Si vous pensez qu’il n’y a rien de plus insidieux que les attaques de phishing, détrompez-vous. Il existe une autre forme d’ingénierie sociale encore plus difficile à prévenir. La fraude par paiement push autorisé (APP) a représenté un chiffre impressionnant de 75 % de toutes les fraudes bancaires numériques en 2022. Les pertes financières dues à la fraude APP devraient doubler au Royaume-Uni, en Inde et aux États-Unis au cours des quatre prochaines années, atteignant 5,25 milliards de dollars d’ici 2026.
La raison de la montée de la fraude APP est simple : les entreprises n’ont pas de moyen de l’arrêter. Après tout, les clients approuvent volontairement le paiement. Comment cela se passe-t-il? La fraude APP se produit lorsqu’un fraudeur prétend être une personne d’une entreprise ou d’un service de confiance de la victime, comme sa banque, son service des eaux ou d’électricité, et lui dit qu’elle doit de l’argent (ou lui raconte un autre mensonge). En créant un sentiment d’urgence, les escrocs convainquent la victime de transférer de l’argent depuis son compte bancaire vers un compte contrôlé par l’escroc, souvent un compte de mule utilisé pour déplacer des fonds illicites au nom de criminels.
Certaines victimes – devenues des marionnettes – ont vu leurs économies entières disparaître en un éclair. Une fois l’argent transféré, il est presque impossible de le récupérer parce que, comme le terme “paiement push autorisé” le suggère, la transaction est autorisée par la victime. Qui est responsable de la perte? C’est une question en débat. Au Royaume-Uni, les régulateurs du système des Paiements Rapides exigent que les banques remboursent les victimes professionnelles à partir d’octobre 2024.
Dans cet article de blog, nous expliquerons comment la fraude APP échappe aux défenses actuelles et les tactiques utilisées par les fraudeurs pour tromper les victimes. Plus important encore, vous découvrirez de nouvelles méthodes et stratégies pour prévenir la fraude APP – avant que l’argent ne soit transféré.
Pourquoi est-il si difficile de prévenir la fraude APP
Les solutions traditionnelles de gestion des identités et des accès clients (CIAM) sont conçues pour détecter les fraudes par prise de contrôle de compte (ATO) qui commencent lors de la connexion sous forme de bourrage d’informations d’identification, de phishing, de force brute ou d’autres moyens. Mais la fraude APP n’a pas besoin d’utiliser les mêmes tactiques car l’utilisateur légitime authentifie le transfert d’argent. En conséquence, les techniques typiques de détection des ATO ne fonctionnent pas.
Bien sûr, vous pouvez essayer d’avertir les clients à propos de la fraude APP, mais nous avons tous crié sur tous les toits à propos du phishing et de l’ingénierie sociale pendant des années…avec des résultats décevants. Les escrocs réussissent souvent en ciblant les personnes âgées, ainsi que des profils d’individus qui ne sont pas aussi avertis et sceptiques.
Fraude APP: les ficelles du métier
Maîtres de la tromperie, ils créeront un sentiment d’urgence en disant aux victimes: «Votre facture est en souffrance…» ou «Votre compte a été piraté». Clés de l’art de la persuasion, ils utilisent les informations divulguées sur la victime et créent un sentiment d’urgence. Craignant les conséquences, les victimes transfèrent immédiatement de l’argent. Cela peut se produire via différents canaux, notamment les e-mails, les appels téléphoniques ou les SMS.
Exemples de façons dont les fraudeurs trompent leurs victimes en usurpant leur identité:
- Banque: un escroc prétend qu’il y a eu une activité suspecte sur son compte bancaire et conseille à la victime de transférer son argent vers un « compte sécurisé » pour protéger ses fonds.
- Fournisseur d’énergies ou de services: on dit souvent aux victimes qu’elles ont une facture impayée, et la peur de perdre des services (eau, électricité, gaz, câble ou service Internet) les motive à la payer rapidement pour éviter d’être coupées des commodités de la vie.
- Organisme gouvernemental: le fraudeur prétend travailler pour le service des impôts, par exemple, et dit à la victime qu’il doit des arriérés d’impôts ou des amendes.
- Escroquerie au loyer: L’imposteur se fait passer pour un propriétaire ou un agent immobilier et demande à la victime de transférer une caution et/ou le premier mois de loyer pour sécuriser la propriété.
- Opportunités d’investissement: les fraudeurs convainquent leurs victimes de transférer des fonds pour un « investissement » trop beau pour être vrai, qui n’existe pas réellement.
- Escroquerie en cas d’urgence familiale: se faire passer pour un membre de la famille, souvent un petit-enfant en détresse, qui a immédiatement besoin d’argent en cas d’urgence, comme des problèmes juridiques ou des frais médicaux. Inquiète pour son proche, la victime transfère l’argent.
- Escroquerie amoureuse: après s’être connecté en ligne, l’escroc dit à son nouvel intérêt amoureux qu’il a une urgence, comme un problème de santé, et qu’il a un besoin urgent de fonds.
Dans tous ces scénarios imaginés de toutes pièces par les fraudeurs, l’élément clé est la tromperie: faire croire à la victime qu’elle transfère de l’argent pour une raison légitime et urgente. Même lorsqu’une alerte apparaît, les fraudeurs convaincront le client de l’ignorer en disant: “C’est un avertissement standard qui apparaît toujours. Fermez simplement cette fenêtre”. C’est tellement doux.
Comment prévenir la fraude par paiement push autorisé
Dans un monde idéal, le consommateur (une victime potentielle) sait qu’il doit vérifier le destinataire avant d’effectuer un transfert d’argent, en particulier lorsqu’il est invité par des communications non sollicitées. Mais comme nous l’avons appris des attaques de phishing, les banques et autres entreprises ne peuvent pas compter sur leurs clients pour se protéger.
Il existe clairement une faille dans la sécurité et un besoin urgent de détection des fraudes APP. Dans cette optique, Transmit Security a développé une nouvelle approche pour détecter cette forme hautement trompeuse d’ingénierie sociale, en construisant un processus en trois étapes:
- Détection des transactions et comportements suspects
- Interaction croissante avec le client
- Contacter et vérifier le destinataire de l’argent
Étape 1: Détection des comportements et transactions suspects
Il est essentiel de détecter les comportements suspects sur la base des informations collectées tout au long du parcours utilisateur. L’utilisateur fait-il une pause plus que d’habitude ? Si tel est le cas, cela peut indiquer que le client est coaché. Ou peut-être qu’il avance de manière « trop fluide » plus rapidement que d’habitude. Peut-être qu’il exerce une activité en dehors de ses habitudes. Tout comportement qui s’écarte des normes de cet individu pourrait indiquer qu’un fraudeur a le contrôle. Grâce à la biométrie comportementale avancée de Transmit Security, vous pouvez détecter tout cela.
L’intelligence transactionnelle est analysée en permanence pour détecter les anomalies. Par exemple, le transfert d’argent est-il destiné à un destinataire nouveau ou atypique et des transactions similaires se produisent-elles à une fréquence élevée ? Si tel est le cas, ce sont des signaux de risque clairs. La taille de la transaction peut également indiquer une fraude APP ; par exemple, si le montant est légèrement inférieur au seuil de contrôle supplémentaire fixé par la banque, il peut s’agir d’un fraudeur essayant de passer inaperçu.
La sécurité contextuelle et orchestrée vérifie également la réputation des appareils et du réseau, les comptes mules et les listes de banques ciblées (généralement celles dont les processus d’ouverture de compte sont plus faciles). Il examine même les renseignements des centres d’appels et prend en compte l’âge du client, car les personnes âgées sont généralement ciblées par la fraude APP.
L’apprentissage automatique (Machine Learning) et l’IA analysent les risques et signalent le contexte complet de tout ce qui se passe en temps réel – pour détecter les transactions suspectes et arrêter la fraude APP avant que l’argent ne disparaisse.
Étape 2: Augmenter l’interaction avec le client
Transmit Security a mis au point un moyen d’augmenter les frictions avec les clients et les fraudeurs, réduisant ainsi considérablement le taux de réussite de la fraude APP. S’il existe suffisamment de signes d’une transaction risquée, notre solution vous permet de rechercher des réponses qui vous aideront à comprendre:
- La raison du transfert
- Ce que le client sait du destinataire de l’argent
- Comment le client a été contacté (s’il a été contacté)
- Qui est le destinataire de l’argent? obtenir leur numéro de téléphone, le nom de leur entreprise et toute information validable en temps réel
Grâce à toutes les informations ci-dessus, Transmit Security est en mesure de réévaluer rapidement le niveau de risque de la transaction.
Étape 3: Valider et vérifier le destinataire de l’argent (particulier et entreprise)
Qu’il s’agisse d’un particulier ou d’une entreprise, utilisez la validation des données pour vérifier le numéro de téléphone du destinataire de l’argent (un numéro prépayé indiquerait un risque), l’adresse e-mail (qui s’est inscrit et quand) ou le site Web de l’entreprise (qui s’est inscrit et quand). En même temps, vérifiez s’il existe une correspondance entre l’adresse e-mail du destinataire et le site Web de l’entreprise.
Si les données semblent légitimes, la dernière étape consiste à valider l’entreprise et/ou l’individu. Lors de la validation d’une entreprise, tirez parti de nos principales méthodes de vérification Know Your Business (KYB). Pour un particulier, contactez le destinataire de l’argent et utilisez la vérification d’identité afin d’analyser sa photo d’identité et son selfie. Dans le même temps, vous pouvez vérifier l’empreinte digitale de l’appareil du destinataire de l’argent.
L’offre de Détection et Réponse de Transmit Security
Il est temps d’aller au-delà des approches réactives traditionnelles où les règles et les modèles reposent uniquement sur des observations passées. Préparez-vous à ce qui vous attend.
- Détection avancée des anomalies: rationalisez la détection des anomalies et des modes opératoires de fraude émergents pour garder une longueur d’avance sur l’évolution des menaces.
- Dark Web et renseignements sur les menaces: l’équipe de recherche sur les menaces de Transmit Security surveille en permanence le Dark Web et exploite les renseignements sur les menaces pour répondre de manière proactive aux risques émergents. Au fil du temps, nous continuons à créer une liste noire d’adresses e-mail, de comptes mules ciblés, de numéros de téléphone et d’identifiants d’appareils associés à la fraude APP – pour vous protéger plus rapidement.
Our product redefines fraud management, offering an all-encompassing solution that combines cutting-edge technology and user-centric design, ensuring you stay ahead of evolving APP tactics. Discover Detection and Response or request a meeting so we can help you solve your toughest identity and fraud challenges.
Notre produit redéfinit la gestion de la fraude, offrant une solution globale qui combine une technologie de pointe et une conception centrée sur l’utilisateur, vous garantissant ainsi de garder une longueur d’avance sur l’évolution des tactiques de fraude APP. Découvrez l’offre Détection et Réponse ou demandez un rendez-vous afin que nous puissions vous aider à résoudre vos problèmes d’identité et de fraude les plus difficiles.