Un nouveau type de cadeau a gagné en popularité ces dernières années : les cartes-cadeaux. Les ventes de ces dernières augmentent d’année en année, un marché mondial qui devrait atteindre 1,4 milliards de dollars d’ici à 2026. Les consommateurs les apprécient en raison de leur flexibilité et de leur accessibilité, la plupart d’entre elles peuvent être achetées, mais aussi échangées à tout moment et en tout lieu. Malheureusement, cette flexibilité peut être exploitée par des criminels qui en tirent un profit financier.
L’évolution de la fraude aux cartes-cadeaux
Le commerce électronique a connu un essor fulgurant ces dernières années en raison de la pandémie de COVID-19. L’impossibilité de faire des achats, de voir les proches et particulièrement les retards postaux ont généré frustration et méfiance envers les fournisseurs de services de livraison de colis. Depuis, nombreux sont ceux qui recherchent un moyen plus simple et plus rapide d’acheter et d’envoyer des cadeaux, notamment grâce aux cartes cadeaux. En très nette augmentation, elles sont un moyen idéal de rassembler des personnes autour d’un évènement tels un anniversaire ou un pot de départ de l’entreprise. Une nouvelle source financière qui n’a pas échappé aux acteurs malveillants.
Parallèlement à l’augmentation de l’utilisation des cartes-cadeaux, la sécurité des paiements par carte de crédit s’est accrue, les fournisseurs utilisant des outils de prévention de la fraude tels que le système AVS et l’évaluation des risques pour sécuriser les données des clients. Mais ces outils reposent sur des informations de clients qui ne sont pas disponibles avec les cartes-cadeaux. En effet, elles ne sont pas liées à l’identité des personnes, sont difficiles à tracer et faciles à convertir en espèces ou en biens revendables, ce qui en fait une cible attrayante pour les acteurs malveillants.
Comment fonctionnent les escroqueries aux cartes-cadeaux
Les fraudeurs peuvent utiliser les cartes-cadeaux de multiples façons pour escroquer et soutirer des informations personnelles et de l’argent.
À titre d’exemples, la fraude au remboursement consiste à utiliser des numéros de cartes bancaires volées pour effectuer un achat en ligne avant de le renvoyer pour remboursement et de demander que les fonds soient versés sur une carte-cadeau. Lorsque le véritable propriétaire de la carte de paiement demande un remboursement, le commerçant perd deux fois le montant de la transaction, ainsi que les frais de remboursement.
Le vol de numéros de cartes-cadeaux est une autre technique utilisée par les fraudeurs, qui s’introduisent dans la base de données des cartes-cadeaux d’une entreprise par le biais de logiciels malveillants, d’hameçonnage ou d’autres méthodes d’ingénierie sociale afin de voler les numéros de cartes et les codes d’activation.
La forme la plus répandue de fraude à la carte-cadeau est la plus simple. Des acteurs malveillants utilisent les données d’une carte de crédit ou de débit volée pour acheter des cartes-cadeaux en ligne pour les utiliser ou les revendre avant que le propriétaire de la carte ne s’en aperçoive et que le détaillant ne soit touché par la rétrofacturation qui s’ensuit. Ces cyber criminels ont une stratégie pour cela : en achetant des cartes-cadeaux de faible valeur, ils peuvent contourner les exigences du SCA, éviter de déclencher les solutions de détection des fraudes des détaillants et ne pas éveiller les soupçons du titulaire de la carte d’origine. Les cartes qui passent ce test et parviennent à contourner ces obstacles, peuvent alors être utilisées pour effectuer des achats plus importants, ou alors les informations d’identification peuvent être vendues sur le dark web. Les vendeurs doivent s’assurer de la qualité du produit qu’ils vendent avant toute action de vente; en validant les données des cartes bancaires volées, ils s’assurent donc que leur réputation en tant que « vendeurs » est préservée.
Récemment un e-commerçant belge a été victime d’une attaque de robots à grande échelle visant des cartes-cadeaux numériques de faible valeurs (10 euros). Les fraudeurs ont effectué un très grand nombre de tentatives sur le site dans un court laps de temps, ce qui a rendu l’ampleur et l’impact financier de l’attaque significatifs. Le site web a été ciblé à l’aide de cartes de paiement britanniques volées, avec des dispositifs et des adresses IP aléatoires pour ressembler à des tentatives uniques et éviter d’être bloquées par les contrôles de vélocité.
Lors de ces attaques, les cyber criminels gagnent deux fois : non seulement ils repartent avec les données validées de la carte bancaire, mais ils peuvent aussi revendre la carte-cadeau pour 80% à 90 % de sa valeur nominale, ce qui reste supérieur à la revente d’autres biens volés, comme l’électronique.
La vigilance est le maître mot
L’impact financier potentiel de la fraude aux cartes-cadeaux est alarmant, dans le cadre d’un projet, un cyber criminel américain a acheté en personne jusqu’à 45 000 cartes-cadeaux sur le marché noir avant de les revendre sur des sites d’échange et d’encaisser jusqu’à 7,5 millions de dollars de bénéfices. En outre, les détaillants touchés ou impliqués dans une fraude à la carte-cadeau risquent d’être perçus comme vulnérables et indignes de confiance, ce qui nuit à leur réputation à long terme.
Les commerçants doivent donc s’assurer que leurs solutions de sécurité sont suffisamment robustes pour se défendre contre les pirates, suivre méticuleusement les numéros de cartes-cadeaux et identifier les transactions frauduleuses. L’association de ces mesures à une formation de sensibilisation et à des tests continus, permet d’identifier et d’arrêter ces transactions frauduleuses, avant qu’elles ne deviennent un problème.
Alors que les ventes de cartes-cadeaux explosent, les fraudeurs sont à l’affût des clients et des détaillants à cibler. L’évolution constante et la sophistication des techniques de fraude signifient que, sans protections actualisées, le cadeau de n’importe qui pourrait être le chemin d’un cyber criminel vers des informations financières précieuses, et ce sont les commerçants qui en paieront le prix.
Tribune Signifyd