| |
|
Voir le sujet précédent :: Voir le sujet suivant
|
| Auteur |
Message |
| |
|
9876
WRInaute discret
Inscrit le: 18 Jan 2007
Messages: 76
|
 Posté le : Mar Juin 03, 2008 14:09 Sujet du message: Lutter Contre La Fraude à la CB (au niveau technique) svp |
|
|
Bonjour,
Comment lutter efficacement d'un point de vue technique contre la fraude à la carte bancaire (mais du côté commerçant) avant le paiement final donc.
En effet, de nombreux individus ont tendance à payer certains sites en utilisant une carte bancaire qui ne leur appartient pas mais comment déterminer un taux de confiance (à chaque webmaster) avant de l'envoyer vers une solution de paiement (du style paypal par exemple).
Déjà pour bien cerner le problème, comment les fraudeurs font pour éviter de se faire identifier ? (lors d'une plainte d'une solution de paiement)
Et comment le webmaster peut t'il détecter ces méthodes ?
Existe t'il un moyen d'identifier de manière formel l'adresse IP de l'utilisateur (bien sûr je connais la fonction PHP qui permet ce genre de réalisation) mais dans certains cas les fraudeurs utilisent des serveurs relais ou se connectent à partir de l'autre bout de la planète.
Donc :
- comment savoir si l'utilisateur se connecte à partir de sa propre connexion (moyens techniques) ?
- comment repérer géographiquement un utilisateur ?
Je poste ce sujet car j'ai suivi et participé avec bcp d'attention à un sujet sur les problèmes de la fraude à la carte bancaire et je me suis demandé si il existait un moyen de lutter techniquement contre ce type de problème (du côté commerçant) avant d'envoyer l'utilisateur vers une solution de paiement.
Merci |
|
| |
|
 |
blman
WRInaute accro
Inscrit le: 05 Sep 2003
Messages: 2740
Localisation: Nantes / Laval (France)
|
| Posté le : Mar Juin 03, 2008 14:21 Sujet du message: Lutter Contre La Fraude à la CB (au niveau technique) svp |
|
|
FIANET se base par exemple sur un grand nombre d'utilisateurs sur de nombreux sites marchands et recoupent les informations pour identifier les fraudeurs. Après je ne sais pas forcément quelles infos sont utilisées mais surement que celles que tu a citée font parti de l'algorythme (IP, adresse, nom, n° de carte, ...)
En Septembre, je crois, le système ATOS va aussi améliorer son service de détection de fraude et va enregistrer de nombreuses informations (idem, surement en recoupant un maximum d'infos sur toutes les transactions faites chez tous les commerçants qui utilisent le système - et il y en a vraiment un paquet).
Sinon, pour le commerçant, il faut bien avouer que seul, il ne peut pas faire grand chose. Les bonnes vieilles techniques : vérifier l'adresse de livraison sur pagesjaunes.fr, appeler le client pour vérification, demander un justificatif de domicile ou carrément demander un changement de mode de paiement pour privilégier le paiement par virement. |
|
| |
|
|
UsagiYojimbo
WRInaute accro
Inscrit le: 23 Nov 2005
Messages: 2257
Localisation: Lyon, capitale des Gaules
|
| Posté le : Mar Juin 03, 2008 14:22 Sujet du message: Re: Lutter Contre La Fraude à la CB (au niveau technique) sv |
|
|
| 9876 a écrit: |
Bonjour,
Comment lutter efficacement d'un point de vue technique contre la fraude à la carte bancaire (mais du côté commerçant) avant le paiement final donc.
En effet, de nombreux individus ont tendance à payer certains sites en utilisant une carte bancaire qui ne leur appartient pas mais comment déterminer un taux de confiance (à chaque webmaster) avant de l'envoyer vers une solution de paiement (du style paypal par exemple).
Déjà pour bien cerner le problème, comment les fraudeurs font pour éviter de se faire identifier ? (lors d'une plainte d'une solution de paiement)
Et comment le webmaster peut t'il détecter ces méthodes ?
Existe t'il un moyen d'identifier de manière formel l'adresse IP de l'utilisateur (bien sûr je connais la fonction PHP qui permet ce genre de réalisation) mais dans certains cas les fraudeurs utilisent des serveurs relais ou se connectent à partir de l'autre bout de la planète.
Donc :
- comment savoir si l'utilisateur se connecte à partir de sa propre connexion (moyens techniques) ?
- comment repérer géographiquement un utilisateur ?
Je poste ce sujet car j'ai suivi et participé avec bcp d'attention à un sujet sur les problèmes de la fraude à la carte bancaire et je me suis demandé si il existait un moyen de lutter techniquement contre ce type de problème (du côté commerçant) avant d'envoyer l'utilisateur vers une solution de paiement.
Merci |
Il existe une solution (certes payante) qui permet à un commerçant en ligne d'évaluer la fiabilité de ses clients : http://www.fia-net.com/. Par recoupement automatisés entre les annuaires des postes, les informations récupérées sur les autres sites affiliés au label, etc. ils sont en mesure de donner des informations sur la fiabilité (ou non) de l'acheteur. |
|
| |
|
|
Bool
WRInaute passionné
Inscrit le: 26 Fév 2004
Messages: 979
Localisation: Lyon
|
| Posté le : Mar Juin 03, 2008 14:26 Sujet du message: Lutter Contre La Fraude à la CB (au niveau technique) svp |
|
|
| C'est donc une sorte de "liste noire" de mauvais clients au final, c'est bien "légal" ça ? |
|
| |
|
|
blman
WRInaute accro
Inscrit le: 05 Sep 2003
Messages: 2740
Localisation: Nantes / Laval (France)
|
| Posté le : Mar Juin 03, 2008 14:41 Sujet du message: Lutter Contre La Fraude à la CB (au niveau technique) svp |
|
|
| Bool a écrit: |
| C'est donc une sorte de "liste noire" de mauvais clients au final, c'est bien "légal" ça ? |
Ce n'est pas une liste noire des mauvais clients, c'est une liste noires des fraudeurs. Je ne vois pas pourquoi, ça serait illégal... |
|
| |
|
|
Bool
WRInaute passionné
Inscrit le: 26 Fév 2004
Messages: 979
Localisation: Lyon
|
| Posté le : Mar Juin 03, 2008 14:43 Sujet du message: Lutter Contre La Fraude à la CB (au niveau technique) svp |
|
|
| Je ne sais pas, la limite me semble mince mais bon... |
|
| |
|
|
9876
WRInaute discret
Inscrit le: 18 Jan 2007
Messages: 76
|
| Posté le : Mar Juin 03, 2008 14:51 Sujet du message: Lutter Contre La Fraude à la CB (au niveau technique) svp |
|
|
Ok merci
Mais n'existe pas t'il pas des solutions pour vérifier un utilisateur avant que celui-ci ne paye ?
Comment vérifier son adresse IP ? Savoir si il habite en europe, asie,... ?
Comment donner techniquement un indice de confiance avant que l'utilisateur ne décide d'acheter ?
Quels moyens les fraudeurs utilisent t'ils pour réutiliser les codes de carte bancaire sans se faire prendre ? (j'ai listé les moyens suivants : utilisation de serveur Proxy, piratage d'un serveur dédié pour ensuite le réutiliser pour effectuer des achats en ligne,...)
Mais comment détecter les serveurs proxy ? N'ya at'il pas une solution technique ?
En réalité, mon objectif serait de :
- créer une solution technique afin de me permettre d'accorder un indice de confiance à un utilisateur (avant que celui-ci décide de payer)
- en fonction de l'indice de confiance, déterminer une solution afin de vérifier le paiement et envoyer un message de dissuasion approprié (en rapport avec l'indice de confiance)
- si l'indice de confiance est trop bas, lui demander de fournir son numéro de portable afin d'entreprendre une vérification de son adresse (très dissuasif). |
|
| |
|
|
blman
WRInaute accro
Inscrit le: 05 Sep 2003
Messages: 2740
Localisation: Nantes / Laval (France)
|
| Posté le : Mar Juin 03, 2008 15:01 Sujet du message: Lutter Contre La Fraude à la CB (au niveau technique) svp |
|
|
Comment vérifier son adresse IP ? Savoir si il habite en europe, asie,... ?
> avec une liste de géo-localisation (je crois que ça coute cher !)
Pour le reste des questions, je n'en sais rien.
Mais comment faire si tu détecte un utilisateur avec un indice de confiance bas alors que c'est un acheteur tout à fait honnête qui n'a jamais d'antécédent de fraudeur ?
Des gens qui commandent de l'étranger sur des sites français, pour être livré dans leur famille en France, ça arrive régulièrement et pourtant ils seraient bloqués par ton système ?
Des gens qui commandent à partir de leur boulot, dans des entreprises qui utilisent des serveurs proxy, ça arrive aussi très régulièrement. Seraient-ils bloqué par ton système ? |
|
| |
|
|
jcaron
WRInaute impliqué
Inscrit le: 13 Fév 2004
Messages: 496
Localisation: Paris
|
| Posté le : Mar Juin 03, 2008 15:06 Sujet du message: Re: Lutter Contre La Fraude à la CB (au niveau technique) sv |
|
|
| 9876 a écrit: |
| Comment lutter efficacement d'un point de vue technique contre la fraude à la carte bancaire (mais du côté commerçant) avant le paiement final donc. |
Vaste problème. Il y a deux choses dont on veut se protéger:
- l'utilisation d'une carte bancaire qui n'est pas celle du "client"
- la répudiation par le client
Les deux reviennent à prouver que le "client" et le porteur de la carte sont bien la même personne (en France au moins, il est interdit de répudier une transaction qu'on a effectuée soi-même, sauf cas très particuliers).
La solution idéale, c'est l'utilisation de mesures de type Verified by Visa ou Mastercard Securecode par la passerelle de paiement. Malheureusement, très peu de banques (surtout en France) ont mis en place les procédures et systèmes nécessaires pour le moment (mais Visa et Mastercard sont assez agressifs là-dessus, et très prochainement, si ce n'est pas carrément déjà le cas, si le commerçant demande une vérification VbV/Securecard et que la banque répond "non on ne fait pas", la transaction est garantie pour le commerçant, et ça devient le problème de la banque - ça devrait les pousser à migrer au plus vite).
Sinon, il reste les vérifications "physiques" diverses, mais elles peuvent être plus ou moins adaptées au type de produit ou service vendu et/ou au type de paiement (unique ou récurrent). Ca inclut la vérification de la carte physique (si on vend quelque chose que le client va devoir venir chercher), la vérification de l'adresse postale (soit par rapport à celle de la carte, non disponible en France, soit par envoi d'un code ou d'un truc du genre permettant de retrouver le "client" par la suite), la vérification d'un numéro de téléphone (par appel automatisé ou envoi d'un SMS avec un code), etc.
| 9876 a écrit: |
| Déjà pour bien cerner le problème, comment les fraudeurs font pour éviter de se faire identifier ? (lors d'une plainte d'une solution de paiement) |
On parle de quoi? Vente de produits physiques ou de produits/services électroniques? Dans le premier cas c'est plus difficile pour eux, il y a forcément une adresse de livraison. A toi d'éviter les cas les plus évidents (ça existe encore poste restante?), et d'utiliser un moyen de livraison "sûr" (avec remise contre signature idéalement). A partir de là on peut déjà plus facilement trouver quelqu'un. Evidemment si le gars est au Nigéria, hein...
Pour les services électroniques, c'est plus difficile, mais en général tu n'y "perds" pas d'argent (tu n'en gagnes pas, mais tu n'as pas envoyé du matériel par exemple) c'est moins grave. Suivant les montants en jeu tu peux envisager certaines des mesures évoquées plus haut (le plus simple étant probablement l'envoi d'un code par SMS).
| 9876 a écrit: |
Existe t'il un moyen d'identifier de manière formel l'adresse IP de l'utilisateur (bien sûr je connais la fonction PHP qui permet ce genre de réalisation) mais dans certains cas les fraudeurs utilisent des serveurs relais ou se connectent à partir de l'autre bout de la planète.
|
Il y a des services qui permettent de vérifier ce genre de choses. Voir du côte de www.maxmind.com par exemple. Maintenant ce n'est jamais sûr à 100%, il y a toujours un proxy ouvert quelque part qui n'est pas forcément repéré.
Jacques. |
|
| |
|
|
9876
WRInaute discret
Inscrit le: 18 Jan 2007
Messages: 76
|
| Posté le : Mar Juin 03, 2008 15:12 Sujet du message: Lutter Contre La Fraude à la CB (au niveau technique) svp |
|
|
| blman a écrit: |
Comment vérifier son adresse IP ? Savoir si il habite en europe, asie,... ?
> avec une liste de géo-localisation (je crois que ça coute cher !)
Pour le reste des questions, je n'en sais rien.
Mais comment faire si tu détecte un utilisateur avec un indice de confiance bas alors que c'est un acheteur tout à fait honnête qui n'a jamais d'antécédent de fraudeur ?
Des gens qui commandent de l'étranger sur des sites français, pour être livré dans leur famille en France, ça arrive régulièrement et pourtant ils seraient bloqués par ton système ?
Des gens qui commandent à partir de leur boulot, dans des entreprises qui utilisent des serveurs proxy, ça arrive aussi très régulièrement. Seraient-ils bloqué par ton système ? |
Merci pour ta réponse.
Non il ne s'agit pas de bloquer les paiements mais uniquement d'adapter mon système anti-fraude en rapport avec le taux de confiance.
j'ai eu le temps d'approfondir un peu ma recherche sur les serveurs proxy etje pense que je serai capable d'élaborer ce système :
- vérification du port 80,...
But de l'opération : Vérifier si le serveur Proxy est sécurisé et si ce serveur permet de faire connecter n'importe qui.
C'est ce système qui va me permettre de déterminer un indice de confiance à chaque visiteur (ainsi que d'autres paramétres tels que la géolocalisation,...)
Après ça reste à analyser, je n'ai jamais testé |
|
| |
|
|
9876
WRInaute discret
Inscrit le: 18 Jan 2007
Messages: 76
|
| Posté le : Mar Juin 03, 2008 15:26 Sujet du message: Re: Lutter Contre La Fraude à la CB (au niveau technique) sv |
|
|
| jcaron a écrit: |
| La solution idéale, c'est l'utilisation de mesures de type Verified by Visa ou Mastercard Securecode par la passerelle de paiement. Malheureusement, très peu de banques (surtout en France) ont mis en place les procédures et systèmes nécessaires pour le moment (mais Visa et Mastercard sont assez agressifs là-dessus, et très prochainement, si ce n'est pas carrément déjà le cas, si le commerçant demande une vérification VbV/Securecard et que la banque répond "non on ne fait pas", la transaction est garantie pour le commerçant, et ça devient le problème de la banque - ça devrait les pousser à migrer au plus vite). |
OUi effectivement. Normalement ça devrait être obligatoire à partir du 1er octobre 2008
| jcaron a écrit: |
| On parle de quoi? Vente de produits physiques ou de produits/services électroniques ? |
Service électronique exclusivement. Ce qui m'interesse c'est de vérifier au niveau technique avant le paiement en vérifiant le serveur proxy,... afin de donner un taux de confiance et de proposer au client des mesures en rapport avec ce taux de confiance.
| jcaron a écrit: |
| Il y a des services qui permettent de vérifier ce genre de choses. Voir du côte de www.maxmind.com par exemple. Maintenant ce n'est jamais sûr à 100%, il y a toujours un proxy ouvert quelque part qui n'est pas forcément repéré. |
Merci pour le lien. |
|
| |
|
|
Marie-Aude
WRInaute accro
Inscrit le: 05 Juin 2006
Messages: 3315
Localisation: More than a plastic girl
|
| Posté le : Mar Juin 03, 2008 15:29 Sujet du message: Lutter Contre La Fraude à la CB (au niveau technique) svp |
|
|
Pour répondre à blman, les listes de "fraudeurs" sont effectivement très borderlline.
En gros il y a deux sources d'informations : le fichier des impayé de la Banque de France, avec des procédures d'inscription strictes (et encore... je connais quelqu'un qui a été inscrit à tort, et pour se faire radier... il a eu des ennuis pendant plusieurs mois)
Le fichier carte noire des cartes de crédit est un fichier qui n'est pas mis à disposition des entreprises. Elles ont même l'interdiction de stocker des numéros de carte de leurs clients, même si beaucoup le font.
Donc quand je lis
| Citation: |
| En repérant facilement les tentatives de paiement frauduleux (cartes volées, usurpées, maivaise foi) et en empêchant leur réalisation, grâce à la mutualisation des données entre plusieurs centaines de sites FIA-NET, aussi bien sur les fraudeurs que sur les acheteurs honnêtes. |
je trouve effectivement que c'est border-line. Qu'est ce que la mauvaise foi ? Comment la définit on ? |
|
| |
|
|
jcaron
WRInaute impliqué
Inscrit le: 13 Fév 2004
Messages: 496
Localisation: Paris
|
| Posté le : Mar Juin 03, 2008 15:33 Sujet du message: Lutter Contre La Fraude à la CB (au niveau technique) svp |
|
|
| 9876 a écrit: |
j'ai eu le temps d'approfondir un peu ma recherche sur les serveurs proxy etje pense que je serai capable d'élaborer ce système :
- vérification du port 80,...
But de l'opération : Vérifier si le serveur Proxy est sécurisé et si ce serveur permet de faire connecter n'importe qui.
|
Qui a dit que tous les proxies tournaient sur le port 80? Qui a dit que parce qu'il y avait un serveur sur le port 80 c'était un proxy?
Pas si facile que ça (ceci dit vu la tendance script kiddy en ce bas monde, je pense qu'il n'y a pas 36 types de proxies ouverts à tester).
Il y avait un contributeur qui se proposait de faire un service permettant de tester certains proxies il y a quelques jours... Cherche un peu dans les posts précédents pour voir...
Jacques. |
|
| |
|
|
jcaron
WRInaute impliqué
Inscrit le: 13 Fév 2004
Messages: 496
Localisation: Paris
|
| Posté le : Mar Juin 03, 2008 15:38 Sujet du message: Lutter Contre La Fraude à la CB (au niveau technique) svp |
|
|
| Marie-Aude a écrit: |
| Elles ont même l'interdiction de stocker des numéros de carte de leurs clients, même si beaucoup le font. |
C'est inexact. Le stockage certaines informations, en particulier le numéro de carte et la date de validité, est parfaitement autorisé (mais il y a des règles de sécurité à respecter). C'est de toutes façons obligatoire pour tout ce qui est paiements récurrents. Il n'est par contre pas autorisé de stocker le CVC2/CVV2 (le code à 3 chiffres au dos de la carte). La liste exacte de ce qu'il est autorisé ou interdit de stocker est défini dans les spécifications Visa et Mastercard.
Jacques. |
|
| |
|
|
9876
WRInaute discret
Inscrit le: 18 Jan 2007
Messages: 76
|
| Posté le : Mar Juin 03, 2008 15:43 Sujet du message: Lutter Contre La Fraude à la CB (au niveau technique) svp |
|
|
| jcaron a écrit: |
| Il y avait un contributeur qui se proposait de faire un service permettant de tester certains proxies il y a quelques jours... Cherche un peu dans les posts précédents pour voir... |
Ok merci. Je vais aller voir.
Sinon, quels ports fraudraient t'il vérifier pour déterminer si le serveur proxy est sécurisé ou non ?
Car il se s'agit pas d'interdire aux acheteurs de commander mais simplement d'adapter le message dissuasif en fonction de l'acheteur en rapport avec son taux de confiance.
Bien sûr, je pense que les solutions de paiement auront des scripts pré-conçus afin d'analyser la sécurité d'une transaction mais dans certains cas, les frais de chargeback ne sont pas gratuit (jusqu'à $150 pour certaines solutions de paiement). |
|
| |
|
|
| |
|
|
|
|
Autres sujets de discussion :
Définitions :
|
|
