois, reconnaître et lutter contre la fraude aux paiements se heurtent à un aspect délicat, à savoir la complexité des réseaux interconnectés sur lesquels elle s’appuie.
Comment reconnaître une fraude aux paiements ?
Parce que les attaques peuvent venir de toutes parts, il est vital d’adopter une approche proactive et coordonnée pour lutter contre les fraudes aux paiements et sur les transactions que le risque de cybercriminalité ne fait qu’accentuer. Dans notre enquête annuelle sur l’état de la criminalité financière, la cybersécurité a été citée comme le point le plus sensible ces deux dernières années pour les équipes en charge de la conformité.
Mais comment reconnaître cette fraude lorsqu’elle se produit ? Comment détecter un comportement inhabituel qui pourrait caractériser une fraude ? Connaissez-vous vraiment bien les identités de vos clients ?
Types de fraude aux paiements
Il existe une multitude de types de fraudes aux paiements/sur les transactions :
-
- Le phishing ou hameçonnage – des emails ou des sites Web incitent des particuliers à communiquer leurs informations personnelles telles que mots de passe et numéros de carte de crédit
- Le vol d’identité
- Le malware (ou codes malveillants) – il en existe plusieurs formes mais les ransomware en particulier continuent à progresser
- La fraude à la carte de paiement – carte-non-présente (achats en ligne généralement) et carte-présente
- Les fraudes liées à des passeurs d’argent – des recrues sont utilisées, souvent à leur insu, pour blanchir le produit d’arnaques en ligne et de fraude (utilisés généralement pour des paiements préautorisés (PPA) – voir ci-après
Au Royaume-Uni, la fraude aux paiements préautorisés (PPA) a augmenté de 71 % au premier semestre 2021, le montant dérobé dépassant pour la première fois les pertes liées aux fraudes à la carte. Dans le cadre de la fraude aux PPA, un client est manipulé pour autoriser un paiement vers un compte contrôlé par un criminel ou pour communiquer des informations personnelles et des mots de passe au moyen de tactiques telles que des arnaques par téléphone, par messages texte et emails, de faux sites Web et des publications sur les réseaux sociaux.
Risques de fraude aux paiements en ligne
La menace persistante avancée (APT) est l’un des types de fraude aux paiements parmi les plus lucratifs. Usant de techniques de piratage sophistiquées, cette fraude consiste à obtenir un accès non autorisé aux réseaux informatiques pour voler des données.
Les menaces APT sont souvent commanditées par des États et, selon le Conseil européen des paiements (CEP), elles « doivent être considérées comme un gros risque potentiel pour les infrastructures de paiement, mais aussi pour tous les écosystèmes de paiement associés aux réseaux. »
Le déni de service (distribué) (D)DoS) est une forme de fraude aux paiements en ligne dans laquelle les criminels s’emploient à rendre les machines ou les réseaux indisponibles pour les utilisateurs dans le but de perturber les services, souvent au moyen de botnets (réseaux informatiques piratés contrôlés par un pirate). Le nombre d’attaques par (D)DoS reste élevé et le CEP indique que le secteur financier est systématiquement visé.
Signaux d’alerte de fraude aux paiements
Savoir distinguer les bonnes et les mauvaises transactions et décider comment configurer les solutions automatisées de détection de la fraude pour saisir les informations utiles sont les principales difficultés dans le cadre de la fraude aux paiements.
Si certaines incohérences par rapport à un profil client type restent faciles à repérer (adresses d’expédition trop éloignées de l’adresse IP, informations non concordantes, etc.), les fraudeurs sont de plus en plus expérimentés et font de plus en plus attention à masquer les éventuelles failles. Autrement dit, les établissements doivent redoubler de vigilance et procéder à des contrôles préalables pour traquer toute anomalie.
Les risques de fraude aux paiements dont il faut se méfier sont notamment :
-
- Le phishing ou le hameçonnage – formulations urgentes ou menaçantes, demandes d’informations sensibles, informations non concordantes, pièces jointes douteuses, conception non professionnelle, non correspondance entre les URL/adresses email, expéditeur ne s’adressant pas à la victime par son nom
- Le vol d’identité – frais bancaires ou retraits inexpliqués, aspect modifié ou falsifié des documents fournis pour identification, fourniture d’informations douteuses ou non cohérentes, dépassement des autorisations de découvert
- Les malware – Logiciel imposant soudainement la mise à jour d’informations ; alerte avertissant qu’un équipement est infesté de virus ; brusque affichage à l’écran de propositions d’analyse des systèmes
- La fraude aux paiements par carte – grosses commandes ou commandes en quantités multiples du même produit, transactions transfrontières inhabituelles, gros volumes d’avances en espèces ou achats de produits de luxe, pics d’activités
- Les menaces APT – emails d’harponnage ciblés, procédures de connexion étranges, déplacement d’information, diffusion d’un point d’entrée secret par cheval de Troie, données rassemblées prêtes pour l’exportation
- Les attaques (D)Dos – accès ralenti aux fichiers, volume excessif d’emails indésirables (spam), problèmes d’accès aux sites Web, déconnexions d’Internet
Comment atténuer les risques de fraude aux paiements en ligne
Une approche fondée sur le risque construite à partir des profils client, de la sécurité et des flux de paiement est indispensable pour que le programme d’atténuation des risques de fraude aux paiements soit performant, au même titre que sensibiliser collaborateurs et clients aux signaux d’alerte.
Une approche KYC proactive et une vigilance à l’égard de la clientèle aident les établissements à mieux connaître leurs clients. Néanmoins, la gestion des risques de fraude aux paiements doit intervenir à chaque phase du parcours du client et à tous les niveaux de poste dans l’entreprise, du back-end au contact avec la clientèle.
La fraude aux paiements en ligne, en particulier, est dynamique et continuera à évoluer à mesure que les criminels s’appuieront sur de nouvelles technologies et techniques pour échapper aux contrôles. Par ailleurs, les établissements doivent être en mesure de détecter ces changements de tactique.
Au-delà du chiffrement des transactions, du changement régulier des identifiants de connexion et de l’utilisation de logiciels à jour, les entreprises peuvent prendre d’autres mesures, à savoir :
- Adopter la biométrie et des solutions avancées de vérification d’identité (IDV) lors de l’entrée en relation d’affaires. Le visage, la voix, les empreintes digitales ou même les veines de la main ou des yeux, peuvent permettre une authentification forte. Cependant, réfléchissez à l’aspect convivial et rentable de cette technologie et à son potentiel d’intégration à la procédure KYC au sens large.
- Utiliser des solutions dynamiques de supervision des transactions pour superviser les risques en temps réel tandis que la gestion des cas pratiques aide les analystes à donner la priorité aux alertes concernant les risques les plus élevés.
- Exploiter les possibilités offertes par l’apprentissage automatique qui, alors que les établissements les ont déjà adoptées pour automatiser leurs processus, peuvent aider ces dernières à détecter et à lutter contre la fraude aux paiements. Les avantages sont notamment une réduction des coûts d’exploitation et des faux positifs ainsi que le traitement rapide de grands ensembles de données pour aider à détecter la fraude au plus tôt.
- Partager avec les autres établissements et avec les autorités de régulation les renseignements sur la fraude et les informations sur les incidents.
- Identifier et réaliser régulièrement des programmes de formation. Europol, par exemple, a organisé des cours sur l’analyse scientifique de la fraude à la carte de paiement. Sont notamment étudiés les dispositifs de clonage de carte bancaire (skimming), les attaques logiques contre les DAB ainsi que les attaques par malware.
Fraude aux paiements – Histoire d’une réussite : RealPage
Principal éditeur mondial de solutions logicielles et d’analyse de données pour le secteur immobilier, RealPage traite jusqu’à 100 millions de transactions par an sur un portefeuille de plus de 19 millions de biens dans le monde. En qualité de fournisseur de paiements, l’entreprise est soumise à une obligation réglementaire de supervision des transactions via son produit de paiement pour veiller à ce que les sociétés de gestion immobilière et leurs résidents soient protégés efficacement contre les activités illicites telles que la fraude aux paiements.
RealPage recherchait une solution de supervision des transactions pouvant filtrer en quasi temps réel des typologies changeantes de fraude. Le recours à des scénarios personnalisés non utilisés par les établissements financiers traditionnels a été déterminant. De même, la gestion efficace des cas a été cruciale pour permettre aux analystes de gérer et de hiérarchiser les alertes de manière performante.
Pour en savoir plus, lisez l’histoire complète de RealPage.
Demandez une présentation
Découvrez comment plus de 1000 entreprises de premier plan procèdent à un filtrage par rapport à la seule base de données de risques en temps réel au monde qui répertorie les personnes et les entreprises.
Publié initialement 05 octobre 2022, mis à jour 05 octobre 2022
Avertissement : Ce document est destiné à des informations générales uniquement. Les informations présentées ne constituent pas un avis juridique. ComplyAdvantage n'accepte aucune responsabilité pour les informations contenues dans le présent document et décline et exclut toute responsabilité quant au contenu ou aux mesures prises sur la base de ces informations.
Copyright © 2023 IVXS UK Limited (commercialisant sous le nom de ComplyAdvantage)