Silicon.fr – Cyber-criminels: un changement de stratégie se profile
Une nouvelle tactique est en train d’émerger chez les pirates : ils commencent à viser les bases de données et programmes qui alimentent les boutiques en ligne.
La fraude actuelle sur les sites marchands
La fraude actuellement est essentiellement liée au paiement par CB & est opérée en attaque frontale dirigée vers un site marchand -> j’ai un n° de carte bidon, je passe une commande et me fais livrer à une adresse près de chez moi. Numéros de cartes volées, numéros bidons qui savent passer les interfaces de paiement sécurisé, ce qui donne des commandes qui sont validées.
Des cyber arnarques directes de mieux en mieux montées
Il y a une paire d’années, les e-voleurs n’étaient pas vraiment à la pointe, ils payaient avec des n° de cartes volées et se faisaient livrer à leur adresse. Moi aussi je trouvais ça énorme, mais il y en a eu beaucoup, on a eu suffisamment de réquisitions pour s’en souvenir. Ensuite, du mieux pour les yeux avec des livraisons à des adresses qui existent avec interception des colis directement auprès de la personne qui livre (généralement chronopost). Mais ici, on a certain critères qui sont détectables & on peut bloquer la commande avant expédition.
En ce moment, les fraudeurs s’organisent & l’on a affaire à des bandes qui travaillent de façon moins détectable. Ils commandent avec un nom existant, avec une adresse physique que l’on trouve dans les pages jaunes, avec de vraies adresses mail cohérentes de providers et non pas de webmails gratuits. Ici beaucoup plus difficile à détecter mais les marchands s’organisent.
Les marchands contre-attaquent
Les règles de filtrage des commandes sont liées au bon sens. On défini a un certain nombre de critères auquel on attribut des scores & le total score défini le niveau de risque. La typologie des produits commandés, le montant de commande, le type d’adresse mail, le n° de téléphone, le matching du nom & de l’adresse, le mode de livraison… etc… Avec l’expérience, on détecte une commande frauduleuse au premier coup d’oeil. Ce physionomiste de commande peut être une personne bien réelle & le process peut être automatisé.
Mais l’évolution de la défense réside dans le partage des informations & de l’expérience entre marchands, ils s’organisent, organisons nous. Nous partageons ainsi les informations relatives aux tendances du moment, aux risques de fraude, aux bandes détectées. Nous sommes plusieurs à inter connecter nos gestcom via des flux XML. Du dialogue assisté & bien moderne comme on l’aime.
Le fraudeur est obstiné
Le fraudeur est obstiné & s’organise mieux. Face aux barrières mises en place & aux moyens de détection, il ne peut que “fiabiliser”, maquiller au mieux sa commande frauduleuse, c’est à dire la rendre plus vraie que vraie, nous arrivons à de la commande contrefaite. Ici, le phishing va jouer un rôle prépondérant puisque la 1ere étape est d’avoir des n° de cartes véridiques et idéalement provenant de clients du site objectif. Nouvelle attaque donc avec des pirates qui s’attaquent aux vulnérabilités des bases de données, il faudra donc très rapidement trouver un parade sécuritaire à ces déviances. Ce qui m’inquiète le plus, c’est la réputation relative à la sécurité pour le grand public. Alors que la confiance dans le réglement online commence seulement à s’installer, on va nous scier les jambes avec le phishing & la sécurité des infos perso. La barbe.
Le marchand n’est pas moins obstiné
La parade est ici technique bien sûr avec sécurisation, pistage des risques + alliance entre marchands afin de partager l’info risque & détecter les bandes organisées, c’est ce que nous faisons déjà. Mais il faudra également que les marchands communiquent mieux auprès de leurs clients sur ce qu’ils font & sur leur organisation inter marchande. Nous agissons dans l’intérêt du client & dans l’intérêt de notre chiffre d’affaire, nous avons une vie commune qu’il nous faut préserver.
No Comments