Carding : comment se protéger contre cette fraude au paiement en ligne ?

Thursday, February 9, 2023

La fraude au paiement en ligne est un cauchemar pour les consommateurs comme les e-commerçants. Dans leur grande majorité, ces fraudes ciblent les paiements par carte bancaire, dont les données peuvent être récupérées par les hackers pour initier des transactions frauduleuses. 

Les numéros de carte volés sont très souvent revendus sur le dark web, puis testés par les fraudeurs via un processus que l’on appelle le carding. Pour limiter les pertes aussi bien du côté des acheteurs que des entreprises, voici quelques pistes pour mieux comprendre comment fonctionne le carding et comment s’en protéger. 

Qu'est-ce que le carding  ?

Le carding est une forme de fraude au paiement en ligne qui fonctionne en utilisant les informations de cartes bancaires volées. Pour tester si les numéros d’une carte sont toujours valides - parce que son détenteur n’a pas encore fait opposition à sa carte ou ne s’est pas rendu compte que ses données avaient été hackées - les fraudeurs vont lancer plusieurs transactions sur des sites d'e commerce jusqu’à ce que l’un de leurs paiements en ligne soit validé.  

On peut différencier plusieurs formes de carding. Plusieurs cartes peuvent ainsi être utilisées de manière successive et rapide pour des montants faibles et identiques, ou avec les mêmes informations et la même adresse IP. Dans d’autres cas, les hackers utiliseront plusieurs cartes avec des adresses de facturation différentes, mais un BIN (pour Bank Identification Number) identique. 

C’est encore un peu flou ? 

Une attaque par carding se déroulera généralement ainsi :  

  • Le fraudeur obtient une liste de numéros de carte de crédit volés sur le dark web ou en hackant un site d'e commerce/canal de paiement. Le plus souvent, il ne connaîtra pas la qualité de ces informations ; 
  • Il mettra en place un bot pour effectuer de petits achats sur plusieurs sites. Chaque tentative permettra de tester un numéro de carte pour déterminer s’il est encore valide ;
  • Les numéros de carte qui auront été identifiés comme valides seront sauvegardés sur une liste distincte, et réutilisés jusqu’à ce que leurs détenteurs s'aperçoivent de la fraude au paiement en ligne. 

Comment fonctionne concrètement cette fraude au paiement en ligne ?

Les premières attaques par carding (qui remontent aux années 80-90) ont été initiées avec l’aide de personnes en interne, qui appelaient les consommateurs pour les inciter à communiquer les données de leur carte de crédit. Par la suite, les hackers ont commencé à utiliser le phishing pour récupérer ces informations, en se faisant, par exemple, passer dans les années 90 pour des membres du support d’AOL

Aujourd’hui encore, le phishing reste le moyen le plus couramment utilisé par les fraudeurs au paiement en ligne pour obtenir les informations de carte de crédit. Les hackers mènent également des attaques via des malware rootkit et la prise de contrôle non autorisé de compte. Récemment, un groupe de hackers se faisant appeler EvaPiks a même réussi à compromettre les appareils d’ambassades (notamment d’Italie et des Etats-Unis) et à en prendre le contrôle via TeamViewer.

StanApp- Protéger contre une attaque par carding- Vol des données bancaires

Une autre technique populaire utilisée pour le carding est l’écrémage qui consiste à récupérer les informations de cartes de crédit stockées sur sa bande magnétique grâce à un appareil (le skimmer).  Ces données sont ensuite revendues en ligne, sur des sites comme CarderPlanet, initié par des hackers russes. Pendant plusieurs années, ce forum est devenu la plus grande place de marché de numéros de CB volés (avec plus de 7 000 membres et 1,7 millions de cartes de crédit et des pertes de plus de 4,3 millions de dollars). 

Comment identifier le carding ?

La prévention en matière de carding commence par reconnaître les signes d’une attaque. Si l'un des événements suivants se produit, il y a de fortes chances que votre site d'e commerce soit la cible de cette fraude au paiement en ligne : 

  • Montant d'achat faible ;
  • Pourcentage anormalement élevé de refus d'autorisation de paiement
  • Taux d'abandon de panier anormalement élevés
  • Utilisation disproportionnée de l'étape de paiement pour le même panier
  • Augmentation des rétrofacturation ;
  • Plusieurs autorisations de paiement refusées pour le même utilisateur ou la même adresse IP, session, etc.

Ecommerce : protéger ses clients de cette fraude au paiement en ligne

Plusieurs solutions existent pour se protéger contre ce type de fraudes au paiement en ligne, et notamment : 

  • Le CAPTCHA, qui permet aux e-commerçants de s’assurer que l’acheteur est bien un humain, et non un bot qui vérifie la validité de plusieurs centaines de numéros de carte bancaire ;
  • Le système de vérification d'adresse (AVS) : ce contrôle permet de comparer l’adresse de facturation utilisée avec l’adresse du titulaire de la carte.  Selon qu'elles correspondent totalement, partiellement, ou pas du tout, le commerçant pourra décider d’accepter la transaction ou d'annuler la commande ;
  • La vérification de la géolocalisation de l’adresse IP : la géolocalisation peut aider à confirmer que les détails d’un achat effectué dans un pays correspondent bien aux registres bancaires et de facturation connus pour cette carte. 
  • Le suivi du numéro BIN : les commerçants peuvent également détecter les cas de carding en faisant correspondre l’emplacement géographique dû titulaire de la carte et celui fourni par le BIN
  • La vérification de rapidité : la rapidité correspond au nombre ou à la vitesse à laquelle les acheteurs effectuent des transactions à un moment donné. Les commerçants peuvent utiliser cette métrique pour identifier les schémas irréguliers dans le processus de paiement qui pourraient indiquer une fraude.

Une approche plus proactive de lutte contre le carding peut également consister pour les ecommerçants à proposer à leurs clients des méthodes de paiement plus sécurisées. Le paiement en ligne de banque à banque ne nécessitant pas l’utilisation de la carte bancaire, il permettra aux acheteurs de protéger leurs données sensibles. 

Consommateurs : se protéger efficacement contre le carding 

Pour les particuliers, il existe également des moyens de se protéger contre cette fraude au paiement en ligne. Un malware efficace permettra notamment de contrer les rootkit et le simple fait d’éviter les sites commerçants ou les messages suspects limitera votre exposition aux hackers. 

Le plus efficace reste cependant de passer à un moyen de paiement en ligne plus sécurisé, qui ne nécessitera pas pour vous de communiquer les informations de votre carte bancaire. Le paiement de banque à banque est une alternative à la fois pratique et efficace, qui vous protégera des attaques par carding. 

Je profite des fonctionnalités Stan
gratuitement

Pour faire mon shopping en ligne plus vite et en toute confiance, je télécharge Stan.

  • Plus de formulaires à remplir à chaque achat
  • Vos données sécurisées dans un coffre-fort
  • Paiement de compte à compte
  • Des avantages sur tous nos sites partenaires

Recevoir le lien de téléchargement par SMS

Merci !
Vous allez recevoir un lien par SMS pour télécharger l'app Stan
Ce numéro n'est pas valide
Stan App est disponible sur Google Play et App Store-Application de paiement sans carte-Open Banking-Shopping en ligne

D'autres articles Stan