Paiement Push autorisé et ingénierie sociale, comment se défendre ?
Laurent Szpirglas, Regional Sales Manager France, Ping Identity
La fraude au paiement push autorisé est un moyen pour les imposteurs qui se répand notamment depuis la pandémie.
La fraude au paiement push autorisé consiste à ce que les victimes manipulées effectuent des paiements en temps réel aux fraudeurs, généralement par des attaques d’ingénierie sociale impliquant l’usurpation d’identité. Mais comment se défendre contre cette nouvelle technique d’escroquerie ?
Paiement Push autorisé et escroqueries par ingénierie sociale
Lorsque la fraude résulte d’escroqueries et d’ingénierie sociale, les organisations peuvent avoir du mal à l’arrêter. Dans le cas de la fraude au paiement push autorisé (APP), l’impact des pertes peut faire l’effet boule de neige, affectant non seulement le client, mais aussi l’organisation attaquée. Les pertes financières pour les consommateurs à cause de fraudes ont augmenté depuis 2021.
Protéger votre organisation contre les escroqueries et l’ingénierie sociale
Les escroqueries et l’ingénierie sociale présentent plusieurs défis, dus au fait que le criminel n’interagit pas directement avec les propriétés numériques de l’organisation, mais par l’intermédiaire du consommateur dupé. Il peut donc être très difficile de repérer ce type de fraude avant qu’elle ne se produise. Les mesures de protection telles que l’authentification multi-facteurs (MFA) et la vérification d’identité sont d’une utilité limitée dans cette situation. Au lieu de cela, les institutions financières doivent réfléchir de manière critique à la façon dont elles peuvent intervenir efficacement auprès de l’utilisateur directement afin d’empêcher la fraude APP et à quel moment du parcours ce type d’intervention doit intervenir.
Défenses en couches avec l’accès adaptatif
La prévention de la fraude est souvent abordée à deux moments clés du parcours de l’utilisateur : lors de l’authentification et de la transaction. L’utilisateur étant légitime, il devrait pouvoir s’authentifier sur son compte sans problème, la transaction pourrait être le seul point de défense. Il est important de noter que l’éducation des consommateurs reste essentielle et constitue la première ligne de défense contre les fraudeurs. Cela dit, elle n’éliminera jamais complètement le problème. Les fraudeurs sont rusés et intelligents, et même un consommateur méfiant peut se faire escroquer s’il est approché de la bonne façon au bon moment. Les institutions financières doivent donc mettre en place une deuxième ligne de défense solide.
Il existe plusieurs méthodes pour y parvenir, cumulables pour une défense à plusieurs niveaux. Pour commencer, il est utile d’examiner le comportement de l’utilisateur tout au long de la session. Entre l’authentification et l’achèvement d’une transaction, les utilisateurs peuvent modifier leur profil ou afficher et modifier des IPP. Si la plupart des données biométriques comportementales distinguent les utilisateurs légitimes des fraudeurs qui se sont emparés d’un compte, un utilisateur légitime peut néanmoins présenter des comportements inhabituels en raison de l’influence d’un fraudeur. Lorsque les outils de détection des fraudes et des risques fonctionnent en continu tout au long de la session de l’utilisateur, les possibilités de repérer ces anomalies et de prendre les mesures appropriées sont plus nombreuses.
Mais pour limiter ce type de fraude, les institutions financières doivent plutôt trouver un moyen d’intervenir directement et d’amener l’utilisateur à réfléchir de manière critique à ses actions. Cela est plus facile à dire qu’à faire, mais peut être accompli en adaptant l’expérience de l’utilisateur en fonction du risque perçu. Plutôt que de mettre une demande de MFA en face d’une transaction suspecte, il est plus utile d’interpeller l’utilisateur en l’amenant à réfléchir de manière critique à ses actions. En général, le fraudeur a déjà fait un travail considérable pour que l’utilisateur lui fasse confiance, mais il est possible de l’amener à remettre cette confiance en question. Les utilisateurs qui semblent risquer d’autoriser un paiement frauduleux peuvent être amenés à emprunter une autre voie : au lieu d’un accès immédiat au bouton « transfert », il peut suffire de leur présenter un écran d’avertissement qui les avertit de la possibilité d’une fraude et leur pose plusieurs questions sur la façon dont ils connaissent le bénéficiaire, s’ils ont confiance dans ce qu’ils paient.
Changement de technologie vs. Changement de politique
La plupart des organisations ont déployé de multiples mesures et technologies de lutte contre la fraude. La prévention de la fraude est généralement de nature additive, avec de nouvelles défenses superposées à celles existantes dans un effort pour suivre les nouveaux outils et tactiques des fraudeurs. Malheureusement, l’ajout de nouvelles technologies ou l’apport d’ajustements importants aux outils existants nécessitent du temps, de l’argent et diverses approbations. En effet, les processus de contrôle des changements et la gouvernance peuvent être très rigides, ce qui place les institutions financières dans une position difficile. Les fraudeurs ne sont pas gênés par la comparaison et peuvent agir plus rapidement, ce qui donne aux équipes chargées de la lutte contre la fraude l’impression de ne jamais pouvoir suivre le rythme. Comprendre les outils disponibles pour lutter contre les escroqueries et l’ingénierie sociale et les mettre réellement en pratique sont deux choses très différentes.
Les institutions financières peuvent contourner ce défi particulier en sortant leurs politiques de lutte contre la fraude des applications individuelles pour les placer dans un centre de lutte contre la fraude centralisée qui permet de modifier rapidement et facilement les politiques sans code. Les équipes chargées de la lutte contre la fraude peuvent ainsi ajuster leurs politiques pour réagir aux escroqueries potentielles de diverses manières. L’avantage de cette approche est qu’il est facile de suivre les performances de ces politiques et de les ajuster si nécessaire en temps réel.
Les escroqueries et l’ingénierie sociale sont difficiles à combattre, mais la bonne combinaison d’outils et de tactiques peut garantir que votre organisation est à la hauteur de la tâche.