Catégories
Conseils e-commerce

Le boom des ventes numériques met en lumière les systèmes de contrôle de la fraude | Sécurité

Le passage des détaillants à la vente en ligne et mobile pour survivre à la pandémie a entraîné une augmentation significative de l'activité de fraude numérique.

L'étude «2020 True Cost of Fraud Study: E-commerce / Retail Edition» de LexisNexis Risk Solutions a constaté que cela était en partie dû au fait que certains systèmes de contrôle de la fraude sont obsolètes et en partie à l'augmentation du volume des transactions.

Selon l'étude, les tentatives de fraude mensuelles réussies ont augmenté en moyenne jusqu'à 48% pour les e-commerçants de taille moyenne et grande aux États-Unis, et de 27% pour les plus petits.

"Dans la plupart des cas, les cadres de sécurité ont déjà été établis, en partie en raison des exigences de conformité réglementaire", a déclaré Matt Keil, directeur du marketing produit chez Cequence Security, au E-Commerce Times. "Ce qui a changé en raison de la pandémie, c'est le volume du trafic – qui a augmenté – et la vitesse de l'innovation."

Les systèmes de contrôle de la fraude existants qui vérifient physiquement la carte de crédit ou de débit d'un client et ne peuvent pas faire face à de nouvelles techniques sophistiquées qui incluent la création de fausses identités et d'attaques à partir de réseaux de fraude organisés et connectés à l'échelle mondiale partageant des informations d'identité volées.

De plus, la demande des consommateurs pour des transactions rapides en ligne et mobiles rend l'authentification plus difficile.

Les entreprises opérant pendant la pandémie qui avaient des transactions d'achat mobiles plus élevées avec ramassage en magasin ont connu plus de volume de fraude et des coûts de fraude plus élevés, car elles devaient compter sur les employés du magasin pour l'authentification de l'identité – plutôt que sur des solutions conçues pour détecter la fraude mobile, selon l'étude. .

LexisNexis Risk Solutions a interrogé 800 responsables des risques et de la fraude dans des entreprises de vente au détail et de commerce électronique aux États-Unis et au Canada, de février à avril, pour cette étude.

Problème de botnet

Un botnet est un ensemble d'appareils connectés à Internet – PC, serveurs, appareils mobiles – qui sont infectés et contrôlés par des logiciels malveillants pour envoyer des courriers indésirables, se lancer dans des campagnes de fraude au clic et lancer d'autres types d'attaques sur les systèmes informatiques de la victime.

Les attaques de botnets mobiles ont augmenté, car de plus en plus de personnes achètent sur des appareils mobiles et les détaillants ont du mal à faire la distinction entre les clients légitimes et les botnets, a constaté LexisNexis Risk Solutions.

Le trafic des robots "imite les gens et teste les combinaisons de nom d'utilisateur / mot de passe et les informations de carte de crédit sur les sites de manière hautement automatisée", a déclaré Ameet Naik, évangéliste de la sécurité chez PerimeterX, au E-Commerce Times.

PerimeterX détecte et protège contre les attaques automatisées de robots dans les applications mobiles et Web.

«Les gens avaient l'habitude de s'inquiéter du fait que les skimmers volent des informations à un guichet automatique ou à un point de paiement d'une station-service, et maintenant cela peut arriver chaque fois que vous faites des affaires en ligne.

Selon la société de cybersécurité Radware, environ 58% des attaques de bots sur les sites de commerce électronique sont des bots hautement sophistiqués, distribués et mutants.

Comment améliorer au mieux la sécurité du M-Commerce

Les détaillants "doivent se concentrer davantage sur les interfaces de programmation d'applications (API) que les détaillants utilisent pour ajouter des éléments tels que le ramassage et la livraison, qui n'existaient peut-être pas auparavant", a déclaré Keil de Cequence.

Une API est une interface informatique qui définit les interactions entre différents types de logiciels – quel type d'appels ou de demandes ils peuvent faire, comment les faire, quelles données ils peuvent utiliser, quelles conventions suivre, par exemple. Il peut être utilisé pour étendre les fonctionnalités existantes du logiciel.

Les applications mobiles dépendent fortement des API pour alimenter les mêmes systèmes backend qui prennent en charge les applications Web, a-t-il noté.

"Les attaquants déconstruisent l'application mobile, puis utilisent l'automatisation pour l'attaquer", a souligné Keil. "Les API sont sans état et peuvent inclure toute la transaction, ce qui rend la protection difficile."

Les API rapidement déployées qui n'ont peut-être pas suivi le processus normal de développement, d'assurance qualité et de publication sont ciblées, a déclaré Keil.

Il faut s'attendre à cibler les API mobiles, car c'est là que le trafic e-commerce croît le plus rapidement, a déclaré Naik de PerimeterX. Attaquer les API mobiles est simple et peut tirer parti de la même infrastructure et des mêmes mécanismes d'attaque que d'attaquer les API directes et les API Web, a-t-il observé.

Protéger les sites de vente au détail

Les meilleures pratiques pour les détaillants consisteraient à "examiner l'expérience complète du consommateur et appliquer des contrôles de fraude à plusieurs niveaux basés sur le risque à l'étape appropriée afin de réduire les risques et la fraude", a déclaré Chris Schnieper, directeur, fraude et identité chez LexisNexis Risk Solutions. le E-Commerce Times.

La sécurité en couches utilise plusieurs composants pour protéger la sécurité d'un réseau, avec plusieurs niveaux de mesures de sécurité, afin de garantir que chaque composant de défense individuel dispose d'une sauvegarde couvrant les failles ou les lacunes d'autres défenses. Pensez-y comme des soldats romains verrouillant leurs boucliers lorsqu'ils se tiennent en formation de combat.

Ces contrôles comprennent des contrôles de vitesse et un scoring en temps réel à l'avant pour déterminer le risque de la transaction; identité numérique et biométrie comportementale pour évaluer la période de navigation du client; et des contrôles d'authentification supplémentaires lors du paiement ou de l'autorisation.

Les contrôles de vitesse recherchent des modèles de fraude dans une période de temps spécifiée, comme une utilisation intensive d'une carte de crédit. Par exemple, lorsque les fraudeurs font rapidement un certain nombre d'achats pour maximiser une carte de crédit volée une fois qu'ils ont réussi leur premier achat.

L'évaluation de la fraude examine chaque composant individuel d'une transaction par carte de crédit pour déterminer la probabilité que la transaction soit non autorisée, frauduleuse ou provienne d'une carte de crédit ou d'un numéro de carte de crédit volés. Cela comprend l'utilisation d'un service de vérification d'adresse et du CVV2 – le numéro à trois ou quatre chiffres imprimé au recto ou au verso de la carte.

Votre identité numérique est basée sur le navigateur Web que vous utilisez, votre historique Web, les plugins installés et les informations sur votre comportement en ligne. Le suivi de cette identité est l'une des raisons pour lesquelles les entreprises installent des cookies de suivi sur les navigateurs des visiteurs de leurs sites Web.

La biométrie comportementale examine comment les gens font ce qu'ils font. Cela inclut la façon dont les gens font défiler ou basculent entre les téléphones, comment ils saisissent et ce qu'ils font lorsqu'ils visitent un site Web.

Attaques de prise de contrôle de compte

Par exemple, les visiteurs du site Web qui accèdent directement à une page de connexion sans cliquer sur d'autres liens ou faire défiler le site sont susceptibles d'être des robots exécutant une attaque de prise de contrôle de compte (ATO), a averti Naik.

Lors d'une attaque ATO, les pirates utilisent des informations d'identification personnelle volées telles que le nom, le numéro de carte de crédit, l'adresse postale et / ou le numéro de sécurité sociale d'une personne pour accéder à un compte en ligne.

"Les investissements dans l'identité numérique, la biométrie comportementale et d'autres outils d'authentification sont des investissements que le commerce électronique et les détaillants peuvent faire pour maintenir le coût total de la fraude à un faible niveau à long terme", a déclaré Schnieper.

Plus de la moitié des marchands de taille moyenne à grande vendant des produits numériques qui ont répondu à l'enquête LexisNexis Risk Solutions affirment avoir pleinement mis en œuvre une approche en couches qui intègre la cybersécurité, l'expérience client numérique et les efforts de prévention de la fraude. Ceux qui ne vendent que des biens physiques sont à la traîne.

«Envisagez d’adopter des technologies de protection automatisée des applications Web qui peuvent tirer parti de moteurs d’apprentissage automatique sophistiqués pour détecter les anomalies émergentes en temps réel et qui empêchent les visiteurs malveillants de gratter ou de tenter des attaques de prise de contrôle de compte», a conseillé Naik.

"Le moment est venu d'être plus vigilant que jamais puisque, parallèlement aux pics de trafic, les attaques Web sont en augmentation."


Richard Adhikari est journaliste à ECT News Network depuis 2008. Ses domaines d'intérêt incluent la cybersécurité, les technologies mobiles, le CRM, les bases de données, le développement de logiciels, l'informatique mainframe et milieu de gamme et le développement d'applications. Il a écrit et édité pour de nombreuses publications, y compris Semaine d'information et Monde de l'ordinateur. Il est l'auteur de deux livres sur la technologie client / serveur.
Envoyez un courriel à Richard.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *