[ad_1]

Perdu au milieu de la tempête médiatique ces dernières semaines au sujet des fraudeurs se tournant vers Payer Apple est cette réalité dure et plutôt troublante : Apple Pay permet aux cyber-voleurs d’acheter des marchandises à prix élevé dans des magasins physiques en utilisant des numéros de cartes de crédit et de débit volés qui n’étaient jusqu’ici utiles que pour la fraude en ligne.

applepayPour comprendre ce qui se passe ici, un bref aperçu de la fraude par carte est probablement de mise. Si vous êtes un fraudeur et que vous souhaitez entrer dans un magasin Best Buy et en sortir avec un téléviseur grand écran ou une console xBox aux frais de quelqu’un d’autre, vous allez acheter « décharges», qui sont des données volées directement sur la bande magnétique au dos des cartes.

En règle générale, les décharges sont volées via des logiciels malveillants installés sur les appareils de point de vente, comme dans les brèches dans les magasins physiques comme Target, Home Depot et d’innombrables autres au cours de la dernière année. Les acheteurs de décharges encodent les données sur du nouveau plastique, qu’ils utilisent ensuite « en magasin » chez les détaillants et repartent avec des brassées pleines de marchandises à prix élevé qui peuvent être facilement revendues contre de l’argent. Le prix moyen d’un seul dépotoir se situe entre 10 $ et 30 $, mais le gain en marchandises volées par carte est souvent plusieurs fois supérieur à ce montant.

Quand les fraudeurs veulent commander quelque chose en ligne en utilisant des cartes de crédit volées, ils vont acheter ce que les escrocs appellent « CVVs » – c’est-à-dire, les données de carte volées à piraté en ligne magasins. CVV signifie «code de vérification de carte» et fait référence au code à trois chiffres au dos des cartes qui est requis pour la plupart des transactions en ligne. Les fraudeurs qui achètent des CVV obtiennent le numéro de carte de crédit, la date d’expiration, le code de vérification de la carte, ainsi que le nom, l’adresse et le numéro de téléphone du titulaire de la carte. Parce qu’ils sont moins polyvalents que les décharges, les CVV coûtent un peu moins cher – généralement entre 1 et 5 dollars par compte volé.

Donc en résumé, décharges sont volés aux marchands de la rue principale et sont recherchés par les escrocs principalement pour être utilisés par les marchands de la rue principale. CVVd’autre part, sont volés dans les magasins en ligne et ne sont utiles que pour la fraude contre les magasins en ligne.

Entrez Apple Pay, qui efface potentiellement cette limitation des CVV car il permet aux utilisateurs de s’inscrire en ligne pour un mode de paiement en magasin en utilisant un peu plus qu’un compte iTunes piraté et des CVV. En effet, la plupart des banques qui autorisent Apple Pay pour leurs clients n’exigent que peu ou pas du tout que les clients prouvent qu’ils ont la carte physique en leur possession.

Aviva Litanun analyste de la fraude avec Gartner Inc.. expliqué un article de blog publié plus tôt ce mois-ci qu’Apple fournit aux banques une bonne quantité de données pour aider les banques dans leurs efforts à « preuve d’identité” le client, comme le nom de l’appareil, sa situation géographique actuelle et si le client a ou non un long historique de transactions avec iTunes.

Tous les points de données utiles, bien sûr, à moins que le compte iTunes sur lequel toutes ces informations sont basées ne soit détourné par des fraudeurs. Et comme nous le savons d’après les articles précédents sur ce blog, il existe un commerce solide dans le sous-sol de la cybercriminalité pour les comptes iTunes piratés, qui coûtent environ 8 $ par compte.

La chronique de Litan continue :

Fait intéressant, ni Apple ni les banques n’obtiennent d’informations d’identité utiles des opérateurs de téléphonie mobile – du moins à ce que je sache ou dont j’ai entendu parler. Et les données de l’opérateur mobile pourraient être particulièrement utiles pour la vérification de l’identité. Par exemple, les banques pourraient comparer l’adresse de facturation du service mobile avec l’adresse de facturation du titulaire du compte de carte.

Pendant des années, nous avons été informés par des fournisseurs proposant une pléthore de solutions innovantes et solides d’authentification des utilisateurs pour les paiements et le commerce mobiles. Et pendant des années, nous avons demandé aux fournisseurs qui les vantaient comment ils savaient que leur application mobile était fournie à un utilisateur légitime plutôt qu’à un fraudeur. Cela m’a toujours semblé être le maillon le plus faible du commerce mobile – s’assurer que vous fournissez l’application à la bonne personne plutôt qu’à un escroc.

La vérification de l’identité dans un environnement sans face à face est tout sauf facile, mais il existe des solutions décentes qui peuvent être combinées pour réduire considérablement la population de transactions et d’identités frauduleuses. La clé est de réduire la dépendance aux données statiques – dont une grande partie sont des données PII qui ont été compromises par les escrocs – et d’augmenter la dépendance aux données dynamiques, comme la réputation, le comportement et les relations entre les éléments de données non PII.

Ce problème ne fera que s’aggraver à mesure que Samsung/LoopPay et le MCX/CurrentC (soutenus par Walmart, BestBuy et de nombreux autres grands détaillants) lancent leurs systèmes de paiement mobile, sans les avantages des données client qu’Apple a dans leur environnement relativement fermé.

Bien sûr, les banques pourraient faire pression sur Apple Pay pour que leurs utilisateurs prennent une photo de leurs cartes de crédit avec l’iPhone et téléchargent ces données avant de s’inscrire. Cela pourrait fonctionner pendant un court moment pour dissuader la fraude, du moins jusqu’à ce que les gens des sites clandestins de falsification de documents comme Laboratoire de numérisation voir un nouveau marché pour leurs services.

Mais au final, la plupart des banques qui se connectent avec Apple Pay utilisent toujours des centres d’appels clients pour valider les nouveaux utilisateurs, en exploitant des données qui peuvent être achetées à très bas prix sur des sites souterrains d’usurpation d’identité. Si l’un d’entre vous doute de la facilité avec laquelle il est possible d’acheter des données personnelles sur à peu près n’importe qui, consultez l’histoire que j’ai écrite en décembre 2014, dans laquelle j’ai pu trouver le nom, l’adresse, le numéro de sécurité sociale, l’adresse précédente et le numéro de téléphone de tous membres actuels de la Comité du commerce du Sénat américain.

L’ironie ici est que si Apple Pay a été présenté comme une alternative plus sûre au paiement par carte de crédit, la façon dont Apple et les banques l’ont mis en œuvre rend en fait la fraude par carte moins chère et plus facile pour les fraudeurs.

Encore plus délicieusement ironique, comme le note Cherian Abrahamc’est colonne perspicace à Droplabs, c’est combien de fraudes résultant d’escrocs signant des cartes de crédit volées avec Apple Pay était lié aux achats de produits Apple à prix élevé dans les propres magasins physiques d’Apple ! Que les banques finissent par assumer les coûts de fraude de cette activité n’est que la cerise sur le gâteau.

Abraham a déclaré que les banques sont dans ce pétrin parce qu’elles n’ont pas exigé plus de transparence et de traçabilité d’Apple avant de se précipiter pour inscrire les clients (ou les «provisionner», en langage banquier) pour Apple Pay.

« L’un des plus gros reproches que j’ai entendus de la part des émetteurs est le manque de transparence d’Apple (à quoi s’attendaient-ils ?) et les rapports de fortune fournis aux émetteurs qui s’avèrent terriblement insuffisants », a écrit Abaraham. « Tant que les émetteurs se rabattront sur des mesures facilement contournables par des PII librement disponibles, ce problème continuera de saper la confiance et de grosses sommes d’argent. Et à côté de ce dernier, il y a aussi beaucoup de reproches à faire.

Abraham et Litan de Gartner affirment que les banques doivent prendre du recul et prendre le temps de développer des solutions plus robustes, réfléchies et évolutives pour les clients de vérification d’identité, en particulier alors que d’autres fournisseurs de téléphonie mobile commencent à déployer leurs systèmes de paiement mobile sans les avantages des données client qu’Apple a dans leur environnement relativement clos.

« Les fournisseurs de l’espace d’authentification des utilisateurs mobiles ont toujours répondu qu’ils laissaient les politiques d’approvisionnement des comptes aux banques ou à d’autres fournisseurs de services aux consommateurs qui approvisionnent les applications », a écrit Litan. « Eh bien, il est peut-être temps pour eux de reconsidérer et de commencer à aider leurs banques clientes et leurs fournisseurs de services en prenant en charge des solutions de vérification d’identité intégrées à leurs applications. Celui qui le fera bien gagnera sûrement beaucoup de support client… et de revenus.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *