Prévenir les tests frauduleux de cartes bancaires
Le test de cartes bancaires est une activité frauduleuse qui consiste à tenter de déterminer si les informations d’une carte volée peuvent être utilisées pour effectuer des achats. Pour ce faire, un fraudeur peut acheter des informations de cartes bancaires volées, puis tenter de valider ou d’effectuer un achat avec ces cartes pour déterminer lesquelles sont toujours valides. Cette technique est aussi appelée « carding », « test de compte » ou « vérification de carte ».
Une activité frauduleuse telle que le test de cartes bancaires est une composante inévitable du commerce en ligne. Cependant, le test de cartes bancaires a des conséquences sur l’ensemble de l’écosystème des paiements. Les marchands, les réseaux de cartes et Stripe partagent la responsabilité d’éviter ce genre de situation. Chez Stripe, nous améliorons constamment nos outils et nos systèmes pour détecter et limiter la fraude, mais il est nécessaire de rester vigilant.
Fonctionnement des tests de cartes bancaires
Les testeurs de cartes bancaires utilisent à la fois les autorisations et les paiements pour déterminer si les informations de carte volées ou générées sont valides ou non.
- Autorisations : il s’agit de la méthode privilégiée par les testeurs de cartes bancaires, car les autorisations ne figurent généralement pas sur les relevés des titulaires de cartes. Il est ainsi moins probable que ces derniers remarquent ou signalent l’activité frauduleuse.
- Paiements : les testeurs de cartes bancaires préfèrent réaliser des paiements dont le montant n’est pas trop élevé, qui risquent moins d’être remarqués et signalés comme frauduleux par les titulaires de carte. C’est pourquoi leurs cibles privilégiées sont les sites caritatifs et les entreprises spécialisées dans les achats de faible montant.
Conséquences
Le test de cartes bancaires entraîne de nombreuses conséquences négatives, dont certaines empirent au fil du temps :
- Litiges : les tests des cartes bancaires génèrent parfois des paiements réussis. Les clients constatent les paiements réussis et les déclarent comme étant frauduleux, ce qui entraînera des litiges coûteux qui vous feront perdre du temps.
- Taux de refus de paiement plus élevé : les tests de cartes bancaires entraînent généralement une augmentation du taux de refus de paiement pour votre entreprise. Un taux de refus de paiement élevé peut ternir la réputation de votre entreprise auprès des émetteurs et des réseaux de cartes, et vos transactions peuvent par conséquent sembler plus risquées. Cela peut entraîner une hausse du nombre de paiements légitimes refusés, même une fois que l’activité de test de cartes bancaires a cessé.
- Frais supplémentaires : les tests de cartes bancaires peuvent entraîner des frais supplémentaires, par exemple des frais d’authentification pour les plans tarifaires personnalisés et des frais de litige.
- Mobilisation de l’infrastructure : les tests des cartes bancaires génèrent habituellement de nombreuses requêtes et opérations sur le réseau. Ce trafic supplémentaire peut surcharger votre infrastructure au détriment de votre activité légitime.
- Intégrité de l’écosystème menacée : les tests de cartes bancaires ayant un impact négatif sur l’ensemble du système financier, Stripe et nos partenaires financiers souhaitent vous aider à y mettre un terme.
Liste de contrôle des tests de cartes bancaires
Si votre intégration est la cible de testeurs de cartes bancaires, nous vous recommandons de prendre immédiatement les mesures suivantes :
- Identifiez le test de carte bancaire.
- Remboursez les paiements frauduleux pour éviter tout litige.
- Ajoutez une ou plusieurs limitations à votre intégration pour stopper les tests des cartes bancaires.
- Surveillez votre intégration pour vous assurer que les limitations sont efficaces.
Identifier les tests de cartes bancaires
Vous pouvez identifier la plupart des tests frauduleux de cartes bancaires par une augmentation significative des refus de paiement. Vous pouvez consulter les refus à trois endroits dans le Dashboard. Ces sections du Dashboard vous offrent une vue à la fois générale et détaillée des tests de cartes bancaires :
- Les paiements bloqués à cause d’un test de cartes bancaires sont indiqués tels quels lorsque vous affichez les informations de paiement des transactions bloquées.
- Les graphiques sous la section Développeurs du Dashboard montrent l’activité récente de votre compte Stripe. Les taux de refus de paiement élevés générés par les tests frauduleux de cartes bancaires apparaissent généralement sur ces graphiques.
- Les refus liés aux tests de cartes bancaires figureront dans vos logs des requêtes échouées en tant qu’erreurs 402.
Paiement bloqué pour cause de suspicion de test de carte bancaire
Empêcher les tests de cartes bancaires
Les testeurs de cartes bancaires recourent à des techniques très diverses pour vous empêcher de bloquer leur activité frauduleuse. Par conséquent, de simples règles et filtres de pare-feu basés sur des dispositifs tels que les chaînes d’agent utilisateur ne suffisent généralement pas à empêcher les tests frauduleux de cartes bancaires.
L’une des attaques les plus populaires chez les testeurs de cartes bancaires implique l’utilisation de votre clé secrète Stripe pour créer des paiements et des validations. Veillez à bien protéger vos clés secrètes et ne partagez pas votre clé secrète publiquement.
Mise en garde
Vous n’êtes pas développeur ? Vous utilisez un plugin ou une plateforme ? Empêcher et limiter les tests des cartes bancaires nécessite généralement des changements au niveau du code. Vous devez donc demander au développeur ou au prestataire qui a écrit le code de lire cette documentation et collaborer avec lui pour empêcher cette activité frauduleuse.
Optimiser votre intégration Stripe
Stripe a mis en place un certain nombre de contrôles automatisés et manuels pour limiter les tests des cartes bancaires, notamment des outils des limiteurs de débit, des alertes, des modèles de machine learning, des vérifications constantes, etc. Lorsque nous détectons que vous êtes la cible d’un test de cartes bancaires, nous appliquons autant de contrôles que possible pour atténuer cette attaque.
Cependant, l’efficacité des contrôles de Stripe dépend de votre intégration et des signaux que vous nous envoyez. Nous utilisons de nombreux signaux pour distinguer les paiements légitimes des tests des cartes bancaires. Bien que certains de ces indicateurs soient analysés automatiquement, la plupart dépendent des informations fournies par votre intégration. En règle générale, plus la quantité de données est importante, plus la prévention de la fraude sera efficace.
De plus, l’ajout des intégrations recommandées par Stripe nous permet d’exécuter automatiquement CAPTCHA pour les paiements suspectés de test de cartes bancaire. CAPTCHA est un test efficace pour bloquer les fraudeurs, mais il est suffisamment peu contraignant pour permettre à vos utilisateurs légitimes d’utiliser vos services. Pour désactiver notre intégration du CAPTCHA, contactez le service d’assistance Stripe.
Tirez le meilleur parti de la protection contre le test de cartes bancaires de Stripe en utilisant l’une de nos intégrations de paiement recommandées. Si vous ne pouvez pas utiliser l’une de ces intégrations, intégrez le plus de données possibles ou mettez en œuvre vos propres contrôles.
Type d’intégration | Qualité de l’intégration de test de cartes bancaires |
---|---|
Stripe Payment Links Recommended | |
Stripe Checkout Recommended | |
Stripe Elements avec des signaux Customer Recommended | |
Intégration directe de l’API avec des signaux Customer et client | |
Intégration directe de l’API avec des signaux client | |
Intégration directe de l’API avec des signaux Customer | |
Intégration directe de l’API sans signaux supplémentaires |
Le fait d’inclure les informations suivantes dans vos paiements peut avoir un impact significatif sur les performances des modèles de test des cartes bancaires. Nos intégrations recommandées vous permettent de collecter ces informations, tandis que les intégrations directes peuvent nécessiter d’inclure manuellement ces données.
- Détection avancée des fraudes Highest impact
- Adresse IP
- Adresse e-mail du client
- Nom du client
- Adresse de facturation
Vos clés API vous donnent accès aux systèmes de Stripe et à un réseau financier international. C’est cet accès que les testeurs de cartes bancaires veulent exploiter. Il est donc essentiel de protéger vos clés ainsi que les fonctionnalités offertes par ces clés pour empêcher toute fraude et autre activité malveillante.
Contrôler l’implémentation
Les endpoints ciblés par les testeurs leur permettent généralement de réaliser les opérations suivantes :
- Associer une carte à un client.
- Effectuer un paiement.
En ajoutant des dispositifs de sécurité aux endpoints qui exposent cette fonctionnalité, vous pouvez empêcher ou limiter les tests des cartes bancaires. Les dispositifs mis en place doivent rendre cette activité particulièrement difficile tout en ayant peu ou pas d’impact sur votre trafic légitime.
Les mesures de sécurité que vous ajoutez à votre intégration dépendront de votre situation et des besoins de votre entreprise. Différentes approches courantes sont décrites ci-dessous.
Ajouter un CAPTCHA
Les testeurs de cartes bancaires utilisent souvent des scripts automatisés pouvant être bloqués à l’aide d’un CAPTCHA. L’outil reCAPTCHA de Google est généralement efficace pour bloquer les tests de cartes bancaires. En fonction de vos besoins, vous pouvez utiliser des CAPTCHA visibles et invisibles. Si vous avez ajouté un CAPTCHA à votre intégration et que l’activité de test de cartes bancaires continue, effectuez les étapes suivantes :
- Vérifiez que le CAPTCHA exige une validation sur toutes les requêtes qui permettent la validation des cartes ou les paiements avec Stripe.
- Vérifiez dans la documentation du CAPTCHA que son implémentation a été effectuée correctement.
- Si vous utilisez un CAPTCHA qui fournit un score, ajustez le seuil à partir duquel vous souhaitez que les requêtes échouent.
- Essayez une autre solution CAPTCHA. Passez par exemple d’un CAPTCHA invisible à un CAPTCHA visible. Ou utilisez une toute autre solution CAPTCHA complètement différente.
Ajouter des limites de débit
Dans certains cas, vous pouvez mettre fin aux tests des cartes bancaires en instaurant des limites de débit. Adaptez ces limites de débit pour mettre fin aux tests des cartes bancaires dont vous êtes victime. Par exemple, si les testeurs de cartes utilisent votre intégration pour valider les cartes en les associant aux nouveaux clients, vous pourriez les bloquer en limitant le nombre de nouveaux clients pouvant être créés par une même adresse IP par jour.
Exiger une validation de connexion ou de session
Pour empêcher les tests des cartes bancaires, il est souvent possible d’exiger une validation de connexion ou de session lors de certaines opérations, par exemple pour créer un compte ou effectuer un paiement. Certains des mécanismes de protection utilisés contre les attaques par falsification des requêtes intersites (CSRF) sont également efficaces contre certains types de tests des cartes bancaires, par exemple les tokens CSRF.
Détecter et prévenir tout comportement inhabituel
Utilisez le Dashboard, des webhooks ou la surveillance continue avec Stripe Sigma ou Data Pipelines pour suivre les anomalies de votre trafic. Vous pouvez comparer le test des cartes bancaires au trafic légitime type, puis créer des filtres qui limitent ou empêchent uniquement le test des cartes bancaires. Vous pouvez par exemple apporter à votre système des modifications qui :
- Limitent le nombre de cartes pouvant être associées à un seul client
- Limitent le nombre de clients pouvant être créés avec une même adresse IP
- Filtrent les requêtes avec certains agents utilisateur ou d’autres paramètres
Pour ce faire, vous pouvez utiliser des règles personnalisées dans Radar for Fraud Teams. Nous abordons ce sujet dans la section suivante.
Créez des règles personnalisées adaptées à votre tolérance au risque
Radar présente des règles de blocage intégrées basées sur les chèques bancaires, comme les contrôles CVC.
Si vous comprenez le comportement de vos clients et souhaitez personnaliser en détail la vélocité des paiements, vous pouvez créer des règles personnalisées dans Radar for Fraud Teams.
Vous trouverez des exemples dans le guide Radar 101.
Utiliser plusieurs limitations
Pour mettre fin aux tests de cartes bancaires, il peut être judicieux de combiner plusieurs approches afin d’optimiser l’impact sur l’activité frauduleuse sans nuire au trafic légitime. Vous pouvez par exemple combiner des CAPTCHA et des limites de débit afin que la première tentative de paiement effectuée à partir d’une adresse IP réussisse, mais que les autres requêtes émises par cette même adresse dans les heures qui suivent exigent une vérification par captcha.