L'état de la sécurité des paiements du commerce électronique

Lorsque la pandémie a frappé, le commerce électronique a explosé.

Avec des gens enfermés et avec peu à faire, acheter en ligne semblait la seule échappatoire. Le marché mondial du commerce électronique a bondi à 26.7 billions de dollars. Les habitudes des clients aussi changeaient. Dans une enquête, 60% des répondants convenu que COVID-19 avaient changé leur rapport à la technologie.

Mais il n’y a pas que les ventes qui ont explosé. Et ce ne sont pas seulement les entreprises du secteur du commerce électronique qui ont été occupé - mais ses fraudeurs aussi.

En une seule année (entre 2020 et 2021), la fraude au commerce électronique a augmenté de 18 %: de 17.5 milliards de dollars à 20 milliards de dollars. Un regard sur le tout aussi florissant marché de la prévention de la fraude dans le commerce électronique-attendu atteindre la somme énorme de 70 milliards de dollars 2025 – et il est clair que ce type de « travail » ne fait que gagner en popularité.

La ligne du bas? La fraude au commerce électronique est quelque chose que vous ne pouvez pas vous permettre de fermer les yeux. Après tout, ce n'est pas seulement une menace pour vos profits mais aussi pour votre image de marque. Si les clients pensent qu'ils ne peuvent pas payer en toute sécurité via votre site Web, ils ne vous feront pas confiance. Une fois que vous avez perdu la confiance des consommateurs, il est extrêmement difficile de la regagner.

Ci-dessous, nous examinerons l'état de la sécurité des paiements, en commençant par les types de fraude dans le commerce électronique les plus courants. Nous vous proposerons également des conseils pratiques pour protéger vos clients, votre site Web, et – en fin de compte – votre en bout de ligne. Continuez à lire !

Types les plus courants de fraude dans le commerce électronique

À mesure que le monde du commerce électronique se développe et évolue, ses méchants aussi. Ainsi, au cours des dernières années, ce n'est pas seulement le nombre de frauduleux transactions – et la valeur globale des biens volés marchandises–que s'est levé. C'est le type de la fraude au commerce électronique.

Du pharming et du piratage de comptes à la fraude « amicale » et « silencieuse » (sans oublier directement usurpation d'identité), les méthodes des fraudeurs sont de plus en plus dynamiques et diversifiées. Jetons un coup d'oeil à quelques-uns.

Pharming

Le pharming est un type de fraude dans le commerce électronique dans lequel les fraudeurs redirigent les utilisateurs Web (à leur insu et sans leur consentement) vers un site Web frauduleux. Ce site Web peut ressembler à celui que le client avait l'intention d'atteindre, mais avec une clé différence–c'est complètement faux.

Conçu uniquement pour simuler le site Web original, son faux homologue existe pour une seule raison seulement–à inciter l’utilisateur à saisir ses informations personnelles et les détails de sa carte de crédit. Les fraudeurs peuvent ensuite utiliser ces informations pour voler l'argent de l'individu, ou pire – leur identité.

Fraude par rétrofacturation

Également connue sous le nom de «fraude amicale», la fraude par rétrofacturation se produit lorsqu'un client tente frauduleusement de demander un remboursement en abusant du système de rétrofacturation.

Une rétrofacturation est une mesure introduite par les banques dans les années 70 pour renforcer la confiance du public dans la carte de crédit (qui, à cette époque, était un nouveau genre chose). Il permet aux consommateurs de contester un paiement par carte et, une fois que la banque s'est ralliée à leur cause, de demander un remboursement.

Disons que vous partez à Santorin pour des vacances et que votre carte est volée à l'aéroport. Au moment où vous arrivez en Grèce, vous vous rendez compte que le voleur a effectué 700 $ d'achats frauduleux sur votre carte. Dans cette situation, vous pourriez (tout à fait légitimement) demander une rétrofacturation.

Le problème? Quand ce n'est pas légitime. Que ce soit de manière malveillante ou "innocemment" (clients oubliant une transaction sur leur relevé ou un cycle de facturation récurrent), les fraudeurs peuvent profiter du processus de rétrofacturation pour réclamer de l'argent sur des achats totalement valides.

Le pire ? Ainsi, lorsqu'une demande de rétrofacturation est confirmée par la banque, celle-ci vous réclame alors l'argent (ainsi que des frais en plus, pour ses problèmes !). Ajoutez cela au stock que vous avez déjà perdu au profit du fraudeur, et les rétrofacturations offrent un trop réel menace.

Le vol d'identité

En raison des films populaires traitant du sujet (Le Talentueux M. Ripley, ça vous dit ?), le vol d'identité est l'un des plus répandus. bien connu types de fraude dans le commerce électronique. Mais cela ne le rend pas moins dangereux.

Ici, un fraudeur prend faussement l'identité d'une autre personne : utilise son nom, ses informations personnelles et ses documents pour ouvrir des cartes de crédit, puis se rend dans la rue principale.

Au-delà de l'impact sur la victime, pourquoi est-ce une mauvaise nouvelle pour votre activité en ligne ? Après tout, vous vendez toujours... n'est-ce pas ?

Faux. Pensez un instant à notre exemple de Santorin ci-dessus. Très vite, la personne dont l'identité a été usurpée prendra conscience de la litanie d'achats frauduleux effectués sous son nom. et toi deviné il–élever une rétrofacturation. Lorsque la banque confirmera cela, elle réclamera l'argent retour–de vous.

Maquillage 71% de toutes les attaques, l'usurpation d'identité est de loin le type de fraude en ligne le plus courant. De plus, les fraudeurs deviennent également plus sophistiqués, utilisant désormais les appareils personnels, les adresses IP et les comptes d'utilisateurs des cibles pour assumer leur identité, ce qui en fait une menace à surveiller.

Prises de contrôle de compte

À un moment ou à un autre, lors de leurs achats en ligne, tous nos clients l'ont fait. Cochez la case « Enregistrer les détails de ma carte de crédit ». Cela leur fera gagner une minute la prochaine fois qu'ils reviendront pour effectuer un achat, c'est donc un sans hésitation, non?

Droite. À moins que ce ne soit le cas, un fraudeur est en mesure d'obtenir son aux doigts collants met la main sur les informations de connexion de ce client. Si cela se produit, le voleur a facilement accès à ses informations de paiement. Cela signifie que tout ce qu’ils ont à faire est de changer l’adresse de livraison et de commencer à acheter.

Et quand le font-ils ? Attendez-vous à des rétrofacturations de la part du vrai client, laissant votre entreprise de côté.

Logiciels malveillants et rançongiciels

Votre ordinateur continue de geler ? Y a-t-il des publicités qui apparaissent partout ? Des liens vous conduisent-ils vers la mauvaise destination ou de nouvelles icônes apparaissent-elles sur votre bureau et votre navigateur ?

Si tel est le cas, vous avez peut-être installé par inadvertance un logiciel malveillant (mal = mauvais, ware = logiciel… c'est un mauvais logiciel) sur votre appareil. Même le terme « logiciel malveillant » lui-même inclut une gamme de différents types de codes malveillants, chacun plus néfaste les uns que les autres. Il s’agit notamment des logiciels espions, des « chevaux de Troie » et code de rançongiciel qui vous bloque l’accès à votre système jusqu’à ce que vous payiez une « rançon » au pirate informatique pour y revenir.

Le problème pour les propriétaires de boutiques de commerce électronique est que les logiciels malveillants, que ce soit sur votre système ou sur celui de vos clients ou administrateurs, peuvent voler des données sensibles. Cela inclut les noms et les coordonnées de vos clients, ainsi que leurs informations de paiement. Si l'un de ces éléments est compromis, ce ne seront pas seulement des profits ou des données que vous perdrez, ce sera votre crédibilité.

De plus, les attaques de logiciels malveillants ouvrent la voie à une forme émergente de tromperie dans le commerce électronique appelée fraude « silencieuse ». Après avoir utilisé des logiciels malveillants pour accéder illégalement à un certain nombre de comptes, les fraudeurs, au lieu de voler des milliers, des centaines, des dizaines ou même des uns, glissent quelques centimes seuls. Effectués à grande échelle et avec régularité, ces vols peuvent totaliser d'énormes quantités de fonds volés. Pas si "silencieux" finalement !

Façons de protéger vos clients

Savoir quels sont les principaux types de fraude dans le commerce électronique est une chose. Mais être capable de vous protéger efficacement, vous et vos clients, contre les effets néfastes de la fraude en est une autre.

Ci-dessous, nous avons rassemblé nos meilleurs conseils pour vous aider, vous, votre clientèle et votre entreprise, à rester hors des griffes avides des fraudeurs.

Protéger les informations client

La première façon de protéger vos clients ? Sauvegarder leurs détails les plus importants. Voici comment:

Les pare-feu

En filtrant et en surveillant le trafic entrant (et sortant), les pare-feu aident à maintenir la sécurité de votre site Web, agissant, essentiellement, comme un mur littéral entre votre réseau et l'Ouest sauvage et sauvage d'Internet dans son ensemble.

Dans cette optique, les pare-feu sont essentiels non seulement pour sécuriser vos systèmes de données, mais aussi pour maintenir la conformité PCI. PCI DSS (normes de sécurité des données de l'industrie des cartes de paiement) est un ensemble de réglementations que toutes les entreprises acceptant les cartes de crédit et de débit doivent suivre. La conformité PCI est une sorte de «sceau d'approbation» qui montre à vos clients, aux régulateurs et au marché au sens large que vous pouvez faire confiance pour gérer des données sensibles.

Si vous vendez en ligne avec Ecwid par Lightspeed, votre boutique est déjà conforme à la norme PCI DSS. Ecwid by Lightspeed est un fournisseur de services de niveau 1 validé PCI DSS. Il s'agit de la norme internationale la plus élevée en matière d'échanges de données sécurisés pour les magasins en ligne et les systèmes de paiement.

Activer Deux facteurs Authentification (2FA)

Assurez-vous que 2FA est implémenté, de sorte que toute personne tentant d'accéder aux plates-formes et processus backend de votre entreprise devra se connecter via deux appareils. Si vous ou l'un des membres de votre équipe vous connectez à partir d'un ordinateur de bureau, par exemple, vous devrez également confirmer la tentative sur un autre appareil, tel que votre téléphone, pour y accéder.

Les autres variantes incluent :

• Deux étapes variation (2SV) : consiste à recevoir un une fois code ou mot de passe par e-mail, message ou appel téléphonique que vous devez saisir pour vous connecter.
• Multi-facteurs authentification : un mélange de plusieurs formes d'authentification pour l'un des plus hauts niveaux de sécurité.

Les propriétaires d'entreprise vendant en ligne avec Ecwid by Lightspeed peuvent utiliser leurs comptes Google ou Facebook pour se connecter à leur boutique Ecwid. Activer à deux facteurs protocoles d'authentification pour votre compte Google ou Facebook et ainsi protéger vos informations de connexion pour Ecwid également.

Si vous souhaitez ajouter d'autres membres de l'équipe (comme le personnel d'exécution ou un designer) à votre boutique Ecwid, ne partagez jamais votre identifiant Ecwid avec eux. À la place, créer des comptes de personnel séparés pour chaque utilisateur de votre boutique. Les comptes du personnel ont des connexions distinctes et n'ont pas accès à votre profil et à vos pages de facturation.

Utiliser une passerelle de paiement sécurisée

Si vous souhaitez offrir à vos clients le plus haut niveau de tranquillité d'esprit possible, une passerelle de paiement sécurisée est indispensable.

Une passerelle de paiement est la technologie utilisée par les commerçants pour accepter les achats par carte de crédit et de débit : les deux en personne et en ligne. Mais toutes les passerelles de paiement ne sont pas égales, notamment en ce qui concerne les frais et les délais de paiement. Assurez-vous donc de choisir celui qui convient aux besoins uniques de votre entreprise.

Ecwid by Lightspeed est intégré à des dizaines de passerelles de paiement sécurisées. Vous pouvez choisir un système de paiement qui convient à la fois à votre entreprise et à vos clients.

Plus: Comment choisir un système de paiement pour votre boutique en ligne

Partagez des conseils et des informations avec vos clients

L'un des moyens les plus simples de protéger vos clients ? Les informer.

Que ce soit par le biais d'e-mails, de SMS ou de sections dédiées sur votre site Web, informez vos clients de la fraude qui existe et comment ils peuvent s'en protéger. (Et vous aider à les en protéger !)

Assurez-vous d'indiquer clairement :

• Comment votre entreprise accueille ses clients (afin qu'ils puissent repérer les écarts)
• Comment votre entreprise n'accueille pas ses clients et ce qu'elle ne demandera pas (c'est-à-dire leurs informations de connexion ou le fait de cliquer sur un lien pour se connecter)
• Conseils clairs et pratiques pour les clients afin de protéger les détails de leur compte (si votre entreprise conserve des comptes clients)
• Comment entrer en contact si quelque chose ne va pas ou si le client a des questions
• Quels contrôles de sécurité vous introduisez, le cas échéant
• Comment le client peut mettre à jour ses coordonnées en toute sécurité
• Que faire s'ils reçoivent un e-mail frauduleux (par exemple, un fraudeur se faisant passer pour votre entreprise) et comment signaler la communication frauduleuse

Inutile de dire que ces types de communications sont vitaux. Non seulement ils inspirent confiance et offrent une excellente expérience utilisateur, mais ils contribuent également à réduire le risque que vos clients soient la proie de la fraude dans le commerce électronique.

N'oubliez pas non plus de rendre ces informations aussi accessibles que possible. Vos clients pourraient ne pas lire leurs e-mails ou lire attentivement votre site Web. Ainsi, plus vous pouvez diffuser ces conseils sur plusieurs canaux, mieux c'est !

Maintenez votre site à jour et effectuez des audits de sécurité réguliers

Plus tôt, nous avons assimilé l'Internet au sens large à une sorte de « Far West » : un État frontière où les bandits et l'anarchie abondent.

Maintenant, bien que cela puisse être un peu dur, il existe de nombreuses menaces et une myriade de méthodes par lesquelles les hameçonneurs, les pirates et les fraudeurs peuvent faire dérailler votre entreprise :

• Attaques DoS (Denial of Service) : un pirate tente d'empêcher les utilisateurs d'accéder aux services de votre site.
• Attaques DDoS (Distributed Denial of Service) : l'auteur ne vous attaque pas directement, mais utilise plutôt votre site comme un « zombie » avec lequel nuire à un autre site. Lors d'une attaque DDoS, vos serveurs sont inondés de demandes provenant d'un tas d'adresses IP introuvables, ce qui fait planter votre site et arrête le trafic et les ventes.
• Attaques par force brute : ici, les pirates attaquent votre site Web avec des milliers de combinaisons de mots de passe différentes pour tenter d'y accéder.
• Attaques de l'homme du milieu (MITM) : si votre client accède à votre site via un réseau vulnérable (c'est-à-dire un réseau Wi-Fi public), les pirates peuvent "écouter" la transaction et l'utiliser pour extraire des données sensibles.
• Injections SQL et intersite scripts : ces attaques exploitent les vulnérabilités de votre site. Lors d'une injection SQL, les pirates ciblent vos formulaires pour accéder, corrompre et voler des informations dans le backend de votre site. Dans intersite Dans les scripts, les pirates informatiques insèrent des extraits de code malveillants qui volent les informations de vos visiteurs.

Le fait que tous ces modes d'attaque existent ? C'est la mauvaise nouvelle. La bonne nouvelle, cependant, est que ces pirates sont des opportunistes. Ils recherchent des vulnérabilités dans la configuration de la sécurité et de la prévention des fraudes de votre site. Cela signifie qu'en gardant votre site à jour et en identifiant, comprenant et corrigeant régulièrement ses vulnérabilités, vous pouvez réduire le risque qu'un pirate informatique cible votre site Web et votre entreprise.

Pour ce faire, effectuez des audits de sécurité réguliers. Évaluez l'infrastructure de votre site pour détecter les failles, explorez le backend et le code (y compris les extensions et les thèmes) pour tout ce que les pirates peuvent exploiter. Assurer:

• Vos mots de passe sont forts
• Votre logiciel est à jour
• Votre site est SSL Le certificat (Secure Sockets Layer) est à jour

En parlant de certificats SSL, si vous avez créé votre site Web de commerce électronique avec Ecwid by Lightspeed, vous disposez déjà d'un certificat SSL par défaut.

Si vous avez ajouté votre boutique Ecwid à un site Web existant, vous disposez déjà du certificat SSL gratuit pour votre boutique. Cependant, le reste du site Web est une affaire distincte. Vous devez acheter un certificat SSL pour protéger les informations sensibles. Apprenez à le faire dans le Centre d'aide Ecwid.

Une autre façon de protéger votre site Web consiste à réviser la liste des comptes du personnel de votre boutique en ligne et à supprimer les membres du personnel avec lesquels vous ne travaillez plus. De cette façon, vous empêchez les pirates de profiter de ces « canaux de retour » pour accéder à votre site.

Moments clés pour protéger votre site Web

Alors, maintenant que nous avons expliqué quelle fraude rechercher et comment en protéger votre site Web, examinons les quand–à les moments clés de l’année où les pirates sont les plus actifs.

Vacances publiques

« Le Federal Bureau of Investigation (FBI) et la Cybersecurity and Infrastructure Security Agency (CISA) ont observé une augmentation des attaques de ransomwares à fort impact se produisant pendant les vacances et les week-ends – quand les bureaux sont normalement fermé aux États-Unis, pas plus tard que les vacances du 2021 juillet XNUMX. » - Sensibilisation aux ransomwares pour les vacances et les week-ends 2021.

Noël, Pâques, Memorial Day, Indépendance Jour-bien que le reste d'entre nous passe du temps avec nos familles et se détend, les hackers font tout sauf se détendre.

Distraction accrue de la part du client ou l'utilisateur final et moins de personnel et de ressources du côté de l'entreprise signifie que les conditions sont réunies pour le piratage.

Dans ce contexte, ne laissez pas votre entreprise se faire prendre. N'attendez pas les prochaines vacances pour configurer la sécurité de votre site pour réussir, ou vous vous retrouverez à devoir auditer votre site quelques jours seulement avant le long week-end de la fête des mères. Vous souvenez-vous de ce vieux proverbe chinois ?

Le meilleur moment pour planter un arbre était il y a 20 ans. Le deuxième meilleur temps est aujourd'hui.

Week-ends

Les pirates ont tendance à cibler les entreprises lorsqu'elles sont les plus vulnérables et lorsqu'elles sont fermées.

C'est pourquoi les week-ends, particulièrement longs, où les jours fériés sont impliqués, sont des opportunités mûres pour les pirates. Néanmoins, cela ne signifie pas que vous devriez baisser votre garde pendant le reste de la semaine. Les pirates, en moyenne, attaquent un nombre stupéfiant 26,000 XNUMX fois par jour, il faut donc rester vigilant.

Conclusion

À mesure que les opportunités du commerce électronique évoluent, ses menaces évoluent également.

Avec autant de statistiques alarmistes, il peut être facile de vouloir se boucher les oreilles, de fermer les yeux et d'adopter une approche "l'ignorance est un bonheur".

Mais cette mentalité ne tient pas compte du fait que ces menaces s'accompagnent d'opportunités encore plus excitantes.

Pour rendre le processus de paiement plus sûr, plus simple, plus pratique et plus cohérent que jamais. Pour développer votre marque, fidéliser vos clients et renforcer la confiance de votre public en leur montrant que vous appréciez leur vie privée et respectez la sensibilité de leurs données. Et, ce faisant, posez les bases du succès solide et durable de votre entreprise de commerce électronique.

• Confidentialité des données dans le commerce électronique : tendances émergentes et meilleures pratiques pour 2024
• L'état de la sécurité des paiements dans le commerce électronique
• Comment utiliser le protocole HTTPS et les certificats SSL pour protéger votre boutique en ligne
• 8 étapes pour protéger votre boutique contre les cybermenaces
• « Votre connexion à ce site n'est pas sécurisé"- Qu'est-ce que ça veut dire? Comment y remédier ?
• Fraude dans le commerce électronique : comment protéger votre boutique contre les escroqueries liées aux achats en ligne
• Comment protéger votre boutique en ligne contre les cybermenaces