Il y a quelques semaines, WPTavern soulignait le récent pic de fraude aux paiements via Stripe sur les sites Web WooCommerce. Bien que ce problème en soi ne soit pas nouveau, ce message a été déclenché par une discussion sur le Groupe Facebook WordPress avancépar plusieurs développeurs qui ont remarqué que les sites Web de leurs clients étaient affectés par des incidents similaires.
Et ils ne sont pas seuls.
Selon les données analysées par Statistiqueles pertes du commerce électronique dues à la fraude aux paiements en ligne ont doublé dans le monde, passant de 20 milliards de dollars américains en 2021 à 41 milliards de dollars américains en 2022. Sur la base de ces tendances, les projections actuelles estiment ce chiffre à 48 milliards de dollars américains en 2023.
Comprendre la fraude aux paiements
En termes simples, la «fraude» implique le vol de ce qui ne vous appartient pas, cependant, la fraude au paiement en ligne est tout sauf simple.
Qu’est-ce que la fraude au paiement ?
Lorsqu’un paiement est effectué via une transaction non autorisée, c’est-à-dire sans l’approbation du propriétaire de la carte ou du compte bancaire, on parle de fraude au paiement.
Types courants de fraude aux paiements
Il existe différents types de fraudes aux paiements qui sont si bien exécutées qu’il faut un certain temps aux victimes pour même se rendre compte qu’elles ont été trompées.
Test de carte
Un fraudeur avec des détails de carte de débit ou de crédit volés effectue quelques petits achats pour confirmer que les détails de la carte sont valides. Ceci est généralement connu sous le nom de test de carte ou de craquage de carte.
Les fraudeurs recherchent souvent des sites Web qui vous permettent de payer n’importe quel montant (payez ce que vous voulez) ou des sites Web à but non lucratif qui acceptent de petites sommes en guise de don. Sinon, ils identifient le site Web de tout marchand aléatoire et achètent des articles bon marché pour confirmer que la carte volée est toujours active.
Pour ajouter à ce gâchis, si le fraudeur est suffisamment qualifié techniquement pour utiliser des scripts automatisés ou des bots pour cela, cela peut conduire à un grand nombre de transactions de ce type en très peu de temps. Le plus souvent, il est déjà trop tard lorsque le commerçant concerné et le titulaire réel de la carte remarquent ces transactions anormales et tentent de les arrêter.
Fraude par triangulation
Ce type de fraude peut être un cauchemar complet, car il est vraiment difficile de retracer cette chaîne. C’est comme ça que ça se passe généralement :
- Un fraudeur met en place une fausse vitrine sur un marché (par exemple, e-Bay ou Amazon) complet avec des produits.
- Un véritable client visite le magasin du fraudeur et achète un produit.
- Le fraudeur utilise alors une carte de crédit volée et passe une commande pour ce produit auprès d’un commerçant légitime, avec l’adresse de livraison du client.
- Désormais, la cliente ne remarque rien d’anormal, car elle reçoit exactement ce qu’elle a commandé, en utilisant les détails de sa carte de crédit authentique.
- Lorsque le propriétaire de la carte volée voit le débit sur sa facture et soulève un litige de paiement, c’est le commerçant sans méfiance qui doit payer la pénalité pour la rétrofacturation. Avec les marchandises déjà livrées à quelqu’un qui avait effectivement payé le produit (bien qu’au fraudeur), le commerçant n’a aucun moyen de récupérer l’article livré ou le paiement qui lui est dû. De plus, il finit également par payer les frais de pénalité pour la rétrofacturation.
- Si le véritable commerçant n’améliore pas son jeu et n’empêche pas de telles transactions frauduleuses, les pertes peuvent augmenter assez rapidement.
Fraude amicale
La fraude amicale (également connue sous le nom de fausse rétrofacturation) se produit lorsqu’un client achète quelque chose en utilisant sa propre carte valide auprès d’un détaillant en ligne, mais soulève ensuite une rétrofacturation auprès de sa banque, exigeant un remboursement. Cela peut être dû soit aux remords de l’acheteur, soit à une hésitation à contacter le commerçant et à résoudre le problème à l’amiable.
Remboursements alternatifs
C’est lorsqu’un filou verse un montant important à un site Web (généralement un organisme à but non lucratif ou un site Web qui accepte les dons à volonté) en utilisant une carte volée. Ils contactent ensuite le site Web et prétendent avoir transféré plus que ce qu’ils avaient l’intention de faire, demandant un remboursement partiel sur une autre carte (la sienne), affirmant à nouveau à tort que la carte utilisée pour le paiement initial a expiré.
Actions simples pour prévenir le piratage et la fraude aux paiements
Pour être juste, les processeurs de passerelle de paiement font de leur mieux pour empêcher les acteurs malveillants d’entrer, mais cela ne suffit tout simplement pas.
En fait, Stripe a publié une note détaillant sa réponse à cette récente vague d’attaques de test de cartes. Bien que cela ait pu aider à réduire la fraude, ce n’est encore qu’une petite brèche, si l’on considère l’ampleur de ces tentatives frauduleuses qui réussissent.
Il est donc préférable que vous preniez la responsabilité de protéger votre site Web WordPress et de faire tout ce que vous pouvez.
Voici 5 façons simples de le faire !
1. Appliquer un processus de connexion solide
Un site Web ne peut être aussi sûr que son mot de passe le plus faible. L’application de mots de passe forts est le minimum que vous puissiez faire pour empêcher les pirates d’accéder à votre site Web. Cependant, si le mot de passe est trop complexe pour que les humains s’en souviennent, ils pourraient devenir paresseux et l’écrire dans un endroit non sécurisé. Ou s’il est assez facile pour eux de s’en souvenir, il y a de fortes chances qu’il soit également facile d’être piraté.
Au lieu de compter uniquement sur un mot de passe fort, il est fortement recommandé d’opter pour une couche de sécurité supplémentaire, en ajoutant une étape supplémentaire au processus de connexion. Certaines des façons de le faire –
- Appliquer l’authentification à deux facteurs à l’aide d’un plugin WordPress
- Activer les clés de sécurité biométriques pour éviter complètement les mots de passe
2. Surveillez régulièrement les paiements
Faites attention aux modèles de clients inhabituels, aux identifiants de messagerie étranges, aux incompatibilités d’adresse de facturation et d’adresse IP, etc. Vous pouvez le faire manuellement ou utiliser un plugin de paiement WooCommerce tel que ceux répertoriés ci-dessous.
Voici quelques plugins WordPress WooCommerce spécialement conçus pour la prévention de la fraude
SyncTrack Ajouter automatiquement Paypal
Il s’agit d’un plugin gratuit relativement moins connu, qui a été publié en mai 2022. Ce qu’il vise à faire est génial – il s’intègre à Paypal et transmet les informations de suivi des paiements, afin que vous soyez protégé contre les litiges et les rétrofacturations liés aux commandes frauduleuses.
Cependant, ce plugin n’a pas été mis à jour depuis sa sortie et testé avec les versions récentes de WordPress, il doit donc être utilisé avec prudence.
WooCommerce Eye4Fraud
Il garantit littéralement la protection contre la rétrofacturation en promettant de vous rembourser intégralement, si un client soulève une rétrofacturation avec succès sur un compte approuvé par Eye4Fraud. Ça ne va pas mieux que ça, je suppose.
Vous devrez cependant créer un compte Eye4Fraud pour que cela fonctionne et ils facturent un pourcentage du montant de votre commande à titre de commission. Il n’y a pas d’informations sur les prix sur leur site Web, vous pouvez contactez-les pour un devis personnalisé.
YITH WooCommerce anti-fraude
Ce plugin détecte automatiquement les comportements suspects lors du processus de paiement et bloque les commandes. Par exemple, toute incohérence dans des paramètres tels que l’adresse IP, l’emplacement géographique, etc.
Il vous permet également de configurer des règles de blocage des commandes en fonction de conditions telles que le seuil de risque, les e-mails provenant de domaines suspects, les montants de commande inhabituellement élevés (vous pouvez spécifier le montant) et plus encore.
Anti-fraude Woocommerce par OPMC
Ce plugin WordPress anti-fraude populaire vous permet de configurer diverses règles et alertes en fonction du comportement attendu de vos clients. Toutes les commandes qui ne sont pas conformes à cela sont mises en évidence, afin que vous puissiez ensuite les examiner de plus près.
Ce plugin a également :
- Évalue le risque associé à chaque paiement et vous avertit des paiements à haut risque
- Fournit une protection contre les attaques de vélocité à l’aide de reCAPTCHA
- S’intègre à QuickEmailVerification pour valider les adresses e-mail
3. Désactiver les commandes d’invités (sans inscriptions de clients)
Envisagez d’obliger les utilisateurs à s’inscrire sur votre site Web avant de passer une commande. Vous pouvez également ajouter une vérification supplémentaire en forçant les nouveaux utilisateurs à valider leur adresse e-mail ou en ajoutant un captcha sur le formulaire d’inscription (ou les deux).
Et si ce n’est pas le cas, pensez également à ajouter un captcha à votre page de paiement. Bien que cela puisse ennuyer vos vrais clients qui veulent une expérience de paiement rapide et fluide, cela peut toujours valoir la peine.
Cependant, cela pourrait aider à réduire les risques d’attaques de test de carte où plusieurs commandes pour de petites quantités sont passées à l’aide d’identifiants de messagerie aléatoires inexistants, par des bots.
4. Activer la limitation de débit
Le Plugin anti-fraude WooCommerce par YITH vous permet de contrôler le nombre de commandes par utilisateur dans une période de temps spécifiée. Cela empêche les fraudeurs de passer un grand nombre de commandes automatiquement en utilisant le même identifiant client. Non pas que cela l’empêche complètement bien sûr, mais chaque petit geste compte.
5. Tirez parti de ce que vous avez déjà
Vous devez faire de votre mieux pour tirer parti des ressources que vous utilisez déjà, par exemple votre hébergement, Cloudflare (ou des fournisseurs de sécurité similaires).
Par exemple:
- Vous pouvez activer Le mode Bot Fight de Cloudflare de sorte que chaque fois que des modèles de trafic de bot typiques sont remarqués, ceux-ci sont bloqués par Cloudflare.
- Vérifiez également auprès de votre fournisseur d’hébergement s’il fournit des outils ou des pare-feu qui pourraient vous aider à gérer de telles tentatives.
De plus, si vous utilisez déjà le Plug-in de paiements WooCommerceil met en évidence le niveau de risque évalué pour chaque transaction, comme « Normal » ou « Élevé » – ceci est basé sur son intégration avec l’outil de prévention de la fraude RADAR de Stripe.
Bien que vous deviez absolument utiliser tous les moyens possibles pour prévenir la fraude, il est possible que vous voyiez encore passer des commandes frauduleuses.
La meilleure façon de minimiser les dommages est de rester vigilant et de réagir rapidement à tout comportement d’achat anormal sur votre site Web.
Si vous voyez plusieurs transactions pour de petits montants en succession rapide, vous devez vérifier les détails et les bloquer immédiatement jusqu’à ce que vous enquêtiez sur les transactions.
Restez vigilant, restez en sécurité!
Articles similaires:
Découverte de la fraude aux clics sur les sites Web AdWords Entreprise
