2018 a généralisé les paiements sans contacts. D’une part, les banques facilitent davantage ces paiements, d’autre part les Fintechs proposent aussi des solutions de paiement numérique. Bien sur ces solutions sont pratiques mais elles font encourir des risques de fraude lors des paiements par mobile.
Évolution des paiements mobiles
D’ici 2019, les paiements mobiles à l’échelle mondiale devraient dépasser 1 000 milliards de dollars et, pour le Black Friday qui arrive d’ici quelques semaines aux aux États-Unis, on attend des ventes en ligne sur appareils mobiles d’un total supérieur ou proche de 2,5 milliard de dollars. En 2017, les ventes en ligne ont atteint plus de 5 milliards dont 2 milliards sur mobile.
Voilà les chiffres attendus pour cette fin d’année :
Le risque des paiements mobiles ?
Le paiement par mobile est un terme très large pour tout définir paiement effectué sur un appareil, que ce soit au point de vente physique ou par le biais du commerce électronique mobile, qui peut être subdivisé en paiements dans une application ou par navigateur Web mobile. Pensez par exemple, Google Pay ou au paiement sans contact au supermarché avec un smartphone. Le paiement a été facilité mais il y a un inconvénient à ce changement. Plus le nombre de parties ayant accès aux données de paiement augmente, plus les fraudeurs peuvent obtenir des données sensibles. Ces nouvelles technologies ont donc apporté avec elles de nouvelles méthodes de fraude.
Il a été démontré que le commerce mobile est plus sujet à la fraude dans certains cas, 60 % des transactions étant confirmées comme étant des fraudes exécutées sur un appareil mobile. Les coûts de la fraude en pourcentage des revenus totaux sont plus élevés pour les m-commerçants.
Par exemple, les biens numériques, comme les billets d’avion achetés en ligne, sont quatre fois plus susceptibles d’être une démarche frauduleuse que les commandes de produits physiques. Les transactions mobiles de plus de 1 000 $ sont trois fois plus susceptibles d’être frauduleuses que les commandes de moins de 200 $.
Le commerce mobile est sensible à des types de fraude similaires à ceux du commerce électronique, bien que les risques de fraude d’identité soient plus élevés. En effet, un appareil mobile peut être facilement volé et utilisé à la fois sur un point de vente et pour des achats en ligne. De plus, comme les paiements mobiles ajoutent un niveau de complexité, les fraudeurs disposent de plus d’options pour trouver des faiblesses et les exploiter. L’absence de normes technologiques pour les paiements mobiles et le nombre croissant d’applications disponibles ne font qu’augmenter les risques.
Types de paiements mobiles et leur fonctionnement
Il existe deux types de paiements mobiles : en ligne et aux points de vente physiques.
Les points de vente physiques font référence à des méthodes telles que Apple et Android Pay. Plusieurs autres entreprises offrent également ces services, par exemple, MasterPass (de MasterCard), Samsung Pay etc. La plupart des paiements physiques aux points de vente fonctionnent en utilisant la technologie NFC (Near Field Communication) que l’on trouve dans la plupart des smartphones et qui est indentique à celle de votre carte de débit/crédit sans contact.
Les informations de la carte ne sont pas stockées sur votre téléphone ou données au commerçant. Au lieu de cela, un jeton ou token est créé. Il remplace les détails de votre carte, ce qui rend la transaction elle-même très sûre. Apple Pay va encore plus loin en matière de sécurité en exigeant que toutes les transactions soient vérifiées par empreinte digitale ou par mot de passe, alors qu’avec Android Pay, il vous suffit de vous assurer que le téléphone soit déverrouillé et de le maintenir sur le terminal sans contact.
Apple et Android Pay ont également des versions de portefeuilles mobiles qui vous permettent de stocker plus d’une carte et de choisir avec laquelle payer.
Le commerce électronique mobile fait bon usage des portefeuilles mobiles qui peuvent être utilisés sur des sites Web mobiles ou par l’intermédiaire d’applications, apparaissant comme l’option, par exemple, « payer avec Apple Pay ». D’autres choix apparaissent également rapidement, avec la possibilité de payer en ligne en utilisant, par exemple, Amazon, PayPal, ou Facebook. Ces options sont de plus en plus populaires, car elles permettent un processus de paiement en une seule fois, car toutes les informations personnelles sont déjà présentes et il suffit de vous connecter à votre compte Amazon/Facebook/PayPal/mobile wallet.
Principaux types de fraude mobile et en ligne
Comment la fraude aux paiements mobiles peut-elle se produire ?
En théorie, il y a très peu de façons d’abuser des paiements aux points de vente mobiles, étant donné que vous avez besoin d’un mot de passe ou d’une empreinte digitale pour effectuer une transaction ou déverrouiller le téléphone.
À moins que le mot de passe n’ait été divulgué ou que le client n’ait été vu en train d’entrer son mot de passe par un fraudeur, il est aussi sûr qu’une carte de débit/crédit ordinaire. Il est en fait plus sûr puisque le numéro de carte n’est divulgué à personne à aucune étape du processus.
Cependant, les détails volés de carte de débit/crédit peuvent être utilisés pour configurer Apple/Android Pay.
En ce qui concerne les paiements électroniques mobiles, un tout nouveau compte pourrait être créé à l’aide de données de carte volées qui peuvent être obtenues de n’importe où comme vous allez le voir dans la liste de types de fraude ci-dessous.
Il est également possible que, lorsqu’un compte est créé et que le m-commerçant envoie un SMS, le numéro de téléphone ait été détourné. Cela signifie que le fraudeur peut transférer les appels et messages de la victime à son téléphone et la vérification est transmise avec des informations déjà hameçonnées par d’autres organisations ou même achetées sur Internet. Cela peut aussi se produire lors de la configuration d’Apple/Android Pay avec les détails de carte volée.
Voici quelques types de fraude que les m-commerçants doivent connaître :
Vol d’identité
71 % des commerçants citent ce type de fraude comme leur principale préoccupation. La fraude d’identité se produit lorsque des fraudeurs interceptent des données sensibles qui ne sont pas correctement protégées et utilisent cette identité pour effectuer des achats en ligne ou sans présentation de carte. Dans le cas des portefeuilles mobiles, les fraudeurs volent physiquement les appareils mobiles et les utilisent pour faire des achats non autorisés.
Fraude aux paiements sans carte
La fraude CNP – ou carte non présente – a fortement augmenté avec l’essor du paiement sans contact et du commerce électronique. Pour commettre une fraude CNP, le fraudeur doit recevoir :
- le nom,
- l’adresse de facturation,
- le numéro de compte,
- le code de sécurité à trois chiffres
- la date d’expiration de la carte.
Ces données peuvent être volées électroniquement, sans avoir à voler la carte physique. Une grande partie de la fraude CNP est due à des fuites de données. Beaucoup de données sont par exemple en vente sur le darknet. Ce type de fraude comprend également le vol de renseignements sur les cartes de crédit par hameçonnage ou le vol de renseignements sur les cartes de crédit des clients par des employés peu scrupuleux.
La fraude CNP se produit pour les transactions qui ne nécessitent pas de carte de débit pour être effectuées. En d’autres termes, le payeur n’a pas besoin de s’identifier. Il peut s’agir, par exemple, de paiements effectués par Internet, par des applications ou par téléphone. Heureusement, divers fournisseurs de services de paiement se concentrent maintenant sur le développement de logiciels de lutte contre la fraude CNP, tels que 3DS, Verified by Visa et Mastercard SecureCode.
Piratage automatisé
Les fraudeurs continuent d’essayer de pirater des boutiques en ligne et des comptes bancaires. Ils peuvent alors se connecter à des comptes en ligne avec des données volées. Elles ont souvent obtenues par des fuites de données. Ils ont ainsi accès à des comptes de consommateurs dans des boutiques en ligne ou chez d’autres prestataires de services de paiement. Les fraudeurs disposent de toutes les informations personnelles identifiables qui leur permettent de modifier les paramètres de leur compte et de passer des commandes.
Ce type de piratage est souvent automatisé. Les fraudeurs utilisent des robots et/ou des scripts pour tester des combinaisons de noms d’utilisateur et de mots de passe volés sur plusieurs sites Web et applications jusqu’à ce qu’ils aient accès.
Parce que dans certains cas les cartes de paiement sont déjà liées aux comptes (pensez à PayPal et à d’autres services de cartes de crédit), seul le login du compte est nécessaire pour approuver un paiement. Cela rend cette forme de fraude particulièrement dangereuse. Il ne suffit pas de protéger les comptes avec un mot de passe.
Spoofing
D’anciennes méthodes pour convaincre les victimes de renoncer à leur argent n’ont pas encore disparu. L’usurpation d’identité, par exemple, demeure une forme efficace de fraude et s’est étendue à de nouveaux canaux. Avec le spoofing, un fraudeur se forge une identité pour avoir accès à des données. Par exemple, si un fraudeur se fait passer pour quelqu’un d’autre par téléphone, il peut changer son nom, son numéro de téléphone ou d’autres renseignements sur l’identification de l’appelant affichés pour inciter le répondant à donner des renseignements précieux tels que des renseignements de connexion, bancaires ou privés.
L’usurpation d’URL consiste à créer un faux site Web pour inciter les utilisateurs à entrer des informations ou à télécharger un virus. Les fraudeurs contactent également les victimes potentielles en piratant les comptes de leurs amis Facebook et en envoyant des messages qui semblent provenir d’un ami de confiance. Pendant ce temps, les fraudeurs usurpent même les adresses IP et les dispositifs dans les réseaux pour pirater les réseaux afin de voler des données, de mener des attaques DNS ou de répandre des logiciels malveillants.
Fraude aux cartes de fidélité
Cela peut se produire lorsque les fraudeurs interceptent les programmes de fidélisation ou les comptes des membres pour vol et transfert de points. Il y a aussi des cas où les points sont vendus et transférés à d’autres pour un gain monétaire.
Des employés indélicats peuvent aussi être complice et entrer des points de fidélité dans des comptes de clients.
Fraude à la livraison
Cela se produit lorsque des commandes légitimes sont contestées par le consommateur, ce qui oblige les commerçants à rembourser les paiements en émettant une note de crédit. Cette forme de fraude peut être involontaire, le consommateur oubliant qu’il a passé sa commande, ou un membre de sa famille utilisant la carte de paiement d’un autre sans autorisation. Il y a aussi des cas où il s’agit d’une fraude intentionnelle, les fraudeurs passant des commandes et prétendant ensuite qu’ils n’ont jamais reçu les marchandises, bénéficiant à la fois d’un remboursement et des marchandises achetées.
Prenez l’exemple d’Amazon et de leur port gratuit ou à un euro. Si une livraison est faite par la poste via un envoi simple, des clients mal intentionnés peuvent déclarer ne pas avoir reçu leur colis. L’ogre de e-commerce renverra la marchandise ou proposera un remboursement.
Comment les commerçants devraient-ils se protéger ?
Bien que la fraude mobile soit en hausse, la sensibilisation aux défis particuliers que les commerçants doivent relever pour se protéger et protéger leurs clients l’est tout autant. Voici quelques pratiques que les détaillants de m-commerce peuvent mettre en œuvre dans leur lutte contre la fraude mobile :
Distinguer le e-commerce du m-commerce
Bien que le résultat final puisse être identique, il est important de comprendre l’ampleur de la fraude de chaque canal et d’allouer efficacement les ressources nécessaires pour contourner les différents types de fraude. Examiner les tentatives et les réussites frauduleuses et faire la distinction entre l’origine de la fraude afin de mettre en œuvre les programmes de sécurité qui offrent la meilleure couverture.
Mettre en œuvre les normes de sécurité
La norme PCI DSS (Payment Card Industry Data Security Standard) est un ensemble de normes garantissant l’adoption des meilleures pratiques et méthodes de sécurité pour protéger les informations sensibles des cartes de paiement. C’est une exigence pour tous les commerçants qui acceptent les cartes de crédit, et le niveau de sécurité est dicté par le volume des transactions effectuées. Le niveau 1 offre la protection la plus élevée. Des prestataires de services de paiement fournissent également des services de gestion des risques et analysent régulièrement les listes noires pour une protection accrue.
Utiliser l’authentification multifactorielle
Les appareils mobiles conviennent parfaitement à l’authentification multifactorielle, qu’il s’agisse d’authentification biométrique, d’empreintes digitales ou même de méthodes d’authentification par capteurs mobiles. Les autres méthodes d’authentification sont les questions d’identification et les codes PIN. En combinant les méthodes d’authentification, les chances de réussite d’une fraude d’identité diminuent. Les consommateurs sont plus que disposés à utiliser ces méthodes qui servent à protéger leurs données sécurisées, 78 % d’entre eux étant disposés à entrer leur code CVV et 70 % à répondre à une question d’identification.
Vérification des antécédents des employés
Tout le personnel devrait faire l’objet d’une vérification des antécédents ; toutefois, cela est particulièrement important pour le personnel qui travaille avec les systèmes financiers. Des vérifications des antécédents devraient être effectuées au moment de l’embauche et périodiquement par la suite.
En anglais ils appellent cela les 3 C de la protection des e-mails : compare, check and Call
1-. Comparez les adresses e-mail Portez une attention particulière aux caractères trompeurs, à la ponctuation incorrecte et aux fautes d’orthographe dans les adresses électroniques.
Exemple : [email protected] et [email protected]
2-. Vérifiez :
- La langue
- Les mots mal orthographiés
- La grammaire mal utilisée
qui peuvent être des signaux d’alarme.
3-. Appelez pour confirmer.
Il est inutile d’envoyer un courriel au client pour confirmer sa demande si vous communiquez déjà avec un suspect. Obtenez le numéro du client auprès d’une source vérifiée, puis appelez pour vérifier si la demande de transfert est valide.
Suivre le comportement du client
Les écarts de comportement des clients peuvent signifier une fraude. Les détaillants devraient utiliser des outils pour suivre le comportement d’achat de certains clients. Ils pourraient alors communiquer directement avec le client pour vérification lorsque les achats dépassent leurs limites prédéfinies.
Les détaillants mobiles qui mettent en œuvre des solutions de paiement transparentes et sécurisées offrent à leurs clients une meilleure expérience utilisateur. Plus les clients se sentent en sécurité, plus ils sont susceptibles d’adopter et d’accroître leur activité de commerce mobile.
Comme les technologies évoluent constamment, les commerçants doivent se tenir au courant des nouveaux et différents types de fraude et des nouvelles technologies de sécurité qui s’offrent à eux.
Comment le client doit-il se protéger
Selon l’enquête de Kount (voir ci-dessous), 34 % des utilisateurs ne verrouillent pas leurs appareils et 62 % de ceux le font qui ont un code facilement piratable tel que 1-2-3-4.
Beaucoup de gens qui sauvegardent leurs informations de connexion pour Amazon, Facebook, PayPal, ou leur portefeuille mobile. La nécessité de verrouiller votreappareil mobile est cruciale. Sans cela, si un appareil mobile est perdu ou volé, un fraudeur a accès gratuitement au compte bancaire d’une victime (ou à plusieurs comptes si plus d’une carte est stockée dans le portefeuille) pour faire de folles dépenses.
Utilisez l’authentification multifactorielle
Les appareils mobiles conviennent parfaitement à l’authentification multifactorielle, qu’il s’agisse d’authentification biométrique, d’empreintes digitales ou même de méthodes d’authentification par capteurs mobiles. Les autres méthodes d’authentification sont les questions d’identification et les codes PIN. En combinant les méthodes d’authentification, les chances de réussite d’une fraude d’identité diminuent.
Utilisez un ordinateur dédié pour les opérations bancaires
L’ordinateur « bancaire » ne doit pas être utilisé à d’autres fins : pas de vérification des e-mails, pas de navigation sur Internet, etc.
- Désactiver les services inutiles, restreignez l’accès privilégié, changez régulièrement les mots de passe, etc.
- Envisagez d’utiliser un système non Windows pour l’ordinateur « bancaire » : Linux ou MacOS
Méfiez-vous des communications que vous n’initiez pas
- Ne donnez jamais d’informations sensibles à un appelant qui vous a appelé. Les informations sensibles ne doivent être données que pour les appels que vous avez passés en utilisant des numéros de téléphone connus.
Ne donnez jamais accès (à votre ordinateur, à votre courriel, à une application, etc.) à un appelant - Validez les courriels qui demandent des transactions financières ou l’accès à quelque chose de sensible
- Validez en rappelant
Surveillez vos comptes tous les jours
La surveillance quotidienne ne mettra pas fin à la fraude et n’identifiera pas toutes les fraudes. Elle aidera à déceler les signes de fraude. Si des paiements réguliers sont effectués, utilisez les tendances de l’historique des paiements sur de longues périodes.
Évitez de vous connecter à un WIFI public sans VPN
Si vous êtes amené à vous connecter sur un réseau WiFi qui est public, vos données peuvent facilement être détournées.
Il est donc indispensable de vous connecter avec un VPN qui sécurisera votre navigation.
MPFS, Mobile Payments & Fraud Survey 2018
La société Kount a réalisé la sixième enquête annuelle sur les paiements mobiles et la fraude (MPFS), qui mesure l’état des paiements mobiles et de la fraude sur les canaux mobiles..
En sondant près de 600 commerçants, le rapport a révélé que :
Baisse de l’usage de portefeuilles mobiles
De grandes solutions de portefeuilles mobiles ont perdu des utilisateurs :
- Le pourcentage de répondants acceptant Apple Pay en 2018 est passé de 48 à 35%,
- Google Pay est en baisse de 38 à 25%.
Un tiers des commerçants ne suivent pas les fraudes
Environ 35 % des commerçants ne suivent toujours pas la fraude mobile ou ne savent pas si les tentatives de fraude mobile ont augmenté ou diminué depuis l’année dernière.
La part des commerçants qui affirment que le canal mobile nécessite des outils spécialisés pour la gestion des risques est à son plus bas niveau enregistré au cours des six années de cette étude. Seulement la moitié des commerçants interrogés estiment que le canal mobile nécessite des outils supplémentaires ou spécialisés, comparativement aux deux tiers à trois quarts des commerçants dans chacune des études précédentes.
Défis des commerçants
- Les défis les plus fréquemment cités par les marchands de téléphonie mobile aujourd’hui sont les suivants:
- Maintenir la facilité d’utilisation pour le consommateur (60 %)
La capacité de détecter les tentatives de commande frauduleuses (52 %)
Augmentation des tentatives de fraudes mobiles
- Plus de 75 % des institutions financières et des organises de crédits, ainsi que des marchands d’aliments et de boissons, affirment que les tentatives de fraude mobile ont augmenté l’an dernier.
- Plus des deux tiers des sites de streaming/téléchargement numérique, des sites de santé/beauté et des sites sociaux de rencontres disent la même chose.
- Plus de 38 % des commerçants considèrent le canal mobile comme plus risqué que le commerce électronique de bureau, ou 43 % des commerçants si l’on exclut ceux qui ne prennent pas en charge le canal mobile aujourd’hui. Il s’agit d’une hausse par rapport à un peu plus de 25 % des commerçants l’an dernier, et en ligne avec ce que les commerçants ont déclaré en 2015 et 2016.
- Les organisations de transfert de fonds ou de transferts de fonds sont les plus susceptibles de déclarer le canal mobile comme étant le plus à risque, puisque la moitié de ces commerçants citent les transactions par application mobile ou par navigateur Web mobile comme étant le plus à risque de fraude.
- Plus de 35 % des services de téléchargement, de diffusion numérique en continu, de matériel informatique et de marchands de bijoux ont indiqué que les transactions d’applications mobiles ou de navigateurs Web mobiles sont leurs canaux les plus à risque.
Priorité au mobile
Parmi les industries qui donnent la priorité au mobile:
- les marchands qui vendent des bijoux (71 %),
- des produits électroniques et informatiques (63 %),
- des produits de santé et de beauté (63 %)
- des vêtements ou accessoires (56 %)
sont les plus susceptibles de considérer le canal mobile très important pour leur stratégie globale. Les ventes mobiles dans le chiffre d’affaires total ont augmenté de manière significative depuis 2013.
Le pourcentage de commerçants qui tirent la majorité de leurs revenus des canaux mobiles a quintuplé entre 2015 et 2018 : Seuls 2 à 3 % des commerçants avaient réalisé plus de la moitié de leur chiffre d’affaires total via mobile entre 2013 et 2015. Actuellement, ce sont 17 % des commerçants qui réalisent une grande partie de leur chiffre d’affaires via mobile.
Près d’un tiers des commerçants interrogés pensent que le mobile représentera au moins la moitié de leur chiffre d’affaires total d’ici 2020, tandis que 60% des commerçants déclarent que le mobile représentera au moins 30% de leur chiffre d’affaires total d’ici là.
Peu de commerçants lutte contre la fraude
- La majorité des commerçants interrogés (52 %) ont indiqué qu’ils utilisaient des outils ou des fournisseurs de services tiers pour gérer le risque et détecter la fraude dans le réseau mobile.
- Un tiers d’entre eux n’utilisent pas de services tiers, que ce soit pour gérer la fraude dans le réseau mobile en interne ou pas du tout.
- 15 % des répondants étaient incertains, ce qui laisse supposer qu’il n’existe que peu ou pas de stratégie de prévention de la fraude.
Peu d’utilisation de l’AI
Bien qu’en constante augmentation au fil des ans, moins de 20 % des commerçants ont adopté l’un des outils de lutte contre la fraude les plus efficaces dont ils disposent : l’intelligence artificielle. Elle n’étaitt utilisée que par 5% des commerçants pour les transactions sur les canaux mobiles en 2015, contre plus de 18% des commerçants aujourd’hui.
Détection des fraudes sur mobile
La capacité de détecter les transactions provenant d’appareils mobiles s’est considérablement accrue depuis la première enquête sur les paiements mobiles et la fraude. Elle est passée de seulement 16 % des commerçants en 2013 à 46 % aujourd’hui.
Plus de 83 % des commerçants utilisent au moins deux outils ou techniques de prévention de la fraude dans le canal mobile, les deux tiers en emploient trois ou plus et 25 % en utilisent sept ou plus.
Un commerçant sur trois utilise l’authentification d’identité dans le canal mobile, tandis qu’environ un sur quatre utilise actuellement des contrôles de vitesse, l’identification des appareils et un moteur de règles.
La géolocalisation mobile et les programmes d’authentification 3D sécurisée des consommateurs comme Verified by Visa et MasterCard SecureCode sont utilisés dans le canal mobile par environ un commerçant sur cinq.
Bien que les commerçants soient plus susceptibles aujourd’hui de faire la distinction entre une transaction mobile et une transaction sur ordinateur, ils sont moins nombreux à passer à l’étape suivante pour sécuriser le canal mobile avec une stratégie de fraude dédiée.
Bien que les tentatives de fraude mobile aient augmenté pour 60% des commerçants l’année dernière, seulement 17% utilisent une stratégie de gestion des risques distincte pour le canal mobile.
Conclusion
Avec la prolifération du commerce électronique, des appareils mobiles et des améliorations en matière de sécurité, les paiements mobiles vont certainement augmenter et probablement dépasser les méthodes de paiement traditionnelles au cours des prochaines années. La fraude reste un risque dont les fournisseurs de services de paiement mobile et les consommateurs doivent être conscients et contre lequel ils doivent prendre des mesures, aussi simples soient-elles.