Dans un monde de plus en plus numérique, les tendances en matière de fraude changent et évoluent constamment, avec des menaces pour les consommateurs, les vendeurs de commerce électronique et les organisations de services financiers en augmentation non seulement en nombre mais aussi en sophistication. Le coût total de la fraude dans le commerce électronique devrait dépasser 48 milliards de dollars à l’échelle mondiale en 2023 , contre un peu plus de 41 milliards de dollars en 2022. Les raisons de cette augmentation des coûts de la fraude sont nombreuses, allant de l’augmentation des paiements et des achats en ligne en raison de la pandémie, à l’omniprésence de logiciels malveillants et de robots qui extraient les informations des utilisateurs du Web, et aux escroqueries d’ingénierie sociale qui exploitent les vulnérabilités humaines.
Dans le monde pré-numérique, la fraude nécessitait une planification minutieuse et de la discrétion, tandis qu’aujourd’hui, les outils nécessaires pour frauder les particuliers et les entreprises sont facilement disponibles en ligne, ce qui réduit la barrière à l’entrée. Avec les marchés virtuels, les portefeuilles numériques et l’automatisation continue de tout, les criminels ont non seulement une cible toujours plus large, mais ils disposent également d’outils et de technologies sophistiqués pour les aider à infiltrer les entreprises et à attaquer les comptes des particuliers.
Consultez nos cinq conseils pour lutter contre la fraude en 2023 et gardez une longueur d’avance sur les dernières menaces et exploits que les cybercriminels utiliseront pour cibler les organisations de commerce électronique et de services financiers cette année.
- Alignez et faites converger plusieurs stratégies de sécurité pour lutter plus efficacement contre la fraude, sans nuire à l'expérience client.
Les commerçants et les organisations de services financiers doivent parvenir à une meilleure collaboration entre leurs équipes de sécurité, de gestion des accès des clients (CIAM), de détection des fraudes et d’authentification au sein de l’organisation. Les criminels peuvent facilement exploiter les vulnérabilités introduites par des équipes travaillant en silos et des stratégies de sécurité qui s’appuient trop sur les techniques CAPTCHA et d’authentification multifacteur (MFA). Ces mécanismes interrompent continuellement l’expérience utilisateur, souvent sans tenir compte du niveau de risque présenté par la tentative de connexion.
Une approche d’authentification transparente et continue basée sur les risques permet aux commerçants et aux sociétés de services financiers de mieux collaborer entre plusieurs équipes au sein de leur organisation et de mettre en œuvre une stratégie de détection de fraude agile, fiable et à faible bruit sans impacter négativement l’expérience utilisateur.
- Développez les stratégies traditionnelles omni-touchpoint pour la prévention de la fraude afin d’inclure une visibilité et des informations holistiques sur l’ensemble du parcours client.
Cette stratégie devrait se concentrer sur trois domaines clés souvent négligés :
- Commencez par l’engagement initial du canal : Concentrez-vous sur les activités des clients dès le moment où ils entrent dans un canal ou créent un compte. Cela devrait améliorer la visibilité sur les attaques côté client telles que l'écrémage numérique ou le détournement de formulaire, qui sont souvent utilisés pour collecter des informations d'identification et des informations de carte lors de la création d'un nouveau compte, conduisant finalement à une prise de contrôle de compte et à une fraude.
- Examiner les intégrations d’API tierces : Outre les applications Web et mobiles, les commerçants et les sociétés de services financiers doivent également s’assurer d’inclure la protection des API dans leurs stratégies de sécurité. Les API sont soumises aux mêmes attaques que celles qui ciblent les applications Web, à savoir les exploits et les abus qui conduisent à des violations de données et à des fraudes et introduisent des risques involontaires liés aux intégrations et aux écosystèmes tiers.
- Examiner le potentiel de fraude lié aux transactions sans carte (CNP) : Les commerçants qui proposent de nouveaux services tels que le paiement de proximité, l’achat en ligne et le retrait en magasin (BOPIS) et l’achat immédiat, paiement ultérieur (BNPL) doivent comprendre les risques que ces transactions comportent et les aborder dans leurs stratégies de prévention de la fraude. Cela comprend l’obtention d’informations sur les modèles de comportement frauduleux et leur partage sur tous les canaux.
- Soyez attentifs aux nouveaux défis liés à la fraude amicale dans un environnement de récession.
Un nouveau type majeur de fraude amicale que les commerçants doivent s’attendre à voir se multiplier pendant une récession est la « fausse fraude amicale », qui se produit lorsque des criminels créent des identités synthétiques pour apparaître comme un vrai client et effectuent ensuite une transaction sans intention de payer pour la marchandise qu’ils achètent. Les fraudeurs fictifs peuvent contourner et déjouer avec succès les efforts de prévention, car ils peuvent facilement recycler les informations d'identité volées et créer de nouvelles identités synthétiques pour ouvrir de nouveaux comptes et éviter d'être bloqués par une liste de refus. Ces activités de fraude amicale peuvent inclure l'abus du programme BNPL, les escroqueries aux points de fidélité et aux remboursements, ainsi que les fraudes à l'évasion.
Protégez-vous contre l'inscription de nouveaux comptes avec des identités synthétiques en exploitant les informations issues de modèles biométriques comportementaux augmentés par l'apprentissage automatique pour donner aux équipes de sécurité et de fraude un aperçu des comptes compromis.
- Préparez-vous à la directive européenne sur les services de paiement 3 (PSD3) avec de nouvelles réglementations pour les paiements numériques.
Le paysage des menaces, des paiements et de la réglementation pour les commerçants et les banques a radicalement changé depuis le déploiement initial de la directive sur les services de paiement en 2018. Pour se préparer aux réglementations renforcées de la PSD3, les commerçants et les banques doivent faire l’inventaire des nouveaux services, canaux et options de paiement qu’ils ont récemment adoptés. Par exemple, prenez-vous désormais en charge les portefeuilles numériques et les paiements cryptographiques ? Combien de nouvelles API avec différents formats provenant de fournisseurs tiers avez-vous intégrées à vos systèmes et propriétés Web ?
Les commerçants et les organisations de services financiers doivent cesser de se concentrer uniquement sur un état d’esprit axé sur le risque de conformité pour leur stratégie d’API et d’authentification existante. Ils doivent anticiper et gérer de manière proactive l’ensemble des risques de sécurité et de fraude qu’apporte l’environnement API moderne.
- Préparez-vous aux attaques de la chaîne d'approvisionnement de Shadow API et JavaScript et à la prochaine norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) 4.0
À mesure que les organisations développent leur écosystème tiers et que le nombre de scripts sur leur site augmente, elles introduisent de nouveaux points de vulnérabilité potentiels qui peuvent conduire à des attaques côté client telles que l'écrémage numérique, le détournement de formulaire et les attaques Magecart. Une attaque d'écrémage numérique se produit lorsqu'un criminel injecte un ou plusieurs scripts malveillants ou manipule un script existant sur une page ou une application légitime pour créer une attaque de type « man-in-the-browser » de la chaîne d'approvisionnement en logiciels. Ces attaques sont difficiles à détecter car ces scripts sont fréquemment mis à jour par des tiers, souvent sans processus permettant à votre organisation d'effectuer des examens de sécurité.
En outre, les nouvelles exigences PCI DSS 4.0 se concentreront sur la nécessité de surveiller et de gérer les bibliothèques JavaScript tierces basées sur un navigateur qui sont intégrées aux sites Web de commerce électronique pour permettre des fonctionnalités telles que les iFrames de traitement des paiements, les chatbots, la publicité, les boutons de partage social et les scripts de suivi. Bien que la conformité aux nouvelles exigences PCI DSS 4.0 ne soit pas obligatoire avant 2025, les attaques côté client sont de plus en plus courantes à l'heure actuelle. Mettez donc en place les protections renforcées dès que possible.
Les organisations ont non seulement besoin d'une visibilité sur les bibliothèques JavaScript exécutées dans leurs applications Web, mais elles doivent également savoir quelles données les scripts collectent pour éviter de violer les réglementations sur la confidentialité des données telles que le RGPD et le CCPA et maintenir la conformité avec la nouvelle exigence PCI DSS 4.0 6.4.3 et 11.6.1
La plupart des organisations ne disposent pas d’un contrôle et d’une gouvernance centralisés sur la gestion des scripts. Si un script tiers sur votre site présente une vulnérabilité et que vous n'en êtes pas au courant, vous ne pouvez pas le corriger. Les criminels savent que de nombreuses organisations ont du mal à gérer, suivre et sécuriser le volume, la portée et l’échelle des scripts désormais intégrés aux sites Web, et ils savent comment exploiter ces scripts à leur propre profit.