Mettre fin à la fraude sans friction

Comment détecter et vaincre les cyberattaques modernes

Avec l’accélération sans précédent de la transformation numérique, les initiatives stratégiques telles que la collecte des revenus, la fidélisation des clients et la notoriété des marques se déroulent désormais principalement en ligne,

et sont de plus en plus souvent détournées par des pirates informatiques, ce qui entraîne des prises de contrôle de comptes (ATO), des pertes dues à la fraude et des détériorations de réputations. Toute entreprise qui exploite des applications de commerce électronique ou gère des comptes d’utilisateurs ayant une valeur est une cible.

Le retour sur investissement attractif de la fraude en ligne

Les attaquants décident comment utiliser leur temps et leurs ressources de la même manière que vous pourriez évaluer le prix par rapport à la valeur pour un achat important. Si une cible est très aisée à compromettre et recèle une valeur extraordinaire, c’est une décision facile à prendre. Si une cible est de grande valeur mais très bien gardée, une attaque nécessite un investissement plus important, et augmente le coût d’une compromission réussie.

Les attaquants d’aujourd’hui ont à leur disposition des outils, des infrastructures et des données compromises, de sorte que le coût d’un vol de données de grande valeur par des méthodes automatisées ne représente souvent que quelques centimes. Plus la technologie progresse, plus les coûts diminuent, même pour les cibles les plus difficiles à atteindre. Alors, comment faire pour démotiver les attaquants et les empêcher de cibler votre site ? Maintenez-les dans le doute.

Apprenez de nouvelles stratégies pour démotiver les attaquants dans le livre électronique : L’économie des attaquants : le rapport coût-valeur pour les hackers

Un célèbre voleur de banques, Willie Sutton, a récolté environ 2 millions de dollars au cours de ses 40 ans de banditisme au début des années 1900. Lorsqu’on lui a demandé pourquoi il volait des banques, il a répondu : « Parce que c’est là que se trouve l’argent ». Si Willie Sutton était vivant aujourd’hui, on peut supposer qu’il ne braquerait plus de banques, il pratiquerait la fraude d’applications.

Le marché de la fraude est sans cesse plus important (et plus intelligent)

Étant donné la faiblesse des barrières à l’entrée et à la facilité d’accès aux ressources, la fraude en ligne est devenue une activité commerciale importante, et le processus d’exploitation des informations personnelles identifiables (IPI) a atteint des proportions industrielles. Plus de 30 milliards d’enregistrements ont été compromis au cours des sept dernières années seulement.

Le statu quo est inacceptable. Les pertes estimées liées à la fraude en ligne sont stupéfiantes, et cependant les chefs d’entreprise se contentent souvent de réserver un budget en prévision du paiement de compensations. De plus, les contrôles de sécurité destinés à contrecarrer les fraudeurs peuvent frustrer les clients légitimes, entraînant des abandons de transactions et des pertes de revenus.

Pour protéger leurs biens essentiels contre des cybercriminels sophistiqués et assurer le succès des impératifs commerciaux stratégiques, les organisations doivent s’adapter à l’évolution des attaquants.

Livre blanc du groupe Aite — L’industrialisation de la fraude : Combattre le feu par le feu

Aujourd’hui, la plupart des visiteurs des sites web ne sont pas humains : ce sont des robots.

Même si certains robots sont inoffensifs, comme les chatbots et les moteurs de recherche, la plupart sont des robots malveillants utilisés par des attaquants pour obtenir un accès non autorisé, s’emparer de comptes clients et commettre des fraudes, tout en érodant l’expérience client. Ils sont constamment modernisés pour imiter le comportement des utilisateurs et contourner les contre-mesures courantes comme les CAPTCHA. Voici quelques-unes des tendances les plus pertinentes en matière d’attaques automatisées, et comment vous pouvez les combattre.

Credential Stuffing: les acteurs malveillants compromettent les vrais clients

Quatre-vingt-dix pour cent ou plus du trafic en ligne et mobile d’une entreprise peut provenir de cybercriminels effectuant des attaques automatisées dans le but de voler les données de clients et commettre des fraudes.

Ces attaques, connues appelées «Credential Stuffing», peuvent conduire à des prises de contrôle de comptes et à de graves pertes dues à la fraude, tout en ayant un impact négatif sur les performances des applications et en faussant les analyses. Et comme si cela ne suffisait pas, les attaquants visent également à mettre en péril la confiance de vos clients en siphonnant l’argent et les points des programmes de fidélité.

98,5 % des demandes adressées à un programme de fidélisation des clients étaient des attaques.

Les solutions Shape, incluses dans F5, ont une approche à plusieurs niveaux pour vaincre le Credential Stuffing, et protègent plus de 4 milliards de transactions par semaine.

Pour chaque connexion à un site ou à une application, Shape crée et attribue un ID d’appareil : un identifiant unique pour chaque appareil visitant votre site, créé en temps réel à l’aide d’algorithmes avancés de collecte de signaux et d’apprentissage automatique. En utilisant cet identifiant unique ainsi que d’autres signaux, les solutions Shape peuvent identifier et stopper les tentatives d’utilisation d’identifiants compromis en temps réel, en bloquant les robots qui émulent le comportement humain et les fraudeurs qui piratent manuellement des applications pour contourner les défenses anti-automatisation.

Présentation de la solution Shape Enterprise Defense

Shape, inclus dans F5, protège plus de 4 milliards de transactions par semaine contre des attaques sophistiquées pour le compte des plus grandes entreprises du monde.

CAPTCHA et autres mythes sur la cybersécurité qui nuisent à votre entreprise

Vos sites utilisent-ils des CAPTCHA pour atténuer les attaques automatisées ? Si c’est le cas, cela ne fonctionne probablement pas, et pourrait avoir des conséquences imprévues, comme l’abandon de clients en raison de frictions excessives. Et avec l’augmentation des offres de services tiers de résolution CAPTCHA, à la fois automatisés et humains, il est devenu de plus en plus simple de les contourner. Vos applications web et mobiles ont besoin d’une meilleure protection.

Vous avez tout intérêt à éviter de fonder vos décisions stratégiques et vos mesures en matière de sécurité sur un mythe, même s’il semble convaincant.

Les mythes de la cybersécurité qui nuisent à votre activité

Un détaillant résout le problème de la fraude sans accroître les frictions

Connue pour son offre de produits de luxe et son expérience en ligne sans friction, une chaîne de magasins nord-américaine est fière d’offrir une expérience client exceptionnelle. Mais l’entreprise a été ravagée par des attaquants automatisés qui ont profité de son système fluidifié.

Après avoir essayé sans succès de combattre les attaquants avec les contre-mesures traditionnelles (CAPTCHA, blocage des adresses IP, etc.), le détaillant s’est tourné vers les solutions Shape. Après trois semaines d’observation, ils ont mis en place des mesures d’atténuation, et les résultats ont été immédiats.

Dès le premier jour, lorsque Shape est passé en mode de blocage, nous avons constaté une baisse de près de 100 % des fraudes par automatisation.

DSI d’un détaillant nord-américain

Nos clients sont loyaux, mais pas nos fraudeurs ; une fois que nous les avons bloqués, ils sont partis.

DSI d’un détaillant nord-américain

Une approche adaptative de la sécurité

Au cours des 30 jours suivants, le détaillant a économisé plus de 500 000 dollars en fraude, qui auraient été perdus par des prises de contrôle de comptes et des piratages de cartes cadeau. Les attaquants ont tenté de s’adapter aux défenses de Shape pour les contourner, mais comme Shape suit des centaines de signaux de réseau, d’appareil et d’environnement, les attaquants ont été facilement retrouvés et bloqués à nouveau.

Les attaquants automatisés ayant été repoussés par Shape, les serveurs d’origine n’avaient plus à servir que les visiteurs humains, soit à peine 1% de la charge précédente. En réduisant 99 % du trafic, Shape a allégé « une charge énorme de notre infrastructure, ce qui a eu un impact positif direct sur les revenus ».

Un détaillant résout le problème des bots d’achat et élimine les fraudes, les frictions et les faux

Pour ce détaillant, le succès est apparu non seulement grâce aux mesures d’atténuation initiales, mais aussi grâce à la capacité de la solution à s’adapter à l’évolution des tactiques des attaquants. Lorsque la cible est suffisamment attrayante, les acteurs malveillants savent trouver des moyens de contourner des contre-mesures de sécurité statiques. En fait, les attaquants s’appuient désormais sur des modèles d’intelligence artificielle (IA) entraînés pour contourner la sécurité. Les organisations, en particulier celles qui protègent des informations clients hautement sensibles, doivent continuer à tenir leurs partenaires commerciaux et technologiques responsables de la sécurité et de l’intégrité de l’application, même après son lancement.

L’affaire des fausses réservations : le pouvoir des signaux et du partage des données pour mettre fin aux attaques contre les applications

Alors que les défenses s’amélioraient pour bloquer les comportements douteux, les attaquants ont réagi en créant des outils pour exploiter et imiter les utilisateurs individuels avec toutes leurs nuances.

Garder une longueur d’avance face à stratégies d’attaque évolutives restera une bataille permanente.

L’atténuation de la fraude évolue pour bloquer une automatisation de plus en plus sophistiquée et minimiser le retour sur investissement des fraudes basées sur des robots, mais évidemment les attaquants n’abandonneront pas. Ils se tourneront vers des méthodes plus difficiles à identifier, comme l’émulation du comportement humain, la mise en place de fermes de clics humains et le piratage manuel d’applications. Si l’automatisation est aujourd’hui la priorité, les entreprises doivent se préparer à lutter contre un mélange de fraude automatisée et de fraude humaine.

Les cybermenaces auxquelles sont confrontées les entreprises aujourd’hui ne feront que s’accroître. À l’échelle mondiale, les pertes dues à la fraude connaissent une augmentation à deux chiffres chaque année. À mesure que la numérisation se poursuit et que de plus en plus de clients recherchent des services en ligne, la surface de risque va s’étendre et devenir encore plus poreuse. Votre entreprise peut se préparer au futur paysage des menaces en envisageant une approche transversale de la sécurité, tenant compte à la fois du potentiel de chiffre d’affaires, de la pression sur les résultats et de l’expérience des clients.

Le nouvel impératif commercial

Rapport Nilson 2019 — Pertes dues aux fraudes par carte de crédit aux États-Unis (en milliards de dollars)

Examiner votre investissement dans la lutte contre la fraude

Suffit-il de dépenser davantage en outils pour détecter la fraude en ligne ? Réponse courte : non. Les entreprises constatent que malgré les milliards de dollars dépensés chaque année pour des outils de détection de la fraude en ligne, les pertes liées à la fraude directe continuent d’augmenter. Juniper Research prévoit que les pertes dues à la fraude en ligne dépasseront 48 milliards de dollars par an d’ici 2023.

Les outils de fraude actuels nécessitent une configuration étendue, génèrent des scores de risque ambigus et obligent les équipes de fraude à élaborer leurs propres règles, ce qui peut entraîner de nombreuses frictions avec les utilisateurs légitimes et, au final, nuire aux recettes. Pour se protéger durablement contre une surface d’attaque de plus en plus dynamique, les entreprises doivent investir dans des solutions de sécurité qui s’adaptent en permanence aux attaquants sans introduire de frictions pour les vrais clients.

L’arrêt du trafic des attaques automatisées fait plus que prévenir la fraude, il réduit les coûts opérationnels globaux.

De nombreuses entreprises ont déployé avec succès des solutions de prévention de la fraude en ligne pour garantir des résultats commerciaux stratégiques. Lisez leurs témoignages ci-dessous et voyez comment le renforcement de vos efforts de prévention de la fraude pourrait avoir un impact considérable sur votre organisation.

Une plateforme mondiale de rencontres fait échouer les prises de contrôle de comptes

L’arrêt du trafic d’attaques automatisées fait plus que prévenir la fraude, il réduit les coûts opérationnels globaux. Découvrez comment Shape a aidé l’équipe informatique d’une plateforme de rencontres internationale à éliminer le trafic gênant et à réduire la latence du site de 250 ms à 100 ms.

Une compagnie aérienne internationale lutte contre les racleurs de tarifs

Les défenses traditionnelles des sites web sont insuffisantes face à des adversaires automatisés et adaptatifs. Découvrez comment Shape a aidé une compagnie aérienne internationale à repousser des robots sophistiqués qui tentaient de voler des informations de vol.

Votre WAF aurait-il besoin d’un coup de pouce ?

Shape est spécialisé dans la réduction de la fraude, mais F5 Device ID+, le composant fondamental de nos solutions anti-bot et anti-fraude, peut également être utilisé pour améliorer vos autres outils de sécurité. L’intégration de notre identifiant temps réel dans votre pare-feu d’application web (WAF) ou dans votre solution d’accès aux applications de l’entreprise peut détecter et bloquer les dispositifs défectueux connus, évitant ainsi à vos applications de subir une brèche potentielle.

Et le mieux est que nous vous l’offrons gratuitement.

Gardez une longueur d’avance sur la fraude en ligne dans un monde multi-cloud

Les solutions F5 protègent le commerce en ligne et les initiatives numériques telles que la fidélité des clients et la notoriété de la marque en déjouant les attaques qui compromettent l’expérience des clients et nuisent à la réputation de la marque, tout cela sans frustrer les utilisateurs légitimes.

Défendez votre entreprise de commerce électronique contre les attaques dynamiques d’aujourd’hui grâce à une sécurisation complète des applications multi-cloud et à des fonctions anti-fraude qui protègent vos ressources critiques contre les cybercriminels les plus sophistiqués.

MERCI

Nous avons reçu votre demande. Nous vous contacterons sous peu.