Qu’est-ce que la fraude aux paiements push autorisés (APP) ?

Selon ACI Worldwide, société spécialisée dans les systèmes de paiement, 20 % des consommateurs interrogés en 2022 à travers le monde ont déclaré avoir perdu de l’argent à cause de fraudeurs au cours des quatre années précédentes. Parmi les personnes interrogées, 27 % ont précisé avoir déjà été victimes de fraudes aux paiements push autorisés (APP).

Au Royaume-Uni, les pertes dues à la fraude APP ont atteint 811 millions de livres sterling en 2022 et, selon le rapport « Trends in Payment Fraud » sur les tendances en matière de fraude aux paiements qu’a publié la société d’analyse de données GlobalData, les pertes devraient augmenter annuellement de 20,5 % entre 2021 et 2026.

Qu’est ce que la fraude au paiement push autorisé?

La fraude APP est l’un des types de fraude les plus courants et qui affecte aussi bien les entreprises que les particuliers. Le fraudeur utilise des techniques telles que l’usurpation d’identité pour inciter la victime à verser de l’argent sur son compte. Et même si le propriétaire du compte a techniquement autorisé le paiement, dans les faits, il a été manipulé.

La fraude par autorisation s’appuie sur des technologies de paiement mobile destinées aux smartphones. Basés sur des applications telles que Lydia et PayPal, les services de paiement de pair à pair (P2P) utilisent des paiements en mode « push » qui permettent à une personne d’effectuer un paiement en « poussant » la somme vers le compte du bénéficiaire. Inversement, on parle de paiements « pull » lorsqu’un commerçant demande à un client de régler un achat par carte de crédit. Il suffit d’une adresse électronique ou d’un numéro de téléphone pour ouvrir un compte depuis une application P2P et pour que l’argent soit transféré presque instantanément.

Profitant de fonctionnalités faciles et pratiques, il est simple pour le fraudeur de se faire passer pour un bénéficiaire légitime et de disparaître avec des fonds qui ne peuvent être réclamés. C’est ce qu’on appelle une fraude APP au bénéficiaire malveillant.

L’utilisation des applications de paiement P2P augmente, tout comme les types de fraude associés. Aux États-Unis, la Commission fédérale du commerce (FTC) a reçu 2,4 millions de rapports de fraudes ayant visé des consommateurs en 2022 pour un préjudice total de 8,8 milliards de dollars. 

Le problème est plus sensible sur les marchés où l’infrastructure bancaire est vulnérable à la fraude aux paiements push autorisés, notamment au Royaume-Uni où les transactions peuvent être effectuées en temps réel via Faster Payments. 

Méthodes utilisées pour les escroqueries de paiements push autorisés.

Pour réaliser des opérations de paiement par autorisation frauduleuses, les escrocs utilisent différentes techniques dont :

• L’ingénierie sociale : Les personnes mal intentionnées sur les réseaux sociaux utilisent des tactiques de manipulation psychologique parmi lesquelles l’usurpation d’identité pour amener le titulaire d’un compte à communiquer ses informations personnelles, à autoriser des paiements vers des comptes frauduleux ou même à fournir ses identifiants de connexion. La fraude par usurpation d’identité est souvent à l’origine des pertes financières les plus importantes. 
• L’hameçonnage : Dans le cas d’hameçonnage, un escroc se fait passer pour une institution de confiance par le biais d’un email ou d’un SMS pour inciter sa cible à cliquer sur un lien ou à télécharger un logiciel malveillant, ce qui lui permettra d’accéder à ses données personnelles ou à ses comptes. Ces escroqueries par téléphone sont aussi appelées: du phishing par SMS ou smishing.
• La prise de contrôle de compte : On parle de fraude par prise de contrôle d’un compte (ATO) lorsqu’un criminel prend le contrôle d’un compte appartenant à une personne ou à une entreprise dans le but de lui nuire ou de lui voler de l’argent  Ce dernier peut notamment utiliser un compte de réseau social piraté pour se faire passer pour une victime et demander à ses amis de lui envoyer des fonds. 
• L’abus de confiance : Ce type d’escroquerie consiste à gagner la confiance d’une personne pour accéder à son compte bancaire ou la manipuler afin qu’elle envoie de l’argent. Cela peut se produire dans le cadre d’une relation amoureuse ou d’une opportunité commerciale.
• L’escroquerie à l’achat de biens immobiliers : Les escroqueries immobilières reposent sur l’interception de communications entre les clients et leurs courtiers, agents immobiliers et/ou avocats. Face à la multiplication des communications avec des personnes nouvelles et inconnues lors du processus d’achat d’un logement, il est plus facile pour un fraudeur de participer aux échanges en prétendant représenter une partie concernée par la transaction.

Exemples de fraude aux paiements push

Tandis que certaines fraudes sont programmées à l’avance et visent des victimes vulnérables, d’autres escroqueries sont de nature opportuniste.

Voici quelques exemples de fraude aux paiements push autorisés :

• Les escroqueries de type « Coucou Maman, c’est moi ! » : Dans ce cas de figure, une personne reçoit une demande depuis PayPal censée provenir d’un membre de la famille qui réclame de l’argent en urgence. Désireuse d’aider, la personne sollicitée envoie rapidement des fonds sans vérifier l’adresse électronique du destinataire. Au final, le membre de la famille n’est pas au courant de cette transaction et l’argent se retrouve entre les mains d’un escroc.
• Les fraudes sentimentales : Il s’agit d’une autre tactique d’escroquerie classique visant des personnes qui nouent des relations sur les réseaux sociaux. Par exemple, une personne peut développer une relation amoureuse avec une autre sur Instagram. À mesure que le lien se renforce, le nouveau « partenaire » parvient à convaincre l’autre d’envoyer de l’argent via des services de paiement tels que Lydia. Cependant, une fois l’argent transféré, toute tentative de contact avec le « partenaire » reste vaine tandis que le compte Instagram disparaît mystérieusement, laissant la victime arnaquée et le cœur brisé.
• Les escroqueries bancaires ou redirections malveillantes : Ce type de fraude consiste à exploiter les notifications mobiles envoyées par une institution financière. Une personne reçoit donc une notification indiquant que le règlement de sa facture de carte de crédit est en retard, le tout accompagné d’un lien vers ce qui semble être celui de son application bancaire. Ce type de fraude est également appelée fraude aux faux conseiller bancaire. Confiant dans la notification, la personne clique sur le lien, sans se douter qu’elle est redirigée vers une application malveillante créée par des fraudeurs. La victime partage ainsi sans le savoir des informations sensibles liées à son compte bancaire avec les escrocs, ce qui génère pertes financières et désarroi lorsque la banque lui confirme l’existence d’activités frauduleuses.

Les entreprises sont également vulnérables à la fraude APP, et plus particulièrement lorsque le fraudeur se fait passer pour le représentant d’une administration fiscale, d’un fournisseur commercial, d’un service de messagerie ou d’un prestataire de services bancaires aux organisations. Les notifications ou les messages peuvent prétendre que le compte de l’entreprise est menacé par une fraude et que l’argent doit être transféré sur un autre compte. Les escrocs contrôlent ainsi le nouveau compte et peuvent le vider immédiatement.

Dans le cas d’une escroquerie aux fausses factures, il peut y avoir manipulation pour que l’entreprise paye une facture qui semble avoir été envoyée par courrier électronique par un fournisseur. Cette dernière ressemble à une facture authentique, mais le lien de paiement a été trafiqué ou bien les coordonnées bancaires ont été modifiées.

Comment les entreprises sont-elles affectées par la fraude APP ?

Le réseau Retail Banker International précise que les banques britanniques ont remboursé à hauteur de 43 % les pertes liées à la fraude par autorisation des clients en 2020, soit 207 millions de livres sterling. Mais pour les établissements qui préfèrent ne pas indemniser leurs clients, c’est la réputation de leur marque et la fidélité de leurs clients qui peuvent être impactées.

Le gouvernement britannique a constaté que « les remboursements aux victimes d’escroqueries APP restent incohérents, de nombreuses victimes continuant à supporter des pertes sans être remboursées (…) et que tous les établissements financiers n’interprètent pas leurs obligations de la même manière ». L’autorité britannique de régulation des systèmes de paiement recommande que tous les clients soient remboursés, à de rares exceptions. Si elle est respectée, cette recommandation aura des conséquences importantes pour les établissements.

Comment prévenir et détecter la fraude aux paiements push autorisés

Le secteur financier est en train de développer rapidement ses capacités défensives contre la fraude APP. En 2019, l’autorité britannique de régulation des systèmes de paiement a demandé aux six plus grands groupes bancaires de mettre en œuvre le service de confirmation du bénéficiaire (CoP) afin que les banques puissent vérifier le nom, le code guichet de la banque ainsi que le numéro de compte de tout nouveau bénéficiaire. 

Les établissements qui souhaitent renforcer leurs capacités de détection de la fraude APP peuvent envisager les bonnes pratiques suivantes :

• Déployer des ressources de surveillance des transactions en temps réel : Les services financiers doivent adopter des systèmes qui analysent en permanence les transactions au fur et à mesure qu’elles ont lieu, ce qui leur permet d’identifier rapidement des caractéristiques suspectes ou des activités anormales.
• Utiliser des algorithmes d’apprentissage automatique (ou machine learning) : L’intégration de modèles d’apprentissage automatique permet de détecter des caractéristiques de fraude complexes et de s’adapter aux nouvelles formes d’escroquerie, ce qui rend la détection des fraudes plus précise au fil du temps.
• Collaborer avec les pairs du secteur : Partager des informations et des connaissances avec d’autres entreprises du secteur peut renforcer les initiatives collectives destinées à identifier et à combattre des tactiques de fraude qui évoluent en permanence.
• Déployer une authentification multifactorielle (MFA) : En exigeant plusieurs niveaux d’authentification des paiements (mots de passe, données biométriques, mots de passe à usage unique etc.), les établissements peuvent ajouter une couche de sécurité supplémentaire pour s’assurer de la légitimité des utilisateurs et des transactions.
• Sensibiliser les clients et les employés : Une sensibilisation régulière des clients et des analystes peut aider ces derniers à identifier les tentatives de fraude potentielles et leur éviter d’en être victimes.

La technologie a un rôle précieux à jouer dans la prévention de la fraude APP entre particuliers P2P. Les établissements qui cherchent à renforcer leur logiciel de détection de la fraude devraient s’intéresser à des solutions de détection de la fraude fondées sur l’IA. En effet, ces dernières se concentrent sur la fraude transactionnelle en s’appuyant sur la reconnaissance des caractéristiques transactionnelles et sur l’apprentissage automatique pour évaluer des milliers de transactions à grande vitesse. Grâce à ComplyAdvantage, les établissements financiers peuvent identifier et prévenir plus de 50 scénarios de fraude aux paiements et ne pas se limiter à une simple analyse fondée sur des règles afin de s’adapter aux « inconnus inconnus ». 

Pour en savoir plus, cliquez ici pour comparer l’offre de détection de la fraude de ComplyAdvantage avec les autres solutions du marché.