Meilleures pratiques de traitement des transactions en ligne (sans la carte)

Dans l’ensemble de l’industrie, les fraudeurs tentent d’obtenir les données de cartes de paiement (numéros de compte, dates d’expiration, valeurs de vérification (CVV2)) et les mots de passe d’utilisateurs pour accéder aux comptes en ligne, en utilisant la technique de tests de cartes.

Que sont les tests de cartes?

Dans ce cas, un logiciel malveillant automatisé télécharge ou recueille un grand nombre d’identifiants de compte en vue de les tester tous à la fois, de façon continue. Un fraudeur essaie des numéros de cartes de crédit sur les sites web commerciaux jusqu’à ce qu’il obtienne une autorisation.

Quelles sont les conséquences des tests de cartes?

Les commerçants peuvent se voir imposer une quantité excessive de frais d’autorisation si leur compte n’est pas géré adéquatement. Les développeurs de logiciels ont la responsabilité de prendre des mesures proactives pour éviter ce type de fraude aux commerçants. Les frais d’autorisation liés aux tests de cartes peuvent s’accumuler rapidement, car le fraudeur tente de recueillir le plus de données possible par le biais de plusieurs cartes. Nous ne pouvons annuler les coûts d’une attaque en force lorsque les entreprises ne se protègent pas suffisamment contre les tests de cartes.

Quelles sont les vulnérabilités face aux tests de cartes?

Toute application qui traite les paiements en ligne et ne suit pas les meilleures pratiques de traitement des paiements en ligne, y compris l’utilisation d’un CAPTCHA, est à risque.

Recommandations :

Global Payments vous recommande d’adopter les meilleures pratiques suivantes pour éviter les tests de cartes et autres attaques frauduleuses :

• L’authentification Three-Domain Secure 2 (3DS 2.0) sert à prévenir les transactions automatisées amorcées par des robots ou des scripts (cinq autorisations à partir d’une seule adresse IP ou carte, par exemple).
• Ajout d’un CAPTCHA plus compliqué, comprenant des images. Google offre gratuitement un CAPTCHA, qui doit être mis à niveau pour être pleinement efficace.
• Utilisation d’une validation par couches.
• CVV2 et Service de vérification d’adresse (AVS).
• Surveillance des adresses IP. Ajout des adresses IP ayant fait l’objet de plusieurs refus de connexion à une base de données d’adresses potentiellement frauduleuses pour analyse manuelle subséquente. Repérage des connexions à un même compte exécutées à partir de plusieurs adresses IP.
• Les analyses de vitesse peuvent servir aux transactions de toutes tailles, ainsi qu’aux transactions d’autorisation seulement.
• Mécanisme d’étranglement qui injecte des pauses aléatoires lors de la vérification de compte pour ralentir les attaques en force qui dépendent du temps.
• Surveillance des schémas de traitement :
• Utilisation et consommation de bande passante excessives de la part d’un même utilisateur.
• Plusieurs éléments de suivi se rattachant à un achat lié à un même dispositif. Par exemple, plusieurs transactions à l’aide de différentes cartes utilisant la même adresse courriel et le même ID de dispositif.
• Surveillance des tentatives de connexion :
• Verrouiller un compte lorsque l’utilisateur devine le nom d’utilisateur/mot de passe.
• Verrouiller un compte si les données d’authentification sont incorrectes lors d’un nombre « x » de tentatives de connexion.