Fraude à la CB

[Prestapascher]

Bonjour à tous et à toutes,

 

j'ai installé récemment le module ATOS pour paiement e-transaction lors de la refonte de mon site.

Je pensais que cela boosterai mes ventes et ferait plus sérieux.

 

Mais pour le moment je n'ai que des arnaques, les CB proviennent d'USA et d'Australie.

 

Comment faire pour vérifier cela?

 

Les adresses IP sont bizarres également, l'adresse ne correspond pas au nom..

 

Pourtant j'ai bien reçu l'argent sur le compte, donc je ne sais plus quoi faire, j'ai annulé les commandes mais combien de temps dois-je attendre, si la banque récupère l'argent me remboursera t elle les commissions?

 

Enfin bref plein de question pour un e-commercant un peu blasé de ce système qui protège les acheteurs, les banques mais pas nous..

[OSFormation]

Bonjour,

 

ce genre de choses arrivent souvent, surtout avec les boutiques high-tech. Par expérience, il faut d'abord veiller à être vigilant avant d'expédier chaque commande. Les arnaqueurs sont assez malins, il est arrivé à un client qu'une commande ait été faite d'Afrique, avec une carte française volée avec comme adresse de livraison une adresse française (un hôtel). Difficile de voir venir l'arnaque dans ce cas... Et c'est l'e-commerçant qui en fait les frais puisque la banque rembourse la commande à la victime du vol de CB, alors que vous avez envoyé la commande à un inconnu.

 

Pensez à activer le module PrestaShop Security, inclus dans Prestashop, il peut être utile. Il y a aussi un module Secuvad sous Prestashop, mais qui demande à souscrire à un service payant.

[jeckyl]

Bonjour,

 

afin de limiter au maximum la fraude à la carte bancaire, nous avons développé un module qui permet de vous alerté lorsqu'une information parraît suspecte au niveau de la ocrrespondance entre :

• L'adresse ip de l'ordinateur utilisé lors de la commande
  
• Le pays de facturation
  
• Le pays de livraison
  

Ce module vous aidera à détecter les fraude possibles sur votre site et ainsi vous faire gagner du temps lors de la gestion de vos commande et à terme vous évitera de perdre de la marchandise.

 

Il est tout à fait envisageable de réclamer alors à ces client des justificatifs d'identité ou tout autre information afin d'éviter d'être victime d'une fraude.

 

Vous pouvez retrouver ce module sur notre site : http://www.prestatoolbox.fr/securite/92-controle-des-pays-lors-des-commandes.html

 

Mais, comme le précise OSFormation, vous pouvez souscrire à des services externe qui peuvent vous proposer des garanties sur les commandes après analyse du service.

[Prestapascher]

Merci Jekyll pas mal ce petit module en effet.

Pour le moment la société démarre donc je peux controler manuellement et j'ai d'ailleurs demander copie de la CB en question + pièce d'identité et aucune réponse.

 

Le problème c'est que j'ai l'argent sur le compte et si on me le retire j'aurais quand même payé la commission... La banque reste gagnante dans tous les cas...

 

Merci encore mais j'aimerais vraiment que les e-commercants se mobilise contre cela, la banque qui autorise la transaction est en partie responsable je trouve.

[jeckyl]

Bonjour,

 

demandez à votre banque de vous rembourser la commission exceptionnellement sur ce cas, il font ce genre de geste en général si il vous retire l'argent. Dans tous les cas prenez contact avec votre banque afin de mettre en place une règle précise pour ce genre de cas.

 

Si le client ne veut pas vous fournir les informations demandé, vous pouvez tout à fait annuler la vente si vous aviez donnée un délais lors de la réclamation des information et rajoutez aussi ce paragraphe dans les CGV que le client accepte lors de sa commande.

[Prestapascher]

ARTICLE 8 - PAIEMENT

 

 

Le prix facturé au client est le prix indiqué sur la confirmation de Commande adressée par Hitechstore.

Le prix des Produits est payable au comptant par un des moyens de paiement proposé sur le site le jour de la commande effective.

La Commande validée par le client ne sera considérée comme effective que lorsque le centre de paiement bancaire sécurisé aura donné son accord sur la transaction et, le cas échéant, après acceptation de prise en charge du risque par l'assureur.

Toutefois Hitechstore.fr se réserve le droit de ne pas valider votre commande pour tout motif légitime, notamment dans l’hypothèse où :

- elle ne serait pas conforme aux présentes CGV

- l’une de vos précédentes commandes n’aurait pas été intégralement payée à échéance,

- un litige relatif au paiement d’une de vos précédentes commandes serait en cours de traitement,

- plusieurs éléments graves et concordants feraient peser un soupçon de fraude sur votre commande.

 

 

Je pense que pour les CGV c'est ok et j'ai donc annulé pour le moment les commandes.

 

Concernant Prestashop security je vient de l'activé du coup, après je ne sais pas du tout comment cela fonctionne.

Edited July 6, 2012 by hitechstore (see edit history)

[ckarone]

Un énorme problème cette fraude mais pour prévenir cela, vous devez intégrer (dans les pages de commande) de votre site des marqueurs qui vous vous permette de détecter la fraude.

 

Avec l'adresse IP du client avec un script qui va vous donner le pays de provenance de l'IP en question ( script PHP IP2country )

 

Ensuite il faut créer un status fraude (sans e-mail automatique) pour classer les tentatives de fraude pour ensuite les croiser avec les nouvelles commandes, comme cela vous allez pouvoir détecter une bonne quantité de fraude.

 

Avez vous une indication si les transactions sont 3D Secure, avez vous un contrat 3D secure.

 

Si c'est le cas, c'est VISA ou MASTERCARD qui sont responsable donc pas de remboursement.

 

C'est à vous de lutter contre la fraude sur votre site, car si vous avez trop de fraude, VISA ou MASTER pourrons même bloquer votre contrat.

 

Ckarone

Edited July 6, 2012 by ckarone (see edit history)

[jeckyl]

Bonjour,

 

il est rappelé que les carte bancaires étrangères (hors UE) n'ont pas 3Dsecure.

[Prestapascher]

Pas de 3D secure car je pense que parfois cela est bloquant pour les acheteurs qui n'ont pas leur téléphone vers eux par exemple ou qui ne comprenne pas le système.

 

Là j'ai activé prestashop module security qui analyse tout cela.

 

Et concernant le blocage du contrat j'ai appeler e-transaction pour leur demander, j'ai contacté ma banque, tous me disent d'encaisser alors que je ne voulais pas....

[ckarone]

@jeckyl Oui pas de 3D secure à l'étranger mais dans le secteur de @hitechstore les risques sont trop grand pour ne pas activé 3D secure surtout si il a plus de 30 commandes par jours.

 

Une commande frauduleuse qui passe et c'est l'attaque en masse assurée.

 

Une solution est de refuser les commandes depuis les pays qui ne sont pas livrés/ciblés ce méfier des AMEX ( pas de 3D et pas de CCV2, il arrive pour 2013).

 

Même si 3D est un véritable obstacle, il est indispensable pour certains.

 

Ckarone

[Prestapascher]

Pour le moment j'ai à peine 1 commande par jour,cela débute tout juste donc je vérifie les adresses ip si comme dans le cas des 3 transactions cela est "louche":

- une CB US et une autre AUS

- Des adresses IP qui changent dont une en Cote d'Ivoire et une aux USA

 

Sachant que je ne vend qu'en France, j'annule. Le problème c'est que je vais devoir appeler la banque pour bloquer la transaction à chaque fois ce que je n'ai pas fait là car je ne le savais pas.

 

Une fois que j'aurais plus de commandes en effet je verrais pour 3D secure.

 

Merci à tous pour vos conseils en tout cas.

[ornicar69]

Le 3D secure est le meilleur moyen selon les statistiques actuelles de perdre 50% de clients. Même la SNCF qui l'a activé depuis quelques mois a les mêmes taux d'échec.

Malheureusement, dans le cas dont on parle ici, il n'y a pas vraiment de solution pour l'instant.

[ckarone]

Une solution est de bloquer l’accès à la page de paiement depuis les pays qui ne sont pas livré.

 

 

Ckarone

[ornicar69]

Une solution est de bloquer l’accès à la page de paiement depuis les pays qui ne sont pas livré. Ckarone

 

Hélas non, ça ne résoud en rien le problème : les fraudeurs à la CB utilisent des tunnels VPN pour avoir des IP françaises, et se font livrer en France dans des adresses qui sont des hôtels ou des caravanes.

[ckarone]

Si justement, une bonne part des fraudeurs (USA, Asie, Afrique) n'utilisent pas de proxy ou VPN donc cette partie la ne passe plus!

Edited July 11, 2012 by ckarone (see edit history)

[ornicar69]

Bon à savoir. J'ai du subir des "plus malins" pour ma part...

[Prestapascher]

Moi également et j'en ai au moins une par jour, cela commence à devenir très problématique je vais voir pour un système de contrôle je pense.

 

Et pour info dans 75% du temps ils ont tous de même une IP en france en tout cas pour le paiement, mais on peut voir que la 1ère connexion venait de l'étranger.

 

Mais j'ai 2 cas ou j'ai un doute et que j'ai livré donc je verrais: IP en france, une seule connexion, carte bancaire française, mais pas trouvé dans l'annuaire.

 

Car en ce moment je refuse tout le monde et cela devient embêtant.

 

Et moi on ne m'a toujours pas repris l'argent sur mon compte car au début je ne savais pas que je pouvais refusé d'envoyer en banque.

Mais cela devient lourd de devoir passer 1h à traiter cela, refuser des commandes, appeler la banque,...

[Le-cathare]

Bonjour

 

Nous avons mis en place la 3D secure avec systempay (banque Populaire), cela à légèrement réduit la finalisation de la commande mais en contre partie cela à fortement réduit la fraude.

Edited July 18, 2012 by Le-cathare (see edit history)

[Prestapascher]

Bonjour

 

Nous avons mis en place la 3D secure avec systempay (banque Populaire), cela à légèrement réduit la finalisation de la commande mais en contre partie cela à fortement réduit la fraude.

 

Donc pour vous mieux vaut 3D secure que mettre en place type fia-net ou autre? Car beaucoup indique avoir encore de la fraude avec 3D secure...

 

Car je me renseigne pour avoir également un indice de confiance: Trustedshop le fait directement en ligne et sont joignables alors que Fia-net ne me répond pas avant un mois en général...

 

Si 3D Secure est efficace autant que je prenne 3Dsecure à la banque et que je prenne Trustedshop pour la notation des clients car ils me semblent beaucoup plus réactifs.

Edited July 18, 2012 by hitechstore (see edit history)

[Le-cathare]

Pour moi qui vend du matériel Electronique (Récepteur TNT, Récepteur satellite) je préfère la 3D secure m^me si je perd quelque vente. Pour info rien que dans le mois de juin, la banque ma bloqué 27 transactions (motif : risque de fraude) et 10 donc le client à abandonné sont achat

 

pour le moment j'ai rien à redire sur 3D secure

 

Bon après tout système à une faille, car le risque Zéro n'existe pas

Edited July 18, 2012 by Le-cathare (see edit history)

[Prestapascher]

Ok c'est noté, je suis également dans un domaine sensible donc je me dis en effet 3D Secure est pas mal tout de même.

Et les frais sont moins élevé qu'un système de fraude complet, et sincèrement les gens venant chez moi ont tous un téléphone à portée de main à mon avis donc cela n'est pas si gênant.

 

Je pense partir avec TrustedShop pour la notation et 3D secure avec le paiement, à confirmer mais à mon avis ces solutions sont plutôt bonne aujourd'hui.

[iorek]

bonjour,

 

personnellement je suis favorable à 3DS et voici pourquoi:

 

Les fraudeurs largement localisés en Afrique testent les cartes bancaires sur les sites de vente de biens immatériels ou de dons (ex: Handicap international est largement attaqué). Mais dès qu'ils sont un peu malins ils utilisent un proxy et modifient leur adresse ip, ou depuis les multiples serveurs piratés vous font croire qu'ils sont en France.

 

Si la carte passe, c'est qu'elle n'est pas en liste grise. Dans ce cas, ils savent qu'ils peuvent l'utiliser pendant quelques jours.

La fraude est très bien organisée et vous avez affaire à des personnes de plus expertes.

 

Si je prends le site Joxko qui vend des recharges de téléphone, 90% des paiements sont refusés. car 90% des paiements sont frauduleux. Rien de plus immatériel que des minutes de téléphone. 3DS est le seul outil qui permet à ce site de continuer à vendre.

 

et lorsque la fraude devient trop importante, Visa ou Mastercard demande purement et simplement à la banque de fermer le site. C'est arrivé il y a un peu de temps à un site client de Systempay qui vend des tablettes et des notebooks.

Car les amendes pleuvent sur la banque qui les répercutent sur le commerçant.

vous perdez 2 fois: produit perdu + frais pour fraude.

 

Avec 3DS, vous avez la garantie de paiement si l'authentification est correcte et pour les cartes non enrôlées (les plus dangereuses à mes yeux: les visa business américaines) vous pouvez explicitement les refuser dans le module de contrôle de risque.

Vous ne pouvez plus chez Leclerc Drive payer avec un carte business américaine.

Le gros de la fraude vient de ces cartes. Les africains en raffolent car elles ne sont pas enrôlées. Si visa appliquait les règles aux US qu'ils appliquent au reste du monde, la fraude serait moins grande.

 

Donc attention car 3DS ne vous protège pas des cartes non enrôlées!

 

Quant à dire que 3DS fait perdre 50% des ventes, c'est le genre de rumeur qui nuit à sa généralisation.

[Le-cathare]

Je suis en systempay, pour les carte non enroles, la baque Populaire me refuse la carte donc la vente. Je viens d'avoir le cas sur la carte d'un client le temps de midi

[iorek]

la carte est refusée uniquement si vous demandez explicitement de refuser les transactions non garanties. c'est une option qui vous protège des cartes Visa Business non enrôlées.

Ce n'est pas l'option par défaut. vous avez du demander explicitement ce comportement.

[Prestapascher]

Donc pour vous l'idéal est de souscrire à 3D secure? J'ai pris rendez-vous à la banque.

 

Il faut demander l'option pour ne pas accepter les cartes étrangères en fait vu que je vend uniquement en France pour le moment, c'est bien cela?

[Le-cathare]

Moi j'ai rien demander à ma banque, il me l'on activé d'office, j'ai juste négocier les tarifs avec eux.

[Prestapascher]

Ok donc je vais voir cela, l'option 3D secure je ne sais plus si elle est payante au crédit agricole je verrais bien mais si cela me préserve de toutes les fraudes ça sera vraiment bien.

[iorek]

l'option 3dsecure n'est pas facturée par la banque. par contre certains psp essayent de la facturer. refuser les cartes étrangères n'a rien a voir avec 3ds. vous pouvez les cartes allemandes en 3ds et refuser les anglaises en 3ds. c'est plutôt au niveau du contrôle de risque en définissant une liste blanche ou grise de pays. systempay et payzen font cela très bien et a la main du commerçant en temps réel. cela peut être plus compliqué avec d'autres solutions de paiement.

les banques n'ont aucun intérêt à facturer 3ds. c'est une protection contre la fraude quand la carte est enrôlée.

à la banque 3ds est obligatoire. si vous ne le voulez pas on vous envoie signer dans une autre banque. les fraudeurs sont souvent plus malins et organisés que les marchands. si notre site Lyra SMS qui vend des packs SMS on a donné l'annee dernière et nullement envie que cela recommence. on y a laissé la moitié du résultat et 3 amendes (remboursées après 6 mois de nego). les biens immatériels c'est de la perte sèche.

[Prestapascher]

Les biens matériels aussi ;-)

 

Et moi ma banque m'a demandé si je le voulais, j'aurais du dire oui à l'époque car la le temps de reprendre RDV, de resigner les papiers et d'activer l'option cela va mettre un mois je pense.

 

En tout cas merci pour ces infos.

[ornicar69]

"Quant à dire que 3DS fait perdre 50% des ventes, c'est le genre de rumeur qui nuit à sa généralisation."

 

Je suis navré d'avoir constaté qu'en effet, j'avais exactement ce taux de perte. Le test a été fait sur 3 mois sur plusieurs milliers de commandes. C'est pour ça qu'on l'a désactivé pour l'instant.

[jeckyl]

Bonjour,

 

3DSecure est un vrai débat.

Le vrai soucis c'est l'incapacité des banque française à utiliser toutes le même système de validation et aussi afficher une information cohérente avec une mise en page convenable. C'est une honte de faire un truc aussi moche.

 

Après je crois que la généralisation du système permettra de rassurer les acheteurs et de réduire ce taux de perte qui était vrai au tout début, je ne crois pas que ces chiffres soient toujours d'actualité.

[Galanid]

Effectivement nous aussi avec 3DS , le taux a grimpé de 35% carrement ! Il faudrait un systeme national voir européeen des securisation des paiement en ligne, normalisé chez toutes les banques.. la c'es un peu la foire d'empoigne chaque banque en plus organise ses sécurité, carte personnel, date de naissance, sms ....etc....du coup c'est le bordel !

Les sytemes comme paypal eux aussi sont presque aussi pire: code erreur 10417...et j'en passe, le taux de transformation en prend un coup !

[Prestapascher]

Pour le 3Dsecure il me semble que la 2ème génération est nettement meilleure, pour toutes les banques c'est un code à recevoir sur son téléphone sauf quelques unes qui ont gardées en plus le lecteur.

 

Donc cela tend à se démocratiser, et une personne qui vient acheté du high-tech à généralement son téléphone à proximité.

 

Et je préfère perdre quelques clients que me faire arnaquer 1 à 2 fois par jour et ne pas en dormir la nuit...

[ckarone]

Il est urgent que les banques informent les clients que 3D secure existe et ensuite qu'elles expliquent aux clients comment fonctionne 3D. Il y a pas mal de clients qui ne connaissent pas 3D ou alors ils attendent le sms qui n'arrive jamais (le numero de tel enregistré a la banque est un tel fixe).

 

 

Les cartes AMEX sont aussi une véritable horreur et un véritable potentiel pour le fraude, pas de CCV2 et un pseudo 3D qui arrive probablement en 2013.

 

Ckarone

[iorek]

3ds date de 2002! mais sa généralisation a tardé. le dialogue page de paiement acs est normalisé et fait l'objet d'une certification visa MasterCard. l'acs est lui soumis à une certification mais une fois redirigé vers l'acs c'est la jungle. il n'y a en France que 3 prestataires gestionnaires d'acs: Atos qui a quasiment toutes les banques dictao qui est la solution banques des banques populaires et surement une solution interne pour le cic/cme. écrit il y a longtemps ils sont peu didactiques gèrent très mal le webagent pour reconnaître le mobile et pire ne gèrent pas les langues. si vous êtes en portugais sur la page de paiement vous aurez sûrement une page dans la langue de votre carte. un anglais avec une carte française a peut être envie que l'acs lui cause en anglais? on ajoute à cela les différences d'authentification suivant les pays (le tan en Allemagne par exemple) cela donne un beau mélange.

et on oublie de dire que si la carte n'est pas enrôlée et si le directory server de visa ou MasterCard ne répond pas ou si l'acs ne répond pas on continue en autorisation suivant la configuration du marchand. et là pas de reliabilty shift. il n' a pas de garantie de paiement.

3ds n'est pas absolu.

mais il est utile et pour avoir mangé de la fraude je ne le retirerai pas. au pire quand un acheteur nous semble perdu on le rappelle. pas possible sur les gros sites mais sur les petits moyens tjs possible.

et 95% des sites font moins de 500 paiements mois.

Edited August 1, 2012 by iorek (see edit history)

[Galanid]

Certains site se sont créer leur propre securité...Envoie la carte d'identité, envoie justif de domicile...Meme si le paiement passe il demande ces pièces pour traiter la commande. Ca leur permet de contre vérifier les commandes. ( Ex: Mobiliermoss).

 

Je crois que les marchand surtout les petits vont devoir trouver des parades a la fraude en se bétonnant....

 

A quand un systeme de paiement créer par les marchand pour les marchands! ( Je reve) Mais moi j'en peux peux plus des Paypal, moneybooker et cie....Je suis sous mercanet et sogenactif..sans 3DS...

[Le-cathare]

Pour le 3Dsecure il me semble que la 2ème génération est nettement meilleure, pour toutes les banques c'est un code à recevoir sur son téléphone sauf quelques unes qui ont gardées en plus le lecteur.

 

Donc cela tend à se démocratiser, et une personne qui vient acheté du high-tech à généralement son téléphone à proximité.

 

Et je préfère perdre quelques clients que me faire arnaquer 1 à 2 fois par jour et ne pas en dormir la nuit...

 

+1

[passicool]

Je n'ai jamais eu de fraude jusqu'à maintenant mais voilà un petit malin est tombé sur mon site et je suis à la deuxième commande suspect ce matin que faites vous face à ça. Remboursement puis passé la commande en annulé ? Faut il que l'arnaqueur reçoivent le mail ou pas ?

[iorek]

avant toute chose annuler la commande dans votre Back office banque. sinon elle sera remise en banque. et dans quelques semaines ou mois vous aurez un rejet et les frais de rejet dont la banque se régale. et quand vous avez trop de rejet s'ajoute les frais de fraude que visa facture a la banque et que la banque vous refacture. j'ai eu ça 2 fois alors que tous les paiements sont 3ds. mais 3ds ne sert a rien si la carte n'est pas enrôlée. 77 euros par rejet. j'ai bataillé 6 mois pour me faire rembourser.