Comment les fraudeurs « encaissent-ils » les données de carte de crédit volées ? De plus en plus, ils vendent des produits en demande mais à des prix sous-évalués sur eBay qu’ils ne possèdent pas encore. Une fois l’enchère terminée, le fraudeur utilise les données de carte de crédit volées pour acheter la marchandise dans un magasin de commerce électronique et la faire expédier au gagnant de l’enchère. Étant donné que les gagnants de l’enchère obtiennent en fait ce sur quoi ils ont enchéri et paient involontairement le fraudeur, très souvent, la seule partie qui reste à contester les frais est le titulaire légitime de la carte.
Soi-disant « triangulation fraude” – des escrocs utilisant des cartes volées pour acheter des marchandises remportées aux enchères par d’autres membres d’eBay – n’est pas une nouvelle arnaque. Mais c’est un crime qui devient de plus en plus sophistiqué et automatisé, du moins selon un détaillant victime qui a récemment contacté BreachTrace après avoir été victime d’un tel stratagème frauduleux.
L’entreprise victime – qui a parlé sous couvert d’anonymat – a une présence assez forte dans le commerce électronique et se développe rapidement. Au cours des deux dernières années, il figurait parmi les 500 meilleurs détaillants en ligne classés par InternetRetailer.com.
La société a reçu plus de 40 commandes sur trois semaines pour des produits qui ont ensuite retracé des données de carte de crédit volées. Le détaillant victime a déclaré qu’il était en mesure d’arrêter quelques-unes des transactions frauduleuses avant que les articles ne soient expédiés, mais la plupart des ventes étaient des pertes que l’entreprise victime devait absorber.
Fraude par triangulation. Image : eBay Entreprise.
Le stratagème fonctionne comme suit : un fraudeur aux enchères crée un (ou plusieurs) compte eBay et vend des produits légitimes. Un client achète l’article au vendeur (fraudeur) sur eBay et l’argent est déposé chez le fraudeur Pay Pal Compte.
Le fraudeur transmet ensuite les informations de la commande eBay à un autre détaillant en ligne qui vend le même article, achète l’article à l’aide des données de carte de crédit volées et fait expédier l’article à l’adresse du client eBay qui attend l’article. Le fraudeur repart ensuite avec l’argent.
L’une des raisons pour lesquelles ce stratagème est si sournois est que les clients d’eBay sont satisfaits parce qu’ils ont reçu leur produit, de sorte qu’ils ne se plaignent jamais ou ne questionnent jamais l’entreprise qui leur a envoyé le produit. Pour le détaillant, la commande semble normale : les coordonnées du client dans le formulaire de commande sont partiellement exactes : elles contiennent l’adresse de livraison et le nom corrects du client, mais peuvent indiquer un numéro de téléphone qui va ailleurs – peut-être vers une messagerie vocale détenue et contrôlée par le fraudeur.
« Pour le détaillant qui expédie des milliers de commandes chaque jour, cette activité frauduleuse ne déclenche vraiment aucun signal d’alarme », m’a dit ma source – nous l’appellerons « Bill ». « La seule façon pour eux de le découvrir est d’utiliser un programme sophistiqué de détection des fraudes, ou lorsque le » débit compensatoire « de Visa ou MasterCard leur parvient enfin du propriétaire de la carte volée. »
Dans une déclaration envoyée par e-mail, eBay a déclaré que l’utilisation de numéros de carte de crédit volés ou frauduleux pour acheter des biens sur eBay n’est en aucun cas unique à eBay.
« Nous pensons que la collaboration et la coopération sont le meilleur moyen de lutter contre la fraude et le crime organisé de cette nature, en travaillant en partenariat avec les détaillants et les forces de l’ordre », a écrit Ryan Moore, directeur principal des affaires mondiales d’eBay. La détection de ce type de fraude, a déclaré Moore, « repose fortement sur les outils que les commerçants utilisent eux-mêmes, ce qui inclut la compréhension de leurs clients et la mise en œuvre des protocoles d’autorisation de carte de crédit corrects ».
Moore a refusé de discuter de la technologie et des approches utilisées par eBay pour lutter contre la fraude par triangulation, affirmant qu’eBay ne voulait pas donner la main aux cybercriminels. Mais il a déclaré que l’entreprise utilise des outils internes et des modèles de risque pour identifier les activités suspectes sur sa plate-forme, et qu’elle forme des centaines de détaillants et d’application de la loi sur divers types de fraude, y compris la fraude par triangulation.
QUAD FRAUDE ?
Moore a souligné une campagne d’éducation sur le site d’eBay, ce qui ajoute une autre ride à ce stratagème frauduleux : très souvent, les personnes qui mettent l’article en vente sur eBay sont des membres eBay de longue date et en règle qui sont recrutés pour vendre des articles via des escroqueries au travail à domicile. Ces systèmes annoncent généralement que le vendeur peut conserver une réduction significative du prix de vente – généralement 30 %.
Un e-mail de recrutement provenant d’une arnaque au travail à domicile qui implique des répondants dans une fraude par triangulation. Source : eBay
Intéressant, le gars qui vend des produits sur carte volés à l’entreprise de Bill est sur eBay depuis plus d’une décennie et a un score de retour client presque parfait. Ce vendeur n’est pas référencé dans cette histoire car sa page de commentaires renvoie directement aux transactions de la société de Bill.
Bill a déclaré qu’il pense que les fraudeurs ont ciblé son entreprise parce qu’elle est relativement petite et qu’elle est moins susceptible de s’appuyer sur des outils de fraude sophistiqués capables de trier les commandes frauduleuses. Dans le cas de son entreprise, elle ne dépensait pas d’argent pour de tels outils de prévention de la fraude jusqu’à ce que toute cette fraude eBay ait commencé.
« Ce n’était pas une taille de commande énorme, juste des produits aléatoires que nous vendons », a déclaré Bill. « Ils nous poursuivent en tant que détaillant de taille moyenne parce que nous n’avons pas encore atteint la taille où nous avons tous les logiciels de fraude intégrés. »
BOTS TRI-FRAUDE ?
Selon Bill, la société pensait avoir découvert un modèle de fraude pour aider à bloquer les futurs faux frais, qui, selon elle, provenaient tous de différentes adresses Internet chez Amazon. Cloud de calcul élastique (EC2) service. Mais il a déclaré que la fraude ne s’était pas arrêtée tant que la société n’avait pas commencé à bloquer les achats effectués à partir de serveurs hébergés sur le service EC2 d’Amazon. Après la mise en place de ce blocage, les visiteurs provenant des serveurs EC2 pourraient toujours naviguer sur le site, mais ils seraient empêchés de passer des commandes.
Bill a déclaré qu’il pensait que les commandes avaient peut-être été passées par des programmes automatisés de « bots » exécutés sur des instances de la plate-forme EC2 d’Amazon (des instances qui ont également probablement été payées avec des données de carte volées).
« La fraude a continué jusqu’à ce que nous mettions en place des éléments qui empêchaient ses robots d’Amazon EC2 d’effectuer des transactions avec notre site », a déclaré Bill.
Bill a admis qu’il ne pouvait pas prouver qu’il ne s’agissait pas simplement d’un humain effectuant manuellement des transactions à partir de tous ces systèmes EC2. Cependant, une autre mesure de sécurité que la société de Bill a mise en place pour lutter contre la fraude par triangulation donne du crédit à la théorie selon laquelle une sorte de robots automatisés basés sur EC2 pourraient en effet être impliqués dans la passation de commandes de produits non autorisées. L’entreprise de Bill a mis de nouveaux champs de données dans la partie du processus de paiement où les clients saisissent leur nom et leur adresse. Cette astuce utilise des champs de données qui sont cachés aux visiteurs réguliers du site Web mais qui sont toujours visibles sur le site pour les ordinateurs et les robots d’indexation Web.
L’idée est de séparer les commandes passées par des humains de celles saisies par des robots automatisés. Bien que ces derniers puissent consciencieusement fournir certaines données demandées factices dans les nouveaux champs de données, les clients humains légitimes ne saisiraient jamais de données dans ces champs supplémentaires car ils ne peuvent pas voir les informations demandées en premier lieu.
« Le blocage des achats EC2 et les champs de données ont très bien fonctionné pour empêcher les robots de ce fraudeur de spammer nos formulaires de messagerie », a déclaré Bill.
L’entreprise de Bill vient également de signer avec MaxMind, une entreprise qui donne aux détaillants de multiples indices sur les commandes potentiellement frauduleuses en fonction de la géographie de la commande. Par exemple, la commande a-t-elle été passée à partir d’une adresse Internet située à proximité de l’adresse de livraison ?
Pour sa part, eBay affirme que les commerçants peuvent lutter contre la fraude par triangulation en se concentrant sur les produits vendus par des comptes eBay suspects. « Collaborez avec les enchères et les places de marché connues pour avoir des vendeurs frauduleux », a déclaré la société dans son introduction à la tri-fraude. « Ensemble, vous pourrez peut-être découvrir des commandes supplémentaires pouvant faire partie de l’escroquerie pour aider à identifier les vendeurs et/ou les employeurs frauduleux. »
Votre entreprise ou votre carte de crédit a-t-elle été victime d’une fraude par triangulation ? Exprimez-vous dans les commentaires ci-dessous à propos de votre expérience.