Qu’est-ce que la fraude par piratage de compte ?
Tout d’abord, qu’est-ce qu’une prise de contrôle de compte, ou ATO ? Une prise de contrôle de compte est une forme de fraude qui survient lorsqu’un acteur malveillant obtient l’accès non autorisé à un compte de magasin en ligne.
Lorsque les fraudeurs accèdent aux comptes en ligne de clients légitimes, ils obtiennent de nombreuses informations de grande valeur. Les transactions frauduleuses qu’ils peuvent réaliser avec ces informations sont plus difficiles à détecter et à arrêter parce qu’elles ressemblent à des achats effectués par des clients connus. Les ATO sont également plus dommageables que d’autres formes de fraude sans carte (CNP) : en plus des revenus perdus provenant de points de fidélité volés et des coûts associés aux chargebacks et aux incidents de fraude, ces attaques ont un impact dévastateur sur la réputation de la marque et la valeur à vie d’un client.
Le stockage de données est devenu un avantage majeur pour les consommateurs numériques, rendant les achats en ligne plus fluides, mais cela signifie également que les comptes de magasin sont plus lucratifs et plus vulnérables aux fraudeurs. Tout ce dont un fraudeur a besoin pour prendre le contrôle d’un compte, c’est du point d’entrée le plus simple : un nom complet, un courriel, une date de naissance, etc. – et il travaille à prendre le contrôle du compte à partir de là.
Les ATO sont différents de la fraude CNP classique. Dans une fraude CNP typique, un fraudeur achète des informations de carte de crédit volées, généralement sur le dark web, et les utilise pour effectuer des achats. Les attaques de prise de contrôle de compte ajoutent une étape supplémentaire : avant de commettre la fraude, un acteur malveillant accède au compte du magasin eCommerce d’un bon client.
À partir de là, il existe de nombreuses opportunités de fraude qu’il peut tenter, allant de l’utilisation de moyens de paiement enregistrés pour effectuer des achats, à l’utilisation de détails de cartes de crédit volés non liés, en passant par le transfert ou l’utilisation de points de fidélité précieux, comme des miles aériens.
Étant donné que les transactions des clients répétés sont largement reconnues comme « sûres », les commerçants sont moins enclins à les remettre en question, ce qui permet à plus d’ATO de se produire sans être détectées.
Comment se produit une prise de contrôle de compte ?
Un des effets secondaires involontaires de l’encouragement des clients à ouvrir des comptes de magasin est à quel point ces comptes sont des cibles attrayantes pour les fraudeurs. Les attaques ATO sont devenues de plus en plus lucratives – et faciles. De nos jours, les ATO sont si courants que le processus d’attaque est complètement rationalisé. Même un fraudeur amateur peut accéder au compte d’un bon client en quelques minutes.
Souvent, des spécialistes du phishing manipulent et trompent les titulaires de comptes — dans certains cas, même des représentants du service client — pour qu’ils remettent leurs identifiants. D’autres fois, des fraudeurs créeront un faux site populaire, comme Amazon.com, et inciteront les utilisateurs à réinitialiser leurs mots de passe. Des kits pour créer de telles interfaces sont vendus sur le dark web.
Les fraudeurs en ligne s’appuient sur quelques approches à grande échelle pour prendre le contrôle des comptes. Certaines des voies les plus reconnues vers les ATO sont :
Attaques par phishing : Une façon courante pour les fraudeurs numériques de tromper les individus pour qu’ils leur fournissent des informations personnelles et de compte. Ces attaques surviennent sous forme d’appels téléphoniques, de textos, et le plus souvent, de courriels.
Credential stuffing : Lorsque des fraudeurs accèdent à des données compromises lors d’une violation, ils obtiennent une liste de noms d’utilisateur et de mots de passe, puis peuvent utiliser des robots pour tester les ensembles d’identifiants sur de nombreux magasins en ligne différents. Le processus est effectué en masse : des centaines et des milliers de tentatives de connexion potentielles sont testées.
Que se passe-t-il après une prise de contrôle de compte ?
Lorsque les fraudeurs accèdent aux comptes de magasin de clients légitimes, ils obtiennent de nombreuses informations de grande valeur. Les transactions frauduleuses qui suivent sont plus difficiles à détecter et à arrêter parce qu’elles ressemblent à des achats effectués par des clients connus. Une fois qu’un compte d’un bon client est obtenu, les fraudeurs peuvent tenter plusieurs arnaques.
Ils peuvent effectuer des achats avec des moyens de paiement enregistrés, dépenser des points de fidélité (pensez aux miles d’avion) et voler des informations personnelles précieuses pour les utiliser et les vendre ailleurs. Les types de données personnelles que les acheteurs stockent régulièrement dans leur compte en ligne comprennent leur adresse, leur courriel, leur numéro de téléphone, leurs moyens de paiement et leurs numéros d’identité, y compris les numéros de passeport.
Les ATO coûtent également plus cher : En plus des revenus perdus et des coûts associés aux chargebacks, ces attaques ont un impact dévastateur sur la réputation de la marque et la valeur à vie d’un client.
Le coût des attaques de bots ATO
Coûts directs de la fraude : Les ATO entraînent des chargebacks – et, bien que les commerçants aient aujourd’hui beaucoup de mal à suivre les chargebacks et les transactions de points de fidélité qui résultent des ATO, les pertes cachées et les pertes sèches sont significatives.
Coûts du service client : Lorsque les clients sont victimes d’une prise de contrôle de leurs comptes, et que personne ne les contacte de manière proactive, ils sont susceptibles d’appeler ou d’envoyer un courriel au commerçant pour se plaindre. Avec des informations personnelles sensibles en jeu, les agents doivent vérifier qu’ils parlent bien au titulaire du compte et non à un fraudeur essayant de s’introduire dans un compte. Le nombre d’heures de travail nécessaires pour résoudre l’un de ces tickets s’accumule rapidement.
Perte de la valeur à vie du client (CLV) : Près de la moitié des clients (43,2 %) disent qu’ils ne feraient plus jamais leurs courses dans un magasin en ligne si leur compte était compromis, selon une enquête de Riskified.
Dommages à la marque et pertes consécutives : Les attaques ATO ont un impact dévastateur sur la réputation de la marque. Dans des cas extrêmes, les attaques peuvent finir dans les médias et même provoquer des effondrements de prix d’actions. Les dommages peuvent être difficiles à quantifier, mais la réputation de la marque peut être le problème commercial le plus grave en jeu lorsqu’un compte client est compromis.
Atténuer les attaques de bots de prise de contrôle de compte
Il existe plusieurs mesures de sécurité que les commerçants en ligne peuvent prendre pour prévenir les attaques de bots indésirables et les prises de contrôle de compte, mais d’abord, les commerçants doivent comprendre à quel point leur entreprise ou leur magasin en ligne est vulnérable.
Après avoir établi les risques et les conséquences, ils doivent décider à quel point leur magasin doit être conservateur – les commerçants doivent définir un seuil de risque en tenant compte de leurs vulnérabilités potentielles à la fraude. Tout aussi important, les commerçants doivent également considérer la façon dont leurs clients réagiraient à des mesures de sécurité supplémentaires.
La prochaine étape serait de déterminer quand et comment bloquer les mauvais utilisateurs, notifier les clients des tentatives de connexion suspectes ou demander une vérification d’identité. Étant donné le peu de données que vous avez sur l’utilisateur lorsque celui-ci essaie de se connecter, prendre ces décisions n’est pas une tâche facile. Un programme de partage de données avec d’autres commerçants peut aider à compléter des informations critiques.
Une solution d’apprentissage automatique qui comprend le lien d’identité et un solide réseau de commerçants est l’un des outils les plus puissants qu’un commerçant puisse avoir pour se défendre contre des attaques de bots de prise de contrôle de compte.
En savoir plus sur Account Secure
Équilibrez une expérience client fluide avec la prévention ATO grâce à notre solution de compte sécurisé entièrement automatisée.
En savoir plus
This report helps merchants to quantify the risk their eCommerce businesses are facing
Face à un marché de la fraude de plus en plus organisé, explorez cette analyse des tendances et techniques frauduleuses qui affectent la rentabilité des détaillants aujourd'hui.
Learn how Meshki leveraged fraud automation to reduce risk and boost sales
Obtenir une démo personnalisée
Découvrez comment nous dynamisons la croissance du e-commerce tout en offrant une expérience client fluide.
Nous contacter