Pour être efficace, la prévention de la fraude doit surveiller chaque point de contact avec le client, de la création du compte au paiement, en passant par la connexion et le service client. Cette surveillance donne une vision détaillée des actions des utilisateurs, interaction par interaction.
C’est une couche de visibilité nécessaire. Mais il faut aussi croiser différents jeux de données pour comprendre les méthodes de fraude avancées et repérer les nouvelles tendances plus tôt.
Nous présentons ici un cas de fraude typique. Il montre les quatre niveaux de visibilité des données qui sont indispensables pour créer un programme antifraude performant face à des menaces qui changent sans cesse.
Niveau transaction : Il s’agit des interactions individuelles des utilisateurs, qui sont surveillées et analysées de manière isolée.
Un programme antifraude démarre souvent parce que les rétrofacturations deviennent trop nombreuses, ce qui force à surveiller les transactions au moment du paiement.
Les fraudeurs sont persistants. Quand une porte se ferme, ils tentent la fenêtre, la porte de garage, et ainsi de suite. Les attaques sur les paiements deviennent des prises de contrôle de compte, les dépôts frauduleux se transforment en virements, et ces prises de contrôle mènent ensuite au vol d’identité, à la création de fausses identités ou à l’utilisation de comptes relais.
Ce glissement se produit en quelques secondes et affecte les organisations de multiples façons.
En réponse, les équipes déploient des contrôles à chaque point de contact. Cette méthode est efficace pour beaucoup d’incidents isolés, mais elle peut aussi augmenter les faux positifs et les faux négatifs.
Niveau compte : Il analyse le comportement d’un compte sur la durée.
L’intelligence sur les appareils, les habitudes de dépense, la géolocalisation, la biométrie comportementale, ou les vérifications renforcées aident à détecter les signes d’une exploitation au niveau du compte, comme une prise de contrôle.
L’avantage de ce suivi apparaît clairement quand on compare le comportement du fraudeur avec l’historique du compte. Le fraudeur ne peut pas reproduire ce qui a été défini comme un comportement « de confiance » et réussir son attaque.
Il va tenter de changer les informations de paiement, contourner les vérifications automatiques, réussir ces vérifications après un nombre jugé suspect de tentatives, associer de nouvelles adresses ou localisations, et plus encore.
Quand il est bien surveillé, ce comportement frauduleux devient évident. Cela donne aux équipes plus de confiance et de précision dans leurs décisions.
Niveau plateforme : Il examine la performance d’un groupe de comptes sur une seule plateforme.
En suivant correctement les comptes « de confiance » et ceux « frauduleux confirmés », les équipes obtiennent des informations plus profondes. Cela réduit les frictions pour les interactions légitimes, ce qui augmente la satisfaction des clients et diminue le taux de faux positifs.
De plus, les réseaux de fraude et les attaques multi-comptes sont identifiés plus vite grâce à la géolocalisation, l’intelligence des appareils, la résolution d’adresse IP, etc. Cela diminue le temps pendant lequel ces attaques restent actives sur la plateforme.
Niveau réseau : Il repose sur des partenariats avec des fournisseurs spécialisés, qui enrichissent les données et aident à la décision en s’appuyant sur les informations de tout leur réseau.
Jusqu’ici, nous avons parlé des données auxquelles une équipe peut accéder en isolation. En s’associant à un fournisseur de solutions, votre programme antifraude bénéficie aussi de l’expérience de toutes les autres équipes qui utilisent ce réseau.
Une menace qui est nouvelle pour vous ne l’est pas forcément pour nous.
Exemple concret d’une fraude : Un fraudeur est déterminé à attaquer une plateforme spécifique qui stocke de la valeur, comme une banque. Il dispose des informations habituelles : données de paiement, identité, et connaissance du système. La majorité des fraudeurs ont cet accès et déploient de nouvelles méthodes en un instant.
Pour cet exemple, nous utilisons une méthode courante. Le fraudeur voit que l’identité ciblée est cliente de la ‘Banque X’. Il accède au compte pour faire trois choses : transférer des fonds depuis d’autres comptes compromis vers ce compte, demander une carte pour un « utilisateur autorisé » (lui-même), puis transférer l’argent vers un troisième compte compromis, en dehors de la plateforme.
Au niveau transaction : Le fraudeur se connecte au compte en contactant le service client, un canal historiquement sous-protégé qui repose beaucoup sur les vérifications par questions de connaissance. Le fraudeur a les informations nécessaires et est prêt à passer cette vérification.
Il réinitialise les accès et commande une carte pour un nouvel utilisateur autorisé sur le compte. Trop souvent, ce processus ne reçoit pas le niveau de contrôle approprié.
Le fraudeur examine les habitudes de dépense du compte et imite les montants des transferts entrants et sortants. En suivant le comportement historique visible dans les relevés, il reste discret.
Vu uniquement au niveau transaction, le fraudeur passe sous les radars. Il déclenche des vérifications isolées qu’il est préparé à satisfaire. Le temps passe jusqu’à ce que le véritable titulaire du compte contacte le service client et signale le problème. L’incident qui a commencé au service client est finalement identifié… au service client.
Du point de vue du compte, ce fraudeur a montré plusieurs comportements suspects :
- Il appelle le service client depuis un nouveau numéro de téléphone.
- Il met à jour les informations de contact.
- Le délai entre la connexion et la commande d’une carte secondaire est très court.
- La relation entre l’utilisateur autorisé et le titulaire du compte est douteuse.
- La chronologie des transferts et des retraits est anormale.
- L’appareil utilisé pour interagir avec la plateforme et lancer ces actions est suspect.
Toutes ces interactions peuvent être surveillées et associées à des vérifications. En observant l’histoire à cette hauteur, la confiance dans la décision devrait être élevée, ce qui renforce la précision.
Du point de vue de la plateforme, il est peu probable que ce scénario soit le premier du genre. En traquant ces événements avec des automatismes, les équipes identifieront d’autres occurrences et repéreront des régions, des adresses IP, des appareils et des comportements qui dépassent le cadre d’un seul compte. Ces informations alimentent ensuite les décisions en aval.
L’exécution de ce processus complet ne prend que quelques heures. Or, les fraudeurs n’attaquent pas un seul compte à la fois. Il est probable que de nombreux autres comptes subissent le même scénario au même moment. La rapidité d’action est vitale pour éviter un impact financier majeur.
Les indicateurs à surveiller incluent :
- L’adresse de livraison pour la « carte / utilisateur autorisé ».
- L’empreinte de l’appareil utilisé (Device Fingerprinting).
- La géolocalisation de l’utilisateur.
- La géolocalisation des retraits.
- Les montants (même si les fraudeurs rusés imitent les comportements, beaucoup augmentent graduellement les sommes, ce qui est un indicateur précieux).
- Les institutions sources des fonds.
… et d’autres encore.
Vue du niveau réseau, cette approche permet aux équipes d’automatiser des réactions face à des points de données déjà connus comme suspects, tels que :
- Le numéro de téléphone qui a contacté le service client.
- L’appareil utilisé pour interagir avec la plateforme.
- L’adresse de livraison utilisée pour la carte autorisée.
- Le nom de l’utilisateur autorisé.
… et d’autres.
En utilisant les informations du réseau, les équipes ont la possibilité de s’appuyer sur les enseignements tirés des opérations de leurs pairs. Elles peuvent prendre une décision immédiate et appliquer ces découvertes en aval et sur l’ensemble de la plateforme.