Les produits digitaux dont fait partie la carte cadeau digitale sont adorés par les consommateurs. Un parcours d’achat simplifié au maximum pour un plaisir et une gratification instantanée. Tous les feux sont au vert ! Le seul problème qui se pose c’est que ce type de produit attire aussi des personnes malveillantes : les fraudeurs.

 

Mais ce sont les e-cartes cadeaux qui sont les plus touchées par la fraude. L’immédiateté, le processus d’achat simplifié et surtout la possibilité de les consommer ou les revendre rapidementsont autant de points qui donnent aux fraudeurs toutes les chances de s’en sortir sans être vu. Plusieurs techniques récurrentes sont d’ailleurs utilisées et doivent être prises en compte lors de la mise en place d’un protocole anti-fraude.

 

Le plus évident : la carte bancaire volée

La fraude à la carte bancaire est la plus répandue en France. En 2016 sur les 800 millions d’euros de fraude sur les moyens de paiement,  la carte bancaire représente 50%. Soit la carte a été volée physiquement, soit ce sont juste ses coordonnées qui l’ont été. Dans tous les cas, il est très facile par la suite de pouvoir l’utiliser pour un achat en ligne.

Et ce n’est pas étonnant si les fraudeurs l’utilisent dans la grande majorité des cas, lorsqu’ils achètent une carte cadeau électronique. Ces dernières leur permettront d’avoir immédiatement des liquidités en les revendant sur les marchés secondaires. Ou ils se rendront dans une boutique physique pour les dépenser et ensuite revendre leur acquisition. Dans les deux cas ils auront peu de chances d’être poursuivi.

D’autres peuvent acheter des e-cartes cadeaux pour une toute autre raison : tester si les cartes bancaires volées sont toujours actives. C’est-à-dire vérifier si le propriétaire de la carte n’a pas encore déclaré le vol auprès de sa banque, empêchant toutes actions de la part du fraudeur. Pour ce faire ces derniers achèteront des cartes cadeaux à faibles montants de manière répétée (entre 5€ et 20€*). Et comme la transaction est instantanée, ils sauront rapidement si la carte de crédit est utilisable.

*BuyBox chiffres 2017

Vol des informations d’identification

Le cybercriminel peut également récupérer les identifiants et mots de passe des comptes clients de marques et enseignes, en utilisant des logiciels malveillants. Sur ces comptes clients, beaucoup d’informations y sont disponibles. Notamment le programme de fidélité du client si la marque ou l’enseigne le propose. Imaginez ce que cela voudrait dire ?

La majorité des programmes fonctionnent sur un système de points. Et lorsque les clients en accumulent un nombre suffisant, ces points sont ensuite convertibles en réductions ou en cartes cadeaux.  Et comme nous l’avons abordé dans un précédent article, la carte cadeau est plus appréciée par les consommateurs que les bons de réduction. Et de ce fait massivement adoptée par les enseignes.

Si les fraudeurs ont accès aux comptes de fidélisation des clients, ils peuvent facilement convertir les points en cartes cadeaux. La marque donnera alors instantanément un numéro de carte cadeau, qu’ils dépenseront en boutique ou qu’ils revendront directement pour 80 à 90% de son montant. Tout cela avant que les clients s’en aperçoivent. Ca a été le cas de Starbucks aux Etats-Unis en 2015.

 

L’achat via le smartphone

Acheter des cartes cadeaux via le mobile est avantageux pour les cybercriminels, puisqu’ils peuvent contourner de nombreux protocoles anti-fraude mis en place. Il y a notamment la géolocalisation qui aide à l’identification des auteurs. En passant par plusieurs appareils mobiles, et fournisseurs d’accès à internet, ils amènent à faire croire que les opérations viennent de plusieurs consommateurs, alors qu’il ne s’agit que d’une seule et unique personne. Ils peuvent donc acheter un nombre important de cartes cadeaux dans un minimum de temps sans être détecter.

D’autres techniques : phishing, les injections SQL et l’utilisation de robots

D’autres techniques déjà utilisées pour d’autres fraudes sur internet, sont aussi exploitées pour les cartes cadeau digitales.

Le phishing est beaucoup utilisé, et a fait 2 millions de victimes en 2015 sur le territoire français d’après le FIC 2016. Et le but est simple : se faire passer pour un tiers de confiance, pour récolter des données bien précises qui sont en possession du consommateur. Si cette technique est essentiellement utilisée pour les cartes bancaires, elle l’est aussi pour les cartes cadeaux digitales. Le fraudeur se fait passer pour la marque dans un email, et demande à un consommateur de rentrer les codes de la carte afin de pouvoir l’activer. En vérité, ils récupèrent les codes pour utiliser la e-carte.

Les injections SQL permettent aux fraudeurs d’accéder aux bases de données structurant toutes les informations des sites internet des marques. Une fois la main dessus, ils peuvent accéder aux comptes, aux fiches produits, changer les prix et acheter autant de cartes cadeaux en ligne qu’ils le souhaitent.

L’utilisation de robots ou logiciels malveillants, permet d’automatiser tout le processus de fraude en ligne, et de mener un nombre d’attaques plus conséquent en un minimum de temps. Par exemple, on trouve très souvent une page en ligne pour vérifier le solde restant d’une carte cadeau, et ça autant de fois que l’on veut sans s’identifier. Un logiciel peut tester plusieurs milliers de codes en très peu de temps, jusqu’à ce qu’ils en trouvent un qui soit valide.

 

Infographie : La e-carte cadeau et la fraude

Des comportements récurrents

Les fraudeurs ont tendance à effectuer leurs achats durant les périodes à fort trafic pour passer inaperçus auprès des marques et enseignes. Pour les cartes cadeaux la grande période se situe en fin d’année, à Noël, avec un chiffre d’affaires multiplié par 10 en moyenne. Je vous laisse imaginer le nombre de cartes créées par minute, et le volume à traiter au niveau du backoffice.

Deuxième comportement suspect : la répétition. Les cybercriminels auront tendance à effectuer plusieurs tentatives de fraude sur un intervalle de temps limité. Cela va jusqu’à 60 tentatives par heure*. Pour un programme de cartes cadeaux cela se traduit par l’achat de plusieurs cartes sur une même heure seulement. Les cartes achetées seront toujours de faibles montants pour ne pas être détecter. Et même si avec un achat massif, ils sont finalement bloqués, combien de cartes cadeaux seront passées sous les mailles du filet ? Combien auront-ils eu le temps d’utiliser ou de revendre ?

*BuyBox chiffres 2017

 

De la carte bancaire usurpée au vol des informations de connexion, de nombreuses techniques sont utilisées pour acheter des cartes cadeaux de manière frauduleuse. Cependant des comportements récurrents dans la fraude existe et amène donc à repérer et à éviter des actes malveillants, à travers un protocole anti-fraude défini. Ce n’est pas pour autant suffisant. Les cybercriminels n’ont de cesse de faire évoluer leurs techniques, ce qui nécessite un protocole évolutif et intelligent.