Lutter Contre La Fraude à la CB (au niveau technique) svp

9876

WRInaute discret
Bonjour,

Comment lutter efficacement d'un point de vue technique contre la fraude à la carte bancaire (mais du côté commerçant) avant le paiement final donc.

En effet, de nombreux individus ont tendance à payer certains sites en utilisant une carte bancaire qui ne leur appartient pas mais comment déterminer un taux de confiance (à chaque webmaster) avant de l'envoyer vers une solution de paiement (du style paypal par exemple).

Déjà pour bien cerner le problème, comment les fraudeurs font pour éviter de se faire identifier ? (lors d'une plainte d'une solution de paiement)

Et comment le webmaster peut t'il détecter ces méthodes ?

Existe t'il un moyen d'identifier de manière formel l'adresse IP de l'utilisateur (bien sûr je connais la fonction PHP qui permet ce genre de réalisation) mais dans certains cas les fraudeurs utilisent des serveurs relais ou se connectent à partir de l'autre bout de la planète.

Donc :
- comment savoir si l'utilisateur se connecte à partir de sa propre connexion (moyens techniques) ?
- comment repérer géographiquement un utilisateur ?

Je poste ce sujet car j'ai suivi et participé avec bcp d'attention à un sujet sur les problèmes de la fraude à la carte bancaire et je me suis demandé si il existait un moyen de lutter techniquement contre ce type de problème (du côté commerçant) avant d'envoyer l'utilisateur vers une solution de paiement.

Merci
 

blman

WRInaute accro
FIANET se base par exemple sur un grand nombre d'utilisateurs sur de nombreux sites marchands et recoupent les informations pour identifier les fraudeurs. Après je ne sais pas forcément quelles infos sont utilisées mais surement que celles que tu a citée font parti de l'algorythme (IP, adresse, nom, n° de carte, ...)

En Septembre, je crois, le système ATOS va aussi améliorer son service de détection de fraude et va enregistrer de nombreuses informations (idem, surement en recoupant un maximum d'infos sur toutes les transactions faites chez tous les commerçants qui utilisent le système - et il y en a vraiment un paquet).

Sinon, pour le commerçant, il faut bien avouer que seul, il ne peut pas faire grand chose. Les bonnes vieilles techniques : vérifier l'adresse de livraison sur pagesjaunes.fr, appeler le client pour vérification, demander un justificatif de domicile ou carrément demander un changement de mode de paiement pour privilégier le paiement par virement.
 

UsagiYojimbo

WRInaute accro
Re: Lutter Contre La Fraude à la CB (au niveau technique) sv

9876 a dit:
Bonjour,

Comment lutter efficacement d'un point de vue technique contre la fraude à la carte bancaire (mais du côté commerçant) avant le paiement final donc.

En effet, de nombreux individus ont tendance à payer certains sites en utilisant une carte bancaire qui ne leur appartient pas mais comment déterminer un taux de confiance (à chaque webmaster) avant de l'envoyer vers une solution de paiement (du style paypal par exemple).

Déjà pour bien cerner le problème, comment les fraudeurs font pour éviter de se faire identifier ? (lors d'une plainte d'une solution de paiement)

Et comment le webmaster peut t'il détecter ces méthodes ?

Existe t'il un moyen d'identifier de manière formel l'adresse IP de l'utilisateur (bien sûr je connais la fonction PHP qui permet ce genre de réalisation) mais dans certains cas les fraudeurs utilisent des serveurs relais ou se connectent à partir de l'autre bout de la planète.

Donc :
- comment savoir si l'utilisateur se connecte à partir de sa propre connexion (moyens techniques) ?
- comment repérer géographiquement un utilisateur ?

Je poste ce sujet car j'ai suivi et participé avec bcp d'attention à un sujet sur les problèmes de la fraude à la carte bancaire et je me suis demandé si il existait un moyen de lutter techniquement contre ce type de problème (du côté commerçant) avant d'envoyer l'utilisateur vers une solution de paiement.

Merci

Il existe une solution (certes payante) qui permet à un commerçant en ligne d'évaluer la fiabilité de ses clients : http://www.fia-net.com/. Par recoupement automatisés entre les annuaires des postes, les informations récupérées sur les autres sites affiliés au label, etc. ils sont en mesure de donner des informations sur la fiabilité (ou non) de l'acheteur.
 

Bool

WRInaute passionné
C'est donc une sorte de "liste noire" de mauvais clients au final, c'est bien "légal" ça ?
 

blman

WRInaute accro
Bool a dit:
C'est donc une sorte de "liste noire" de mauvais clients au final, c'est bien "légal" ça ?

Ce n'est pas une liste noire des mauvais clients, c'est une liste noires des fraudeurs. Je ne vois pas pourquoi, ça serait illégal...
 

9876

WRInaute discret
Ok merci

Mais n'existe pas t'il pas des solutions pour vérifier un utilisateur avant que celui-ci ne paye ?

Comment vérifier son adresse IP ? Savoir si il habite en europe, asie,... ?

Comment donner techniquement un indice de confiance avant que l'utilisateur ne décide d'acheter ?

Quels moyens les fraudeurs utilisent t'ils pour réutiliser les codes de carte bancaire sans se faire prendre ? (j'ai listé les moyens suivants : utilisation de serveur Proxy, piratage d'un serveur dédié pour ensuite le réutiliser pour effectuer des achats en ligne,...)

Mais comment détecter les serveurs proxy ? N'ya at'il pas une solution technique ?

En réalité, mon objectif serait de :
- créer une solution technique afin de me permettre d'accorder un indice de confiance à un utilisateur (avant que celui-ci décide de payer)
- en fonction de l'indice de confiance, déterminer une solution afin de vérifier le paiement et envoyer un message de dissuasion approprié (en rapport avec l'indice de confiance)
- si l'indice de confiance est trop bas, lui demander de fournir son numéro de portable afin d'entreprendre une vérification de son adresse (très dissuasif).
 

blman

WRInaute accro
Comment vérifier son adresse IP ? Savoir si il habite en europe, asie,... ?

> avec une liste de géo-localisation (je crois que ça coute cher !)

Pour le reste des questions, je n'en sais rien.

Mais comment faire si tu détecte un utilisateur avec un indice de confiance bas alors que c'est un acheteur tout à fait honnête qui n'a jamais d'antécédent de fraudeur ?

Des gens qui commandent de l'étranger sur des sites français, pour être livré dans leur famille en France, ça arrive régulièrement et pourtant ils seraient bloqués par ton système ?
Des gens qui commandent à partir de leur boulot, dans des entreprises qui utilisent des serveurs proxy, ça arrive aussi très régulièrement. Seraient-ils bloqué par ton système ?
 

jcaron

WRInaute accro
Re: Lutter Contre La Fraude à la CB (au niveau technique) sv

9876 a dit:
Comment lutter efficacement d'un point de vue technique contre la fraude à la carte bancaire (mais du côté commerçant) avant le paiement final donc.

Vaste problème. Il y a deux choses dont on veut se protéger:
- l'utilisation d'une carte bancaire qui n'est pas celle du "client"
- la répudiation par le client

Les deux reviennent à prouver que le "client" et le porteur de la carte sont bien la même personne (en France au moins, il est interdit de répudier une transaction qu'on a effectuée soi-même, sauf cas très particuliers).

La solution idéale, c'est l'utilisation de mesures de type Verified by Visa ou Mastercard Securecode par la passerelle de paiement. Malheureusement, très peu de banques (surtout en France) ont mis en place les procédures et systèmes nécessaires pour le moment (mais Visa et Mastercard sont assez agressifs là-dessus, et très prochainement, si ce n'est pas carrément déjà le cas, si le commerçant demande une vérification VbV/Securecard et que la banque répond "non on ne fait pas", la transaction est garantie pour le commerçant, et ça devient le problème de la banque - ça devrait les pousser à migrer au plus vite).

Sinon, il reste les vérifications "physiques" diverses, mais elles peuvent être plus ou moins adaptées au type de produit ou service vendu et/ou au type de paiement (unique ou récurrent). Ca inclut la vérification de la carte physique (si on vend quelque chose que le client va devoir venir chercher), la vérification de l'adresse postale (soit par rapport à celle de la carte, non disponible en France, soit par envoi d'un code ou d'un truc du genre permettant de retrouver le "client" par la suite), la vérification d'un numéro de téléphone (par appel automatisé ou envoi d'un SMS avec un code), etc.

9876 a dit:
Déjà pour bien cerner le problème, comment les fraudeurs font pour éviter de se faire identifier ? (lors d'une plainte d'une solution de paiement)

On parle de quoi? Vente de produits physiques ou de produits/services électroniques? Dans le premier cas c'est plus difficile pour eux, il y a forcément une adresse de livraison. A toi d'éviter les cas les plus évidents (ça existe encore poste restante?), et d'utiliser un moyen de livraison "sûr" (avec remise contre signature idéalement). A partir de là on peut déjà plus facilement trouver quelqu'un. Evidemment si le gars est au Nigéria, hein...

Pour les services électroniques, c'est plus difficile, mais en général tu n'y "perds" pas d'argent (tu n'en gagnes pas, mais tu n'as pas envoyé du matériel par exemple) c'est moins grave. Suivant les montants en jeu tu peux envisager certaines des mesures évoquées plus haut (le plus simple étant probablement l'envoi d'un code par SMS).

9876 a dit:
Existe t'il un moyen d'identifier de manière formel l'adresse IP de l'utilisateur (bien sûr je connais la fonction PHP qui permet ce genre de réalisation) mais dans certains cas les fraudeurs utilisent des serveurs relais ou se connectent à partir de l'autre bout de la planète.

Il y a des services qui permettent de vérifier ce genre de choses. Voir du côte de www.maxmind.com par exemple. Maintenant ce n'est jamais sûr à 100%, il y a toujours un proxy ouvert quelque part qui n'est pas forcément repéré.

Jacques.
 

9876

WRInaute discret
blman a dit:
Comment vérifier son adresse IP ? Savoir si il habite en europe, asie,... ?

> avec une liste de géo-localisation (je crois que ça coute cher !)

Pour le reste des questions, je n'en sais rien.

Mais comment faire si tu détecte un utilisateur avec un indice de confiance bas alors que c'est un acheteur tout à fait honnête qui n'a jamais d'antécédent de fraudeur ?

Des gens qui commandent de l'étranger sur des sites français, pour être livré dans leur famille en France, ça arrive régulièrement et pourtant ils seraient bloqués par ton système ?
Des gens qui commandent à partir de leur boulot, dans des entreprises qui utilisent des serveurs proxy, ça arrive aussi très régulièrement. Seraient-ils bloqué par ton système ?

Merci pour ta réponse.

Non il ne s'agit pas de bloquer les paiements mais uniquement d'adapter mon système anti-fraude en rapport avec le taux de confiance.

j'ai eu le temps d'approfondir un peu ma recherche sur les serveurs proxy etje pense que je serai capable d'élaborer ce système :
- vérification du port 80,...

But de l'opération : Vérifier si le serveur Proxy est sécurisé et si ce serveur permet de faire connecter n'importe qui.

C'est ce système qui va me permettre de déterminer un indice de confiance à chaque visiteur (ainsi que d'autres paramétres tels que la géolocalisation,...)

Après ça reste à analyser, je n'ai jamais testé
 

9876

WRInaute discret
Re: Lutter Contre La Fraude à la CB (au niveau technique) sv

jcaron a dit:
La solution idéale, c'est l'utilisation de mesures de type Verified by Visa ou Mastercard Securecode par la passerelle de paiement. Malheureusement, très peu de banques (surtout en France) ont mis en place les procédures et systèmes nécessaires pour le moment (mais Visa et Mastercard sont assez agressifs là-dessus, et très prochainement, si ce n'est pas carrément déjà le cas, si le commerçant demande une vérification VbV/Securecard et que la banque répond "non on ne fait pas", la transaction est garantie pour le commerçant, et ça devient le problème de la banque - ça devrait les pousser à migrer au plus vite).

OUi effectivement. Normalement ça devrait être obligatoire à partir du 1er octobre 2008

jcaron a dit:
On parle de quoi? Vente de produits physiques ou de produits/services électroniques ?

Service électronique exclusivement. Ce qui m'interesse c'est de vérifier au niveau technique avant le paiement en vérifiant le serveur proxy,... afin de donner un taux de confiance et de proposer au client des mesures en rapport avec ce taux de confiance.

jcaron a dit:
Il y a des services qui permettent de vérifier ce genre de choses. Voir du côte de www.maxmind.com par exemple. Maintenant ce n'est jamais sûr à 100%, il y a toujours un proxy ouvert quelque part qui n'est pas forcément repéré.

Merci pour le lien.
 

Marie-Aude

WRInaute accro
Pour répondre à blman, les listes de "fraudeurs" sont effectivement très borderlline.

En gros il y a deux sources d'informations : le fichier des impayé de la Banque de France, avec des procédures d'inscription strictes (et encore... je connais quelqu'un qui a été inscrit à tort, et pour se faire radier... il a eu des ennuis pendant plusieurs mois)

Le fichier carte noire des cartes de crédit est un fichier qui n'est pas mis à disposition des entreprises. Elles ont même l'interdiction de stocker des numéros de carte de leurs clients, même si beaucoup le font.

Donc quand je lis
En repérant facilement les tentatives de paiement frauduleux (cartes volées, usurpées, maivaise foi) et en empêchant leur réalisation, grâce à la mutualisation des données entre plusieurs centaines de sites FIA-NET, aussi bien sur les fraudeurs que sur les acheteurs honnêtes.
je trouve effectivement que c'est border-line. Qu'est ce que la mauvaise foi ? Comment la définit on ?
 

jcaron

WRInaute accro
9876 a dit:
j'ai eu le temps d'approfondir un peu ma recherche sur les serveurs proxy etje pense que je serai capable d'élaborer ce système :
- vérification du port 80,...

But de l'opération : Vérifier si le serveur Proxy est sécurisé et si ce serveur permet de faire connecter n'importe qui.

Qui a dit que tous les proxies tournaient sur le port 80? Qui a dit que parce qu'il y avait un serveur sur le port 80 c'était un proxy?

Pas si facile que ça (ceci dit vu la tendance script kiddy en ce bas monde, je pense qu'il n'y a pas 36 types de proxies ouverts à tester).

Il y avait un contributeur qui se proposait de faire un service permettant de tester certains proxies il y a quelques jours... Cherche un peu dans les posts précédents pour voir...

Jacques.
 

jcaron

WRInaute accro
Marie-Aude a dit:
Elles ont même l'interdiction de stocker des numéros de carte de leurs clients, même si beaucoup le font.

C'est inexact. Le stockage certaines informations, en particulier le numéro de carte et la date de validité, est parfaitement autorisé (mais il y a des règles de sécurité à respecter). C'est de toutes façons obligatoire pour tout ce qui est paiements récurrents. Il n'est par contre pas autorisé de stocker le CVC2/CVV2 (le code à 3 chiffres au dos de la carte). La liste exacte de ce qu'il est autorisé ou interdit de stocker est défini dans les spécifications Visa et Mastercard.

Jacques.
 

9876

WRInaute discret
jcaron a dit:
Il y avait un contributeur qui se proposait de faire un service permettant de tester certains proxies il y a quelques jours... Cherche un peu dans les posts précédents pour voir...

Ok merci. Je vais aller voir.

Sinon, quels ports fraudraient t'il vérifier pour déterminer si le serveur proxy est sécurisé ou non ?

Car il se s'agit pas d'interdire aux acheteurs de commander mais simplement d'adapter le message dissuasif en fonction de l'acheteur en rapport avec son taux de confiance.

Bien sûr, je pense que les solutions de paiement auront des scripts pré-conçus afin d'analyser la sécurité d'une transaction mais dans certains cas, les frais de chargeback ne sont pas gratuit (jusqu'à $150 pour certaines solutions de paiement).
 

jcaron

WRInaute accro
9876 a dit:
Sinon, quels ports fraudraient t'il vérifier pour déterminer si le serveur proxy est sécurisé ou non ?

Potentiellement, tous (ça en fait >65000). Mais il te faudra connaître les différents types de proxies pour tester, tous les proxies ne sont pas des proxies HTTP "purs" (i.e. qu'on configure dans les préférences de son navigateur), il y en a beaucoup avec des URLs composées genre adresse.du.proxy/machin/chose/adresse.du.site.a.visiter. Donc en plus du port il faut connaître machin/chose, éventuellement la syntaxe exacte, le port, sans parler du fait que le proxy pourrait ne répondre que si on se connecte avec son nom et pas juste avec son IP...

Surtout, il faut bien se rendre compte que ce genre de chose évolue en permanence, si tu veux quelque chose d'efficace il vaut mieux sous-traiter à quelqu'un qui fait ça à longueur d'année plutôt que de le faire toi-même, et qu'au bout de 6 mois ce soit du gruyère.

Evidemment il faut éviter de transformer ton système en amplicateur d'attaque DoS...

Jacques.
 

9876

WRInaute discret
jcaron a dit:
Surtout, il faut bien se rendre compte que ce genre de chose évolue en permanence, si tu veux quelque chose d'efficace il vaut mieux sous-traiter à quelqu'un qui fait ça à longueur d'année plutôt que de le faire toi-même, et qu'au bout de 6 mois ce soit du gruyère.

Evidemment il faut éviter de transformer ton système en amplicateur d'attaque DoS...

D'accord mais à qui le sous-traiter ? Quel est le prix ?

Je précise : Sans passer par de grosses sociétés car il s'agit de petits tarifs.
 

jcaron

WRInaute accro
9876 a dit:
jcaron a dit:
Surtout, il faut bien se rendre compte que ce genre de chose évolue en permanence, si tu veux quelque chose d'efficace il vaut mieux sous-traiter à quelqu'un qui fait ça à longueur d'année plutôt que de le faire toi-même, et qu'au bout de 6 mois ce soit du gruyère.

Evidemment il faut éviter de transformer ton système en amplicateur d'attaque DoS...

D'accord mais à qui le sous-traiter ? Quel est le prix ?

Je précise : Sans passer par de grosses sociétés car il s'agit de petits tarifs.

Maxmind a des tarifs très raisonables, et toute une gamme de services (IP -> pays, détection de proxy, comparaison d'adresse, vérification téléphonique, etc.) à la carte à partir de quelques $ par mois pour des milliers de requêtes... A toi de voir ce dont tu as effectivement besoin (et ce qui s'insère avec ta solution de paiement: si tu utilises Paypal, tu n'auras pas le numéro de carte, et tu ne pourras pas utiliser le service correspondant de maxmind, mais tu pourras en utiliser d'autres).

Ceci étant dit, si tu utilises Paypal justement, le pire qui puisse arriver (il me semble) c'est que la transaction soit annulée, il n'y aura pas de frais de chargeback à ma connaissance.

Et comme de toutes façons pour des faibles montants tu ne vas pas lancer des poursuites contre le "voleur", les vérifications trop avancées genre téléphone ou adresse ne sont pas terriblement utiles non plus. Il faut adapter les mesures prises au risque encouru.

Jacques.
 

9876

WRInaute discret
jcaron a dit:
9876 a dit:
Maxmind a des tarifs très raisonables, et toute une gamme de services (IP -> pays, détection de proxy, comparaison d'adresse, vérification téléphonique, etc.) à la carte à partir de quelques $ par mois pour des milliers de requêtes... A toi de voir ce dont tu as effectivement besoin (et ce qui s'insère avec ta solution de paiement: si tu utilises Paypal, tu n'auras pas le numéro de carte, et tu ne pourras pas utiliser le service correspondant de maxmind, mais tu pourras en utiliser d'autres).

Ceci étant dit, si tu utilises Paypal justement, le pire qui puisse arriver (il me semble) c'est que la transaction soit annulée, il n'y aura pas de frais de chargeback à ma connaissance.

Et comme de toutes façons pour des faibles montants tu ne vas pas lancer des poursuites contre le "voleur", les vérifications trop avancées genre téléphone ou adresse ne sont pas terriblement utiles non plus. Il faut adapter les mesures prises au risque encouru.

Oui effectivement Paypal ne facture pas des frais de chargeback mais cela n'est pas forcément la même chose de toutes les formules de paiements.

Je pense que je vais réfléchir pour maxmind mais ils ont l'air d'avoir de bon services effectivement.

Merci en tout cas pour ton aide.
 

jcaron

WRInaute accro
9876 a dit:
Oui effectivement Paypal ne facture pas des frais de chargeback mais cela n'est pas forcément la même chose de toutes les formules de paiements.

J'ai cru comprendre dans un autre thread qu'on parle en fait probablement de sites adultes? Effectivement ça réduit le nombre de prestataires et ça a tendance à augmenter les coûts, le taux de fraude étant plus élevé dans ce cas.

Note aussi que dans ce cas tu as probablement souvent des gens qui répudient des transactions qu'ils ont pourtant effectués eux-mêmes. Auquel cas il est utile de pouvoir prouver à qui on avait affaire (certains systèmes de paiement masquent tout ça, et à partir du moment où il y a contestation par le porteur, tu ne peux rien faire, mais si tu travailles en direct avec la banque, il y a normalement une procédure contradictoire qui permet au commerçant de tenter de prouver qu'il s'agissait bien du client. Dans ce cas la vérification téléphonique est probablement une bonne solution: ça ne prouve pas forcément que le client = le porteur, mais si c'est le cas, ça permettra probablement de le prouver, et si ce n'est pas le cas, ça permet de lancer une procédure contre lui - pour quelques euros ce n'est pas rentable, mais pour 150...). Ca permet aussi (sauf s'il est un peu trop bien organisé) de déterminer avec exactitude le pays du client (et de comparer avec pays de la carte, pays de l'IP et pays indiqué).

Jacques.
 

Discussions similaires

Haut