Fraudes à la carte bancaire ! .....

[FranckFK]

Depuis quelques temps les fraudes à la carte bancaire redouble d'intensité sur plusieurs de nos sites E-Business.

Nous venons de mettre en place une recherche systématique du pays de l'IP de la commande pour la comparer au pays de livraison de la commande.

Nous pouvons comparer 120 965 IP de pays différents !

Je ne manquerai pas de vous tenir informé des résultats dans les prochaines semaines.

Êtes vous confronté au même problème ?

[hibou57]

Depuis quelques temps les fraudes à la carte bancaire redouble d'intensité sur plusieurs de nos sites E-Business.

Nous venons de mettre en place une recherche systématique du pays de l'IP de la commande pour la comparer au pays de livraison de la commande.

Nous pouvons comparer 120 965 IP de pays différents !

Je ne manquerai pas de vous tenir informé des résultats dans les prochaines semaines.

Êtes vous confronté au même problème ?

Il existe une solution plus fiable, au moins en france : tu peux exiger la validation du paiement.

Le client souscrit auprès de sa banque, une fonctionnalité sans frais (c’est important), qui lui permet d’authentifier tous ses paiements en ligne. S’il y a échec de l’authentification, la banque bloque la transaction.

Techniquement, lorsque le client effectue un paiement, si le site ou l’e-commerce exige l’authentification du paiement, alors l’internaute, lors de la procédure de paiement, ne devra pas simplement fournir les informations de paiement traditionnelles, mais en plus, un code secret, qui figure sur une liste de code qui lui est remis par sa banque. Cette liste de code est sur papier et ne peut pas être piraté.

Exemple : je fais un achat en ligne, j’accède à la page de paiement, j’entre les informations de la carte, je fais suivant, et j’ai une page de la banque qui me demande d’authentifier le paiement en donnant le code se trouvant à la 3ième ligne, 2ième colonne de ma liste de codes personnels. Si je n’entre pas ce code, la transaction est refusée.... et un pirate ne peut pas entrer ce code, puisqu’il n’a aucun moyen de le pirater ou d’y accéder !

Il faudrait que tu te renseigne auprès de ta banque, ils connaissent surement.

Remarque : il ne faut pas se reposer sur l’IP, ce n’est pas fiable, car très peu d’internaute ont une IP fixe. Surtout en temps de pénurie d’adresse IPv4. À titre d’exemple, il m’est arrivé d’avoir sur Wikipedia, une page m’indiquant que certaines de mes contributions avaient été retiré au motif de spam, en indiquant une adresse IP.... ors, je n’édite jamais sur Wikipédia sans être connecté, et j’ai reçu ce message, en étant déconnecté. Effectivement, lorsqu’une personne édite sur Wikpedia sans être connecté, son IP est enregistré.

Que s’est-il passé ? Eh bien simplement, je me suis retrouvé à avoir l’adresse IP qu’avait eu une autre personne quelques temps auparavant...

l’IP n’est pas fiable à cette fin au delà d’un certain délais ; elle expire très vite, au bout de quelques heures le plus souvent.

[FranckFK]

Tu veux que nos sites ne réalisent plus aucune vente à demander aux clients des certifications à leurs banques ...

C'est pas comme ça dans la vrai vie et encore moins sur internet

Sur Internet c'est : moins j'en fais mieux j'me porte et quand j'ai fini ma commande le facteur doit sonner à ma porte

[FranckFK]

je crois que tu n'as pas bien compris l'utilité de repérer en un coup d'oeil si la commande est destiné à la France alors que celui qui commande ce situe en afrique centrale par exemple ...

je pense aussi que tu ne fais pas de commerce sur le web et que tu n'es pas confronté à ce genre de problème, sinon tu ne tiendrais pas ce genre de propos.

[loran750]

Dommage de rembarrer quelqu'un qui propose une solution sécure...

Sinon FranckFK, est-ce que ta solution bancaire dispose de 3DSecure * **? Théoriquement, cela permet d'éviter de passer des ordres bancaires sans avoir un mot de passe ne se trouvant pas sur la carte bancaire.

lolo

* certains sur le forum indiquent que 3DSecure fait baisser le taux de conversion. A voir
** pourtant, ce dispositif est sensé être obligatoire depuis 1 an ou 2.

[UsagiYojimbo]

Sinon tu peux aussi intégrer des services (certes payant mais plutôt efficace) comme ceux de Fia-Net, qui permettent de bien mieux canaliser ce genre de problèmes en alertant le web-marchand si un client risque de poser des problèmes.

[FranckFK]

bien sur que notre système intègre 3D sécure mais ça ne fonctionne que sur les cartes VISA étrangère et non pour les CB française.

et seul 5% des utilisateurs de CB ont fait une demande pour sécuriser leur CB sur le web en France, donc si tu met en application ce système tu fais plus une vente, je sais on a testé et fait virer cette option !

On met en place des solutions de payements depuis 10 ans sur le web pour nous et nos clients, la faille ne vient pas des banques mais des utilisateurs...

[FranckFK]

Fia-Net très cher et ne fonctionne pas pur tout les produits en ventes sur le web

C'est pas de te faire voler ta CB qui est grave, c'est l'utilisation des informations de ta CB, tu as besoin de 3 chose pour utiliser une CB sur le WEB
le N° de compte
la date de validité
et les 3 chiffres au dos

pas besoin d'avoir ta carte dans les main pour obtenir et utiliser c'est information, il suffit de confier ta carte 5mn dans un resto, un hôtel, etc pour recopier ce type d'info à la main... et ta CB fait le tour de la planète... Qui regarde ses relevé de CB tous les jours ? et qui remarque des 10 ou 25€ par-ci par-là... très peu de monde, donc le "voleur" peut jouer avec pendant des mois s'il le fait intelligent.

99% des fraudes à la CB sont effectué via l'étranger, normal comment aller poursuivre un type à l'autre bout du monde pour 20 ou 50 €... c'est perde ton temps, encore plus d'agent et de toute façon tu ne reverra jamais ta marchandise.

la dernière en date chez nous elle à été faite du Congo pour être livré en région parisienne... 117 € ! 30 jours plus tard carte déclaré volé.

Donc pour éviter ça, on vérifie à la source de la commande et quand le pays d'où le client passe sa commande ne correspond en rien au pays de livraison on est alerté et on lui envois un gentil mail pour avoir une explication...

Sinon tu peux aussi intégrer des services (certes payant mais plutôt efficace) comme ceux de Fia-Net, qui permettent de bien mieux canaliser ce genre de problèmes en alertant le web-marchand si un client risque de poser des problèmes.

[loran750]

Pas mal comme méthode.

Je complète par ces vérifications :

- l'IP provient-elle d'un pays à risque ?
- l'IP provient-elle d'un proxy ouvert ?
- la livraison se fait-elle dans un pays à risque ?
- la livraison se fait-elle dans un pays différent de celui de l'IP ?
- la commande est-elle trop élevée ?
- l'email provient-il d'un serveur anonymiseur (comme jetable.org) ?

Vous en avez d'autres ?

Ok, je ne réponds pas à la question de FranckFK mais je vois pas comment résoudre son problème. Sauf si FranckFK, tu l'as résolu avec un certain niveau de réussite.

[FranckFK]

Bien sur qu'on connaît tous les pays à risque, et encore c'est pays ne sont pas encore équipé d'ADSL... et quand ça va arriver, ça va être l'enfer sur le web !

Aucune livraison dans les pays à risque de notre part, de toute façon nous avons limité les pays de destinations pour la livraison, donc tu ne peux pas te faire livrer nos marchandises, vu que tu ne peux pas passer ta commande.

Ca fait des années qu'on lutte contre les petits escrocs du web et au faire et a mesure on trouve des contres mesures, comme celle-ci : identifier l'IP au moment de la commande.

Un client de bonne fois qui commande d'un pays étranger car il est en déplacement n'a aucun problème à te l'expliquer... Celui qui fraude ce gardera bien de nous répondre, de toute façon ça ne lui coûte rien à lui de jouer avec une CB volé ou dupliqué, ça ne coûte qu'au commerçant et au propriétaire de la CB.

le système est en place depuis hier chez nous on va très vite voir ce que ça donne, en tous les cas je perdrais moins de temps à envoyer un mail qu'à passer 3h à la gendarmerie pour déposer plainte...

Pas mal comme méthode.

Je complète par ces vérifications :

- l'IP provient-elle d'un pays à risque ?
- l'IP provient-elle d'un proxy ouvert ?
- la livraison se fait-elle dans un pays à risque ?
- la livraison se fait-elle dans un pays différent de celui de l'IP ?
- la commande est-elle trop élevée ?
- l'email provient-il d'un serveur anonymiseur (comme jetable.org) ?

Vous en avez d'autres ?

Ok, je ne réponds pas à la question de FranckFK mais je vois pas comment résoudre son problème. Sauf si FranckFK, tu l'as résolu avec un certain niveau de réussite.

[loran750]

en tout cas tiens nous au courant de l'évolution de cette procédure.
Cela intéresse pas mal de monde à mon avis.

[hibou57]

Tu veux que nos sites ne réalisent plus aucune vente à demander aux clients des certifications à leurs banques ...

Quand une décision d’achat est faite, ce n’est pas entrer un code qui arrête. Ou alors c’est une décision «légère» (peut-être que certains sont comme ça aussi, après tout, je n’en sais rien)

C'est pas comme ça dans la vrai vie et encore moins sur internet

... « et encore moins sur internet » : des mots qui sentent la désillusion et le désenchantement (je ne juge pas les mots, je les constate seulement... et ils ne m’étonnent pas).

Sur Internet c'est : moins j'en fais mieux j'me porte et quand j'ai fini ma commande le facteur doit sonner à ma porte

Et même plus encore.

je crois que tu n'as pas bien compris l'utilité de repérer en un coup d'oeil si la commande est destiné à la France alors que celui qui commande ce situe en afrique centrale par exemple ...

Ah, ok, c’est différent.

je pense aussi que tu ne fais pas de commerce sur le web et que tu n'es pas confronté à ce genre de problème, sinon tu ne tiendrais pas ce genre de propos.

Non, je ne fais pas (pas encore) de commerce sur le web, mais il m’arrive à l’occasion d’être client pour des petites bricoles, et ça me rassure quand je vois un site exiger la sécurisation du paiement.

Quelques mots à ce sujet :

• Les professionnels du web doivent-ils prendre les devant ou rester béas devant l’inaction des internautes face à des questions qui les concernent pourtant directement ? (en référence à «les internautes n’aimeraient pas que xyz»)
• La seule sécurisation efficace, c’est celle qui exige un ACK de la part du titulaire du compte ou du propriétaire de la carte de paiement. Si j’emploie le terme ACK ici, ce n’est pas par hasard, c’est parce que ce principe est éprouvé dans les protocoles de communication depuis longtemps. Évidement, l’ACK ne doit pas pouvoir être renvoyé par n’importe qui, et comme le fraudeur sera tenté de le faire en lieu et place de quelqu’un d’autre, c’est la raison pour laquelle l’ACK doit prendre une forme non-usurpable, ce qui est justement l’objet du code supplémentaire à usage unique.
• La sécurisation des paiements sur internet, concerne tout le monde, et même les gens qui ne font jamais d’achat sur internet ou même qui assurent ne jamais vouloir en faire, parce qu’il n’y a pas besoin de faire des achats sur internet pour voir son identification bancaire utilisée frauduleusement sur le net (voir note après cette liste de points).

À propos du dernier point plus en détails : si les internautes comprenaient le principe des fraudes à la carte, ils comprendraient qu’il n’y a pas besoin d’être client sur le net pour se faire voler, et comprendraient donc que ce ne sont pas ses propres achats sur le net qui représentent un danger. Ça ferait deux coups en un seul : plus de sécurité, et moins d’appréhension, ce qui finalement serait immédiatement profitable au commerce sur le net.

La sécurité, n’est pas, et ne peut pas être, une affaire individuel : le monde ne peut pas être sûr pour soit et peu sûr pour le voisin. S’il l’est, c’est pour tout le monde ou pour personne.

Donc il fait que tout le monde se sente concernés, et pour cela, il ne faut aller contre la tendance naturel de l’internaute, et faire de la pédagogie. D’autant que la démarche ne coute rien au client, la souscription de l’option est gratuite (ce n’est pas un service xyz inventé par la banque, il y a une loi derrière) et que la demande de son activation au guichet de sa banque ne prend que 2 minutes à peine (j’ai été surpris de la simplicité et de la rapidité moi-même).

Au sujet de la garantie de la légitimité d’une opération par carte : il est tellement évident qu’il n’y a pas besoin de faire des achats sur le net pour être victime d’une fraude, que je me demande comment on peut encore considérer que ce mécanisme de protection soit une option. Il devrait être automatique et obligatoire ; et ça protège, quelque soit le lieux d’où est effectué la fraude, ... que ce soit depuis Mars ou la Lune ne change rien à l’efficacité et à la nécessité d’une confirmation de la part du propriétaire de la carte. Si le propriétaire d’une carte se voit proposer l’option de pouvoir dire «Oui» ou «Non» avant de faire prélever quelque chose sur son compte, et qu’il dit «non, je ne veux pas faire la démarche nécessaire pour que l’on me demande mon autorisation avant de prélever quoique ce soit sur mon compte», alors s’il refuse de faire le nécessaire pour cette option, il n’a plus s’en prendre qu’à lui-même. Il y a la de bons arguments pédagogiques pour dire à tout le monde «courrez vite faire activer cette option !»


P.S. Non, je ne suis pas employé de banque, et loin de là.... (je n’aime pas les banques d’ailleurs, donc je ne baratine pas pour faire de la pub pour un de leur produit)

[FranckFK]

j'ai longtemps cru aux vertus de l'humanité aussi... avant de faire du commerce sur le web il y à maintenant 10 ans...

Le problème c'est la minorité qui cherche à profiter du système, les petits escrocs en herbe pullulent derrière leurs écrans planqués dans leurs chambres...

Il y a aussi tout un réseau organisé de vol de CB utilisable uniquement sur le web vu qu'ils n'ont pas les codes secrets des CB, c'est ceux là les plus dangereux pour nous ! Tu ne peux pas déclarer une CB volé si tu l'as toujours dans la poche et le temps que tu t'en aperçoive, des centaines de marchants en font les frais, mais trop tard.

Commence par faire du commerce en ligne et on en reparle avec plaisir, tu va très vite déchanter de la sécurisation des banques et te rendre compte que les escrocs du web ont une imagination sans limite pour te voler !

la méthode la plus répandu :
tu es français, tu veux acheter pour 150€ sur le web, un p'tit malin domicilier en centre afrique ou pays de l'est que tu connais par relation (et ça va très vite) te propose de faire l'achat pour toi et te le faire livré par la poste pour 50€ que tu lui envois sur son compte paypal, à ton avis pourquoi certaines personnes ce privent !... Et certain le font même de bonne fois... Sans se poser plus de question.

Donc maintenant ont vérifie d'ou est passé la commande, ça limite la casse.

[FranckFK]

Voilà un exemple en direct de ce matin ...

Commande passée :
IP 41.202.91.172
Cote D'Ivoire

Livraison :
93140 BONDY

Y à pas comme un p'tit problème là...

[hibou57]

Le problème c'est la minorité qui cherche à profiter du système, les petits escrocs en herbe pullulent derrière leurs écrans planqués dans leurs chambres...

Possible. Dans un autre registre, il m’est arrivé il y a quelques temps de consulter régulièrement les logs du pare-feu de Windows pour avoir une idée de comment les choses vont et se passent. À moins que je ne les ai mal lu ou mal compris, même sans navigateur ouvert et aucun application accédant à internet, je comptais en moyenne une tentative de connexion entrante toutes les 3 minutes (heureusement que je n’utilise le compte admin que pour l’admin).

la méthode la plus répandu :
tu es français, tu veux acheter pour 150€ sur le web, un p'tit malin domicilier en centre afrique ou pays de l'est que tu connais par relation (et ça va très vite) te propose de faire l'achat pour toi et te le faire livré par la poste pour 50€ que tu lui envois sur son compte paypal, à ton avis pourquoi certaines personnes ce privent !... Et certain le font même de bonne fois... Sans se poser plus de question.

Mais il faut être bête ou pas clair quand-même pour ne rien trouver de suspect à une offre pareil.

Donc maintenant ont vérifie d'ou est passé la commande, ça limite la casse.

Voilà un exemple en direct de ce matin ...

Commande passée :
IP 41.202.91.172
Cote D'Ivoire

Livraison :
93140 BONDY

Y à pas comme un p'tit problème là...

Oui, je vois la chose.

Je savais que ça existait sur eBay (depuis l’Afrique et les Royaume Unis surtout), mais je ne savais pas que c’était si répandu dans toutes les autres boutiques en ligne.