La nouvelle est passée quasi inaperçue. Elle fait pourtant froid dans le dos : durant l’été, un hacker a publié gratuitement sur le darknet plus d’un million de numéros de cartes bancaires(1). Objectif du pirate informatique : mettre en avant sa « boutique » de données volées qui contiendrait près de 3 millions de cartes bancaires. Une incroyable opération de communication destinée aux personnes mal attentionnées...
Pour bon nombre de spécialistes, ce type de business frauduleux explique en partie l’importante augmentation des tentatives de fraude de paiement en ligne constatée depuis l’apparition de la pandémie de coronavirus.
Cette dernière, aussi brusque que soudaine, a poussé bon nombre de commerçants à rapidement mettre en place des solutions de paiement en ligne pour tenter de maintenir leurs activités. Parfois dans l’urgence.
Conséquence : toutes ne sont pas toujours bien sécurisées. Ce qui n’a évidemment pas échappé aux pirates informatiques qui, depuis le premier confinement, sont particulièrement actifs.
Les tentatives de phishing en forte augmentation
Le chiffre donne le tournis : depuis le début de la crise sanitaire, les attaques par phishing ont connu une explosion de l'ordre de 400% à 600%2. Dans le même temps, selon l'Anti-Phishing Working Group (APWG), près de 200 000 nouveaux sites de phishing sont créés chaque mois3.
Il s’agit de pages web factices permettant aux pirates informatiques de récupérer des informations sensibles (mots de passe, codes d'accès, séquences de clavier, etc.) sur les entreprises et leur fonctionnement. Comment ? Via l’envoi d’e-mails semblant provenir d'un interlocuteur sérieux comme, par exemple, une banque, un cabinet d’avocats, un assureur ou un opérateur internet.
Dans la majorité des cas, le mail envoyé invite son destinataire à cliquer sur un lien hypertexte – en prétextant par exemple une intervention du support technique ou un problème de facture – qui le renverra sur une page web factice (le fameux site de phishing), copie conforme du site original. Là, il lui sera demandé de remplir un formulaire renseignant des informations sur l’entreprise. Par la suite, ces dernières seront utilisées par les pirates informatiques pour mener à bien des usurpations d'identité et autres fraudes ciblées.
Bon à savoir
Selon une étude publiée en aout 2021 par Riskified4, acteur de la prévention des fraudes en ligne, plus de la moitié (51%) des détaillants français déclarent avoir constaté une augmentation des tentatives de fraude depuis le début de la pandémie. Elle dévoile également que 37% des consommateurs français déclarent qu'en cas de fraude, ils mettraient en cause le commerçant et 38% vont même jusqu'à affirmer qu'ils n'achèteraient plus jamais sur un site où leur compte a été piraté.
Pour vous prémunir de ce type de fraude, soyez vigilants : si un e-mail vous semble douteux, ne cliquez jamais sur les pièces jointes ou les liens qu’il contient.
De manière plus générale, s’il est rempli de fautes d’orthographe et/ou de ponctuation, qu’il contient un mélange de mots anglais et français ou encore des menaces sous-jacentes (« sans réponse de votre part, nous serons dans l’obligation de stopper notre collaboration/supprimer votre compte/ contacter nos avocats », etc.), n’y accordez aucun crédit.
Les fraudes au paiement, un fléau évitable
Créée à l’origine pour les paiements en face-à-face, la carte de paiement s’est rapidement imposée comme l’outil le plus utilisé pour payer sur Internet : en 2020, les paiements par carte bancaire en ligne ont atteint 103,8 milliards €(5) (contre 93,7 milliards € en 2019(6))
Dans le même temps, les statistiques montrent que ce canal de paiement est particulièrement touché par la fraude. Et, contrairement à ce l’on pourrait penser, elle ne porte pas toujours sur de gros montants : en prenant la forme d’une série de petits paiements ou de tentatives de paiement répétées au fil du temps, elle sera presque invisible. Et donc redoutablement efficace.
Pour éviter d’être confronté à ce type d’escroquerie, sachez qu’il existe des dispositifs spécifiques (comme « 3D Secure » par exemple) qui vous permettront d’être sûrs, lors d’un paiement sur internet, que c'est bien le possesseur de la carte qui l’effectue. Concrètement, lors d’une transaction en ligne, l’acheteur devra saisir un code d’authentification à usage unique, reçu le plus souvent par SMS, pour valider le paiement de ses achats.
Par ailleurs, en vertu de la directive européenne DSP2 (dont l’objectif est de mieux protéger les clients et les commerçants dans un contexte de cyber criminalité accrue), les achats en ligne supérieurs à 30 € font désormais l’objet d’une double authentification (ou « authentification forte ») depuis le 15 mai 2021.
Concrètement, cela impose au client d’apporter deux preuves d’identification distinctes (contre une seule auparavant). Il peut s’agir d’une information qu’il est le seul à connaître comme, par exemple, un mot de passe, un code secret ou une réponse à une question secrète ; l’utilisation d’un appareil qui n’appartient qu’à lui comme, par exemple, un smartphone ou une montre connectée ; une donnée biométrique (reconnaissance faciale ou vocale, empreinte digitale).
Une mesure qui devrait encore mieux vous protéger contre les tentatives de fraudes au paiement en ligne et qui renforcera le sentiment de sécurité pour vos clients : selon l’Observatoire de la sécurité des cartes de paiement(7), près de 90 % des consommateurs estiment que les dispositifs d’authentification du porteur renforcent significativement la sécurité des paiements par carte sur Internet. Dans le même temps, 84 % des acheteurs en ligne disent se sentir en sécurité lorsqu’ils utilisent un dispositif d’authentification renforcée et 57 % d’entre eux déclarent qu’ils favoriseront les sites d’e-commerce présentant de tels dispositifs.
Quid des arnaques à la carte de paiement sans contact ?
Ces derniers mois, plusieurs arnaques à la carte de paiement sans contact ont été relatées dans la presse. Comme dans cet article de Midi-Libre(8), publié en mai 2021, qui dévoilait que des escrocs munis d’un terminal de paiement étaient parvenus à déclencher des opérations de paiement en se collant aux gens dans le Tramway. Une arnaque qui rappelle celle ayant fait les gros titres de Nice-Matin durant l’été 2019(9) : le quotidien évoquait alors des escrocs équipés d’un TPE se baladant sur les plages de la Côte d’Azur à la recherche de cartes bancaires sans contact....
Toutefois, pas de panique : selon le dernier rapport de l’Observatoire de la sécurité des moyens de paiement(10), le taux de fraude au paiement sans contact a représenté en 2020 seulement 0,013 % du montant total de fraude à la CB qui s’élève à 10,5 millions d'euros.
Cela ne doit pas vous empêcher, en tant que commerçant ou artisan, de penser à systématiquement montrer le montant que vous avez tapé sur votre TPE avant de laisser vos clients y apposer leur carte bancaire. Le meilleur moyen de les rassurer et, par extension, de les fidéliser.
Assurance Cyber Protection
Protégez votre entreprise contre les risques liés à la cybercriminalité et, plus généralement, à une atteinte à son système informatique ou à l’intégrité de ses données.
[1] Source : Le Figaro, 4 août 2021.
[2] Source : Les Echos, 12 mai 2020.
[3] Source : PmeWeb.com, 16 juillet 2021.
[4] Source : EcommerceMag.fr.
[5] Source : L'Observatoire CB/ Groupement des Cartes Bancaires CB.
[6] Source : L’Observatoire CB.
[7] Source : Observatoire de la sécurité des cartes de paiement.
[8] Source : Midi-Libre, 16 mai 2021.
[9] Source : Nice-Matin, 6 août 2019.
[10] Source : Banque de France, « Rapport d’activité de l'OSMP 2020 » publié le 6 juillet 2021.
