Pourquoi la e-carte cadeau doit-elle être sécurisée contre la fraude en ligne ?
La fraude en ligne est très importante et la France se place en 2e position en 2022 juste derrière les États-Unis. En première ligne de mire, les produits digitaux comme la carte cadeau électronique. Ces derniers sont très faciles à pirater si aucun protocole antifraude ou un minimum de sécurisation ne sont pas mis en place. À savoir que sur la période des fêtes de fin d’année, 1 tentative de fraude sur 10 a concerné les e-cartes cadeaux.
Les cartes cadeaux digitales connaissent un grand succès auprès des marques et enseignes. Elles sont un nouveau moyen d’acquisition client, en plus de dynamiser les programmes de fidélité. Avec une croissance de +20 % par an, la e-carte cadeau plait également aux clients particuliers et professionnels des marques émettrices. Mais lorsque l’on regarde de plus près, nombreux sont les différents programmes de cartes cadeaux dématérialisées qui n’ont aucune barrière de sécurité contre la fraude sur internet. C’est pourtant essentiel aujourd’hui sachant le nombre de fraudeurs visant ce type de produit.
Pourquoi est-il si simple de frauder les cartes cadeaux électroniques ?
La carte cadeau digitale est la cible préférée des fraudeurs, due à la facilité avec laquelle ils peuvent la voler. En 2017, la fraude représentait 7,22 % de toutes les cartes cadeaux vendues*. Et cerise sur le gâteau, elle peut être facilement consommée ou convertie en argent, allant directement remplir les poches des personnes malveillantes. Toutes les conditions sont donc réunies, pour la rendre incontournable auprès des fraudeurs.
L’immédiateté :. Comme tous les produits digitaux, la carte électronique est instantanément générée et envoyée au bénéficiaire. Seulement quelques secondes suffisent, ce qui ne laisse aucun temps à la réflexion et à l’analyse d’éventuels mouvements suspects.
Peu de chance d’être poursuivi : L’immédiateté est déjà une bonne condition pour être difficilement traçable. Généralement les fraudeurs vont acheter plusieurs centaines d’e-cartes cadeaux de petits montants (10 € maximum) pour échapper à la vigilance.
Facilement transformable en liquidité : pour cela 2 options s’offrent aux fraudeurs : soit le cybercriminel utilise rapidement la carte dématérialisée dans une des boutiques de la marque émettrice. Tous les produits achetés seront ensuite revendus sur des sites spécifiques à des particuliers. Soit il revend directement la e-carte cadeau sur des sites de vente en Peer to Peer. Cette méthode est la plus utilisée aux États-Unis, mais reste faible en France.
Les risques pour les marques et enseignes
L’image de marque : Les cartes cadeaux numériques sont souvent achetées avec des cartes bancaires volées, alimentant ainsi la fraude à la carte bleue en France, touchant plus de 1,1 million de cartes en 2022. Le phishing, une technique courante, expose les consommateurs à des attaques, les laissant vulnérables. Les marques risquent de subir les conséquences, car les clients mécontents se tournent souvent vers elles en cas de fraude.
Perte financière : Tout acte de fraude s’accompagne d’une perte financière pour les marques et enseignes. Les fraudeurs ne se contentent jamais d’une seule carte, mais de plusieurs centaines. Et en moins de 24 h, toutes les cartes cadeaux sont utilisées. Même si les cartes sont annulées, leur valeur est définitivement perdue et la marchandise déjà écoulée.
Quelles sont les techniques de fraude pour la carte cadeau digitale ?
La carte bancaire volée
En 2022, sur les 800 millions d’euros de fraude sur les moyens de paiement, la carte bancaire représente 50 %. Soit la carte a été volée physiquement, soit ce sont juste ses coordonnées qui l’ont été. Dans tous les cas, il est très facile par la suite de pouvoir l’utiliser pour un achat en ligne. Le plus souvent les fraudeurs vont acheter plusieurs e-cartes cadeaux pour devenir intraçable.
Ou tester si les cartes bancaires volées sont toujours actives. C’est-à-dire vérifier si le propriétaire de la carte n’a pas encore déclaré le vol auprès de sa banque, empêchant toutes actions de la part du fraudeur. Pour ce faire ces derniers achèteront des cartes cadeaux à faibles montants de manière répétée (entre 5 € et 20 €*). Et comme la transaction est instantanée, ils sauront rapidement si la carte de crédit est utilisable.
Vol des informations d’identification
Le cybercriminel peut également récupérer les identifiants et mots de passe des comptes clients de marques et enseignes, en utilisant des logiciels malveillants. Sur ces comptes clients, beaucoup d’informations y sont disponibles. Notamment le programme de fidélité du client si la marque ou l’enseigne le propose.
La majorité des programmes fonctionnent sur un système de points. Et lorsque les clients en accumulent un nombre suffisant, ces points sont ensuite convertibles en réductions ou en cartes cadeaux. Les fraudeurs profitent de l’instantanéité de la création de la e-carte, pour récupérer les numéros de cartes, et dépenser la carte cadeau au sein de la marque avant que les clients s’en aperçoivent.
L’achat via le smartphone
Acheter des cartes cadeaux via le mobile est avantageux pour les cybercriminels, puisqu’ils peuvent contourner de nombreux protocoles antifraudes mis en place. Il y a notamment la géolocalisation qui aide à l’identification des auteurs. En passant par plusieurs appareils mobiles, et fournisseurs d’accès à internet, ils amènent à faire croire que les opérations viennent de plusieurs consommateurs, alors qu’il ne s’agit que d’une seule et unique personne.
D’autres techniques : phishing, les injections SQL et l’utilisation de robots
Le phishing est beaucoup utilisé. Le but est simple : se faire passer pour un tiers de confiance, pour récolter des données bien précises qui sont en possession du consommateur. Si cette technique est essentiellement utilisée pour les cartes bancaires, elle l’est aussi pour les cartes cadeaux digitales. Le fraudeur se fait passer pour la marque dans un email, et demande à un consommateur de rentrer les codes de la carte afin de pouvoir l’activer. En vérité, ils récupèrent les codes pour utiliser la e-carte.
Les injections SQL permettent aux fraudeurs d’accéder aux bases de données structurant toutes les informations des sites internet des marques. Une fois la main dessus, ils peuvent accéder aux comptes, aux fiches produits, changer les prix et acheter autant de cartes cadeaux en ligne qu’ils le souhaitent.
L’utilisation de robots ou logiciels malveillants permet d’automatiser tout le processus de fraude en ligne, et de mener un nombre d’attaques plus conséquent en un minimum de temps. Par exemple, on trouve très souvent une page en ligne pour vérifier le solde restant d’une carte cadeau, et ça autant de fois que l’on veut sans s’identifier. Un logiciel peut tester plusieurs milliers de codes en très peu de temps, jusqu’à ce qu’ils en trouvent un qui soit valide.
Des comportements récurrents
Deux comportements suspects sont à surveiller pour détecter des fraudes : les fraudeurs ont tendance à effectuer leurs achats durant les périodes à fort trafic pour passer inaperçus auprès des marques et enseignes. Deuxième comportement suspect : la répétition. Les cybercriminels auront tendance à effectuer plusieurs tentatives de fraude sur un intervalle de temps limité. Cela va jusqu’à 60 tentatives par heure.
Stratégies de sécurisation des e-cartes cadeaux
Il existe la surveillance continue ; les entreprises doivent surveiller de près les transactions et détecter toute activité suspecte en temps réel. La mise en place de systèmes de détection des fraudes peut aider à identifier et à bloquer les transactions frauduleuses avant qu’elles ne causent des dommages.
Et il est possible de passer par la sensibilisation aux risques. En effet, informer les consommateurs sur les risques de fraude liés aux cartes cadeaux électroniques peut contribuer à réduire les tentatives de fraude. Les entreprises peuvent fournir des conseils de sécurité et de bonnes pratiques aux acheteurs pour les aider à protéger leurs cartes cadeaux contre la fraude.
La carte cadeau digitale est un produit facile pour les fraudeurs. Et si une faille est découverte, le nombre de tentatives de fraude se multipliera, laissant l’émetteur des cartes dans une position délicate. Et il sera déjà trop tard pour arrêter l’hémorragie. Les marques et enseignes doivent donc penser à mettre en place des protocoles antifraudes afin de limiter les actions malveillantes, de diminuer les coûts liés à la fraude sur internet, et de maitriser leur image de marque.