Introduction

WL Sips est une solution de paiement de commerce électronique multicanale sécurisée conforme à la norme PCI DSS. Elle vous permet d’accepter et de gérer des transactions de paiement en prenant en compte les règles métiers liées à votre activité (paiement à la livraison, paiement différé, paiement récurrent, paiement en plusieurs fois , …).

L’objectif du présent document est de décrire le système anti-carding fourni par WL Sips et d'expliquer comment le mettre en œuvre et le configurer.

À qui s’adresse ce document

Ce document est destiné aux commerçants qui souhaitent profiter du système anti-carding.

Pour avoir une vue d’ensemble de la solution WL Sips , nous vous conseillons de consulter les documentations suivantes :

  • Présentation fonctionnelle ;
  • Guide de Configuration des fonctionnalités.

Vue d'ensemble

Le « carding » est une méthode frauduleuse de vérification en masse de la validité de numéros de cartes volés ou générés. Les plates-formes de paiement en ligne sont les cibles principales des « cardeurs » car elles permettent de générer rapidement un grand nombre de transactions sur les numéros de cartes à vérifier. Les transactions sont de petit montant afin de ne pas éveiller de soupçons. Protéger le système de paiement de l'attaque de « cardage » est donc l’une des priorités des marchands du web.

Le système anti-carding de WL Sips consiste à :

  • détecter l'attaque du carding ;
  • vous alerter et protéger votre système de paiement en cas d'attaque ;
  • accompagner votre site pour filtrer les transactions normales des transactions cardées ;
  • et enfin rétablir l'activité standard.

Description fonctionnelle

Détection de carding

Critères de détection

Les boutiques peuvent souscrire à l'option « système anti-carding » pour activer la surveillance anti-carding. Cette surveillance consiste à effectuer les vérifications ci-dessous pour chaque transaction de l'eShop :

  • surveillance sur le pourcentage de transactions refusées par heure glissante : si, sur une heure glissante, la proportion des transactions refusées en regard du nombre total de transactions dépasse le seuil autorisé, cela laisse penser qu’une activité frauduleuse de vérification de numéros de cartes est en cours et la boutique est considérée comme cardée. Cette vérification est alors effectuée systématiquement à chaque transaction et ne peut pas être désactivée. En revanche, le seuil (proportion critique d’échecs) déclenchant l’alerte peut être paramétré ;
  • surveillance sur le pourcentage de transactions à petit montant : si, sur une heure glissante, la proportion de transactions à petit montant sur le nombre de transactions effectuées dépasse le seuil autorisé, la boutique est considérée comme cardée. Cette règle est optionnelle : le distributeur peut choisir de l’activer ou non et peut modifier le seuil autorisé.

Afin d’éviter les faux positifs, ces deux vérifications ne sont déclenchées qu’à partir d’un volume de transactions minimum effectué sur la journée.

Interfaces éligibles

La surveillance anti-carding fonctionne sur :

  • Sips Paypage  ;
  • Sips Walletpage  ;
  • Sips Office service cardOrder  ;
  • Sips Office service cardValidateAuthenticationAndOrder .

La surveillance ne se déclenche pas dans les cas suivants :

  • les transactions avec authentification 3-D Secure réussie (statut SUCCESS et ATTEMPT) ;
  • les transactions OneClick ;
  • les transactions token ;
  • les transactions non carte ;
  • les transactions créées via l'opération duplicate et recycle.

Défense anti-carding et alerte

Déclenchement du système de défense

Dès que la surveillance détecte une attaque de carding sur une boutique, le système de défense est déclenché automatiquement. Il consiste à :

  • effectuer des contrôles antifraudes stricts afin de diminuer la probabilité d’accepter des fausses transactions générées par le carding. Les contrôles stricts contiennent :
    • le contrôle de concordance entre le pays de la carte et le pays du marchand. Toutes les transactions provenant d’une carte dont le pays est différent de celui du marchand sont refusées,
    • le contrôle de concordance entre le pays de l’adresse IP du client et le pays du marchand. Toutes les transactions provenant d’une adresse IP dont le pays est différent de celui du marchand sont refusées.
  • bloquer l’envoi de la remise automatique du soir pour vous laisser le temps d’identifier les fausses transactions afin de ne pas débiter les cartes victimes du carding. Le blocage de remise automatique est une option. Toutes les transactions du jour sur la boutique sont concernées. Si le distributeur ne souhaite pas pénaliser le temps de débit, il peut ne pas choisir cette option. Dans ce cas-là, la remise est envoyée en mode standard avec le risque de remiser les fausses transactions.

Envoi d'alerte

Au moment du déclenchement du système de défense, des e-mails d’alerte sont envoyés aux contacts du distributeur et au support clientèle de WL Sips afin d’avertir de la survenue d’une attaque de carding. L’avertissement du marchand est de la responsabilité du distributeur.

La liste de contacts est paramétrable au niveau distributeur.

Le contenu d'un e-mail d'alerte contient :

  • le nom de la boutique concernée ;
  • l'heure de déclenchement du système de défense ;
  • la raison du déclenchement de l'alerte ;
  • les contrôles déclenchés pour la défense ;
  • etc.

Un exemple d'e-mail d'alerte se trouve en annexe .

Évaluation, sécurisation et purge

Évaluation

Quand une alerte survient, il est important de réagir rapidement afin de savoir s’il s’agit d’une attaque réelle ou d’une fausse alerte.

Pour cela, il est nécessaire de comparer les transactions WL Sips avec les transactions dans votre système de prise de commande. Les fausses transactions générées par le carding ne sont pas présentes dans votre système de commande. Les transactions WL Sips sont consultables via Sips Office Extranet et MEX .

Si pour toutes les transactions WL Sips il existe une commande correspondante, il s’agit d’une fausse alerte. Vous devez donc passer directement au rétablissement de l’activité standard .

En cas de besoin, le distributeur peut contacter le support clientèle de WL Sips .

Sécurisation

En cas d’attaque réelle, il est important que vous effectuiez rapidement des actions de sécurisation afin de protéger votre site. Selon le type d’attaque, les actions peuvent être :

  • changement de certificat ou de clé secrète ;
  • modification de règles antifraude ;
  • modification de site web ;
  • etc.

Purge

Suite à la sécurisation du site, vous devez purger vos opérations.

On distingue trois types de transactions inhabituelles :

  • les fausses transactions générées par le carding et acceptées indûment par WL Sips . Ces transactions sont présentes et acceptées dans le système WL Sips , mais non présentes dans votre système de commande. Vous devez annuler (ou ne pas valider, selon le mode de capture de la transaction) ces transactions via Sips Office Extranet , MEX ou les opérations via web service. Vous pouvez également communiquer avec le support clientèle de WL Sips et demander une intervention manuelle en cas de volume important ;
  • les fausses transactions gérées par le carding et refusées par WL Sips . Ces transactions sont présentes et refusées par le système WL Sips , mais non présentes dans votre système de commande. Il n’y a pas besoin de traitement spécifique sur ces transactions, elles sont conservées dans la base de données pour des analyses futures ;
  • les vraies transactions refusées par WL Sips , ceci étant dû aux contrôles stricts déclenchés suite à la détection de carding. Il n’y a actuellement pas de traitement spécifique pour ces transactions.

Rétablissement de l'activité standard

Le rétablissement de l'activité consiste à :

  • changer le statut de la boutique de « cardée » à « standard » ;
  • désactiver les contrôles stricts de défense ;
  • débloquer la remise si elle a été bloquée.

Pour le rétablissement de l’activité veuillez contacter votre support clientèle de WL Sips .

Suite au changement de statut de la boutique, la surveillance standard est remise en route.

Certains événements tels que des soldes ou des opérations à prix cassés peuvent provoquer un grand nombre de transactions de petit montant sur les boutiques. Dans ce cas, ces transactions légitimes peuvent être interprétées comme une tentative de carding. Il est donc nécessaire de désactiver temporairement la protection anti-carding pendant la période de l’événement. Si vous souhaitez le faire, vous devez en faire la demande au support clientèle avant le commencement de la promotion.

Configuration de l'anti-carding

La configuration de l'anti-carding se compose de trois parties :

  • la configuration générale ;
  • le profil de détection ;
  • le blocage de la remise.

Configuration générale

Le distributeur doit fournir le nom, l’e-mail et le téléphone d’un contact distributeur. C’est ce contact qui sera prévenu en cas d’alerte.

Profil de détection

Pour le contrôle des transactions refusées, le distributeur doit fournir :

  • le nombre de transactions à partir duquel le système commence à vérifier le taux de refus. En dessous de ce seuil, le calcul de pourcentage est considéré comme non significatif. Ce nombre de transactions est compté sur la journée à partir de minuit ;
  • et le pourcentage de transactions refusées (autorisation échouée) déclenchant l’alerte. Si ce seuil est atteint, l’alerte et la défense de carding sont déclenchées.

Si le distributeur souhaite le contrôle de transactions à petit montant (ce contrôle est facultatif), il doit fournir :

  • le nombre de transactions à partir duquel le système commence à vérifier le taux de transactions à petit montant. En dessous de ce seuil, le calcul de pourcentage est considéré comme non significatif. Ce nombre de transactions est compté sur la journée à partir de minuit ;
  • le seuil du petit montant. Les transactions dont le montant est inférieur ou égal à ce seuil sont considérées comme des transactions à petit montant ;
  • et le pourcentage de transactions à petit montant déclenchant l’alerte. Si ce seuil est atteint, l’alerte et la défense de carding sont déclenchées.

Blocage de la remise

Le distributeur doit indiquer s'il souhaite bloquer l'envoi de la remise en cas de carding détecté.

Annexes

Annexe 1 : exemple d'e-mail d'alerte