Qu'est-ce que le carding et comment puis-je l'empêcher ?

Le carding est une forme de fraude à la carte de crédit où les voleurs utilisent des cartes de crédit volées pour recharger des cartes prépayées et les vendre à d'autres personnes. Les personnes qui commettent ce type de fraude sont appelées « carders ». Comme les cartes de crédit sont souvent annulées rapidement après avoir été perdues, une part importante du carding consiste à tester les informations des cartes volées pour voir si elles fonctionnent encore. Les voleurs testent les informations des cartes en envoyant des demandes d'achat en ligne, ce qui peut avoir un impact sur les marchands.

Suis-je facturé pour le carding ?

Des frais de transaction sont prélevés à chaque transaction, y compris en cas de carding. Il est possible de collaborer avec votre partenaire bancaire pour réduire ou supprimer ces frais, mais la prévention est la première étape, et la plupart des banques n'autorisent qu'un seul ajustement exceptionnel pour le carding.

Réagir à l'activité de carding.

La fraude à la carte de crédit peut constituer un problème important pour les marchands. Si vous êtes victime d'une fraude ou si vous suspectez des transactions frauduleuses, prenez les mesures suivantes :

1. Contactez votre banque marchande et informez-la d'une activité frauduleuse.
2. Émettez une annulation ou un crédit concernant les transactions frauduleuses afin d'éviter les frais d'opposition bancaire de votre banque marchande.
3. Vérifiez la sécurité de vos informations de connexion et de mot de passe en interne et sur votre site.
4. Dans PayPal Manager, modifiez le mot de passe du compte utilisé pour traiter les transactions. Après avoir réinitialisé le mot de passe de votre compte, vous pouvez réinitialiser le mot de passe sur votre serveur web. Le mot de passe de votre panier ou de votre application doit correspondre au nouveau mot de passe que vous avez créé. Sinon, les transactions échoueront avec une erreur Authentification utilisateur ou Code de résultat 1.
5. Contactez votre fournisseur d'accès Internet (FAI) ou votre hébergeur pour savoir s'ils ont enregistré les adresses IP d'où proviennent les transactions frauduleuses. Ensuite, configurez votre compte pour restreindre l'accès à partir de ces adresses IP.
6. Contactez l'assistance Payflow pour obtenir des informations supplémentaires, notamment le numéro de carte de crédit si nécessaire.
7. Déposez une réclamation sur le site ic3.gov.
8. Effectuez une analyse complète de tous les systèmes concernés, y compris votre site et vos ordinateurs, à la recherche de virus et de logiciels malveillants.
9. Si vous utilisez le même compte pour traiter les transactions et pour vous connecter à PayPal Manager, il est fortement recommandé de créer également un nouveau compte utilisateur Payflow Pro API dans PayPal Manager. La création d'un nouveau compte garantit que les modifications apportées à votre mot de passe Manager n'empêcheront pas le traitement de vos transactions. De plus, si un pirate compromet le compte utilisateur API, il ne pourra pas se connecter à Manager ni modifier votre compte.

Pour en savoir plus sur la manière dont PayPal peut vous aider à gérer la fraude, consultez le Guide des services de Protection contre la fraude Payflow.

Détection et prévention des activités de carding.

Nous vous recommandons de mettre en place un processus de vérification des paiements à plusieurs niveaux, comprenant les fonctionnalités et activités suivantes :

• Utiliser un CAPTCHA : le CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart - Test de Turing public complètement automatisé pour distinguer les ordinateurs des humains) propose des défis afin de s'assurer que les scripts automatisés n'envoient pas de tentatives de paiement.
• Réponses du système de vérification d'adresse : le système de vérification d'adresse compare l'adresse de facturation des acheteurs lors du paiement à l'adresse enregistrée par la société émettrice de la carte de crédit. La société émettrice de la carte de crédit enverra une réponse immédiatement pour vous informer si l'adresse de facturation correspond. Les réponses types sont les suivantes :
  • Y : correspondance complète de l'adresse.
  • A : seuls le numéro et la rue correspondent.
  • Z : seul le code postal fourni correspond.
  • N : aucune information ne correspond. La société émettrice de cartes de crédit n'interrompra pas une transaction si la réponse du système de vérification d'adresse (AVS) est N, sauf si la carte a été signalée comme perdue ou volée.

  Le système de vérification d'adresse fonctionne uniquement aux États-Unis, au Canada et au Royaume-Uni. Les cartes de crédit émises dans des pays qui ne prennent pas en charge le système de vérification d'adresse peuvent renvoyer les réponses suivantes :

  • U : système de vérification d'adresse non pris en charge.
  • S : système de vérification d'adresse non disponible.
  • G : carte internationale.

Consultez le Guide des développeurs Payflow pour en savoir sur AVSADDR et AVSZIP.

• Réponses CVV : le système du cryptogramme visuel (CVV) vérifie le numéro à 3 ou 4 chiffres de la carte de crédit au cours du processus d'autorisation. Les réponses types sont les suivantes :
  • Y - Apparié.
  • N - Ne correspond pas.
  • X - Inconnu ou pas de réponse.

Vous ne devez accepter que les transactions pour lesquelles le CVV correspond. Consultez le Guide des développeurs Payflow pour en savoir plus sur CVV2MATCH.

• Vérifications de géolocalisation IP : effectuer des vérifications de géolocalisation IP permet de comparer l'adresse IP à partir de laquelle l'utilisateur accède à votre site avec l'adresse de facturation qu'il fournit lors du paiement. En plus de vérifier l'adresse IP par rapport à l'adresse de facturation, vous devez vérifier si l'utilisateur accède à votre site à l'aide d'une adresse IP proxy. Une adresse IP proxy est générée par des services gratuits ou payants qui donnent l'impression que l'utilisateur accède à votre site depuis un emplacement différent de celui où il se trouve. Si l'adresse de facturation de l'utilisateur se trouve dans un État (par exemple, le Nebraska) mais que son adresse IP se trouve dans un autre (par exemple, la Floride), il est possible qu'il soit en déplacement, mais cela ne doit pas être supposé. Ce type d'incohérence justifie une étude plus approfondie des informations de l'utilisateur.
• Vérification du numéro BIN des cartes de crédit : le numéro d'identification bancaire (Bank Identification Number - BIN) correspond aux six premiers chiffres de chaque carte de crédit et de débit. Il fournit des informations sur le type de carte utilisé (Visa, MasterCard, American Express ou Discover). Il peut également servir à identifier le nom et la localisation de la banque qui a émis cette carte. Ces informations peuvent être essentielles pour détecter une tentative de carding. En règle générale, vous devriez constater une grande variété de numéros BIN. Par exemple, vous pouvez recevoir deux paiements mensuels provenant de cartes dont le numéro BIN est identique. Dans des cas de carding, en particulier si les informations des cartes de crédit ont été achetées en ligne, vous pouvez recevoir dix paiements provenant de cartes dont le numéro BIN est identique en l'espace d'un ou deux jours. Le suivi des BIN peut nous aider à identifier cette activité.
• Identifiant de machine et empreinte numérique d'appareil : vous pouvez utiliser ces éléments pour identifier les clients problématiques ou frauduleux. Les sociétés tierces spécialisées dans la gestion de la fraude proposent couramment cette méthode afin de déterminer si un utilisateur visite régulièrement le site d'un marchand en utilisant différents attributs de paiement (noms, adresses, adresses IP, cartes de crédit, navigateurs informatiques, etc.) pour masquer son identité. Les fraudeurs peuvent se rendre régulièrement sur votre site et effectuer plusieurs achats à l'aide d'informations de paiement différentes, mais l'appareil qu'ils utilisent pour effectuer l'achat sera le même.
• Vérifications de vélocité sur votre panier : cette recommandation concerne les vérifications effectuées sur votre site, et non celles réalisées via les filtres antifraude de vélocité de Payflow. La vélocité correspond au nombre ou à la rapidité des paiements effectués au cours d'une période donnée, par exemple 10 paiements envoyés par le même client à quelques secondes ou minutes d'intervalle. Surveiller cette activité est essentiel. Même sur les sites de dons, effectuer plusieurs paiements de faible montant à intervalles rapprochés peut sembler inhabituel pour un utilisateur. La vélocité des paiements peut être surveillée par le montant en dollars, l'adresse IP de l'utilisateur, l'adresse de facturation, le BIN ou l'appareil.
• Vélocité de session de panier : il s'agit du nombre de fois qu'un acheteur peut tenter de finaliser une commande au cours d'une session de panier. En limitant le nombre de tentatives au cours d'une session de paiement, vous avez une visibilité sur le nombre de paniers abandonnés, ce qui peut vous aider à identifier une éventuelle situation de carding.
• Autorisation et collecte : si vous utilisez l'autorisation et la collecte, vérifiez les transactions pendant la période d'autorisation. Ne collectez pas les fonds si vous pensez être la cible d'une activité de carding. Si vous avez déjà collecté les fonds, vous pouvez émettre un remboursement plutôt que d'attendre une opposition bancaire.