Le test de cartes est un type de fraude consistant à essayer de déterminer si les informations d'une carte volée peuvent être utilisées pour effectuer des achats. Un fraudeur peut procéder en achetant des informations de cartes de crédit volées, puis en essayant de valider ou d'effectuer des achats avec ces cartes afin de déterminer lesquelles sont encore valides. Cette technique est aussi appelée « test de compte » ou « vérification de carte ».

Les activités frauduleuses telles que les tests de cartes sont inévitables dans le commerce en ligne. Les tests de cartes ont toutefois des conséquences sur l'ensemble de l'écosystème des paiements. C'est pourquoi les marchands, les réseaux de cartes et les partenaires de paiement tels que Stripe partagent la responsabilité de les empêcher. Stripe améliore constamment les outils et les systèmes pour détecter et limiter la fraude, mais il est nécessaire de faire preuve de vigilance.

Fonctionnement des tests frauduleux de cartes bancaires

Les testeurs de cartes utilisent à la fois les autorisations et les paiements pour déterminer si les informations de carte volées ou générées sont valides ou non.

• Autorisations : il s'agit de la méthode privilégiée par les testeurs de cartes, étant donné que les autorisations ne figurent généralement pas sur les relevés des titulaires de cartes. Il est ainsi moins probable que ces derniers remarquent ou signalent l'activité frauduleuse.
• Paiements : les testeurs de cartes préfèrent réaliser des paiements dont le montant n'est pas trop élevé, qui risquent moins d'être remarqués et signalés comme frauduleux par les titulaires de carte. C'est pourquoi leurs cibles privilégiées sont les sites caritatifs et les entreprises spécialisées dans les achats de faible montant.

Conséquences

Le test de cartes a de nombreux aspects négatifs, dont certains empirent au fil du temps :

• Litiges : les tests de cartes génèrent parfois des paiements réussis. Les clients constatent les paiements réussis et les déclarent comme étant frauduleux, ce qui entraînera des litiges coûteux qui vous feront perdre du temps.
• Taux de refus de paiement plus élevé : les tests de cartes entraînent généralement une augmentation du taux de refus de paiement pour votre entreprise. Un taux de refus de paiement élevé peut ternir la réputation de votre entreprise auprès des émetteurs et des réseaux de cartes, et vos transactions peuvent par conséquent sembler plus risquées. Cela peut entraîner une hausse du nombre de paiements légitimes refusés, même une fois que l'activité de test de cartes a cessé.
• Frais supplémentaires : les tests de cartes bancaires peuvent entraîner des frais supplémentaires, par exemple des frais d'authentification pour les plans tarifaires personnalisés et des frais de litige.
• Mobilisation de l'infrastructure : les tests des cartes génèrent habituellement de nombreuses requêtes et opérations sur le réseau. Ce trafic supplémentaire peut surcharger votre infrastructure au détriment de votre activité légitime.
• Intégrité de l'écosystème menacée : les tests de cartes ayant un impact négatif sur l'ensemble du système financier, nous souhaitons vous aider à y mettre un terme.

Liste de contrôle des tests frauduleux de cartes

Si votre intégration est la cible de testeurs de cartes, nous vous recommandons de prendre immédiatement les mesures suivantes :

• Identifiez le test de carte bancaire.
• Remboursez les paiements frauduleux pour éviter tout litige.
• Contactez l'équipe d'assistance de votre plateforme pour demander l'ajout de mesures d'atténuation supplémentaires à votre compte afin de limiter les tests de cartes.
• Contrôlez votre compte pour vous assurer que les mesures d'atténuation prises sont efficaces.

Identifier les tests frauduleux de cartes

Vous pouvez identifier la plupart des tests frauduleux de cartes par une augmentation significative des refus de paiement. Les paiements bloqués à cause d'un test de cartes sont indiqués tels quels lorsque vous affichez les informations de paiement des transactions bloquées.

Empêcher les tests frauduleux de cartes

Les testeurs de cartes recourent à des techniques très diverses pour vous empêcher de bloquer leur activité frauduleuse. Par conséquent, de simples règles et filtres de pare-feu basés sur des dispositifs tels que les chaînes d'agent utilisateur ne suffisent généralement pas à empêcher les tests frauduleux de cartes.

Stripe, partenaire de votre plateforme, a mis en place un certain nombre de contrôles automatisés et manuels pour limiter les tests frauduleux des cartes, notamment des outils de limitation de requêtes, des alertes, des modèles d'apprentissage automatique, des vérifications constantes, etc. Lorsque Stripe détecte pour la première fois que vous faites l'objet d'une attaque par test de cartes, elle applique autant de contrôles que possible pour limiter l'attaque.

Cependant, le fait d'inclure les informations suivantes dans vos paiements peut avoir des répercussions importantes sur la performance des modèles de test des cartes.

• Adresse IP
• Adresse de courriel du client
• Nom du client
• Adresse de facturation