Ces dernières années, le secteur bancaire, les services financiers et les fintechs ont pris conscience des risques posés par l’ingénierie sociale (l'ingénierie sociale est, dans le contexte de la sécurité de l'information, une pratique de manipulation psychologique à des fins d'escroquerie).
Cependant, les fraudeurs ne se préoccupent ni des réglementations, ni des clients ou ni de l’éthique. Ils agissent rapidement et de façon opportuniste en utilisant les technologies et les outils les plus récents, sans avoir à s’encombrer d’un cahier des charges ou d’une feuille de route. Les fraudeurs évoluent toujours plus rapidement que les systèmes de sécurité. Aujourd’hui, il existe une menace majeure, moins connue que l’ingénierie sociale : la vulnérabilité des appareils mobiles de vos clients, en particulier de leurs téléphones.
Pourquoi le téléphone de votre client est un vecteur d’attaque potentiel ?
Les fraudeurs peuvent accéder aux données d’un téléphone et le cloner de plusieurs façons. Par exemple, ils peuvent utiliser un scanner de carte SIM grâce à un petit appareil qui leur permet de scanner un téléphone situé à faible distance, ou encore grâce une application qu’ils téléchargent sur leur propre mobile. Ces méthodes leur permettent d’obtenir les informations clés du téléphone et ainsi de répliquer l’identité numérique du propriétaire.
Ils peuvent également adopter une technique de « SIM swapping », comme celle utilisée pour prendre le contrôle du compte de Jack Dorsey. Cela permet aux fraudeurs d’intercepter les mots de passe à usage unique envoyés par SMS, afin de contourner de nombreuses méthodes d’authentification à deux facteurs, y compris pour les comptes bancaires. Le piratage biométrique peut également aider les criminels à contourner les applications d’authentification téléphonique. Cela peut être réalisé en accédant aux données biométriques sur le dark web ou en prenant une photo de l’iris ou du doigt d’une personne et en fabriquant un moule de leur doigt.
Un fraudeur peut simplement observer une personne entrer son code PIN et lui voler sontéléphone - non pas pour le téléphone en lui-même, mais pour accéder à ses données financières et ses applications bancaires.
Ces types d’attaques peuvent se produire pratiquement n’importe où. Cependant, pour causer le plus de dommages possibles, les fraudeurs ont besoin de temps pour infiltrer les comptes de leurs victimes. Par conséquent, les attaques les plus courantes ont lieu dans les aéroports ou les festivals, là où les gens ont tendance à être distraits un long moment. Ils sont également moins susceptibles d’utiliser leur téléphone ou vérifier leur compte bancaire. Dans ces situations, une personne peut passer de longues heures, voire plus d’une journée sans se rendre compte que son solde bancaire a baissé. Et même si elle se rend compte qu’elle a perdu son téléphone, elle se dit très certainement que les fonctionnalités d’authentification comme le code PIN et la reconnaissance faciale permettent de protéger ses données sensibles.
Le défi de la fraude aux apparences ambigües
Ces différents types d’attaques frauduleuses sur mobile (où des informations d’identification apparemment authentiques sont utilisées pour accéder aux données financières), posent un énorme défi, autant pour les clients que pour les institutions financières.
Un exemple : à Londres, début 2023, un pickpocket vole un téléphone portable. Bien que très contrariée, la victime n’a pas pensé à vérifier son compte bancaire avant le lendemain matin. Entre temps le voleur a utilisé ses applications bancaires et dérobé plus de 20 000 £. Sa banque, Barclays, a mené une enquête interne sur cette fraude. Elle a fini par conclure que la victime était responsable de ses pertes, car il semblait que le code PIN ait été saisi pour accéder aux fonds.
Cet exemple est un problème courant. Si une transaction est effectuée à partir d’un compte où chaque information de connexion, les métadonnées et parfois même les données biométriquessemblent appartenir au titulaire du compte, comment déterminer qu’il s’agit bien d’une fraude ?
L’authentification de compte Fourthline – une méthode légère pour vérifier l’identité
Pour lutter contre ce type de fraude aux apparences ambigües, il est tentant de regarder du côté des indicateurs classiques comme des retraits importants, des emplacements inhabituels ou d’autres activités suspectes, et de bloquer temporairement la carte.
Mais cette approche n’est pas optimale. Elle pourrait frustrer, agacer et même embarrasser votre client s’il s’agit en réalité d’une transaction légitime. Si la situation venait à se répéter, le client pourrait partir, entraînant une perte de revenus. A l’inverse, il n’est pas possible d’approuver de grosses transactions d’apparence ambigüe pour toutes sortes de raisons financières et de réputation.
Pour protéger votre client, votre réputation et vos revenus, il vous faut un moyen non-intrusif, précis et rapide afin de garantir que la personne effectuant une transaction suspecte est bien la propriétaire du compte. C'est là qu'une solution comme l'authentification de compte Fourthline peut s'avérer utile.
En bref, voici comme cela fonctionne :
• Vos règles en cas d’activité suspecte (montant important, appareil différent, emplacement inhabituel, etc.) alertent Fourthline via un appel API.
• Le client est invité à vérifier son identité via un contrôle biométrique où il regarde la caméra du téléphone et tourne la tête de gauche à droite. Pendant ce temps, Fourthlinevérifie également une série de métadonnées du téléphone, y compris les paramètres linguistiques, qui ont une forte corrélation avec les activités frauduleuses. Un élément important : la technologie propriétaire de Fourthline est capable de stopper tous types de fraudes biométriques, y compris les photos ou les vidéos volées, ou générées par l’IA, les masques en silicones, et plus encore…
• Si la personne est titulaire du compte, la transaction peut continuer, sinon, elle est interrompue.
L'authentification de compte Fourthline est si efficace que certains établissements qui n’utilisent pas son processus d’onboarding KYC ont détecté plus de fraudes que lors de leurprocessus d’onboarding KYC initial. De plus, Fourthline peut aider à gérer la sécurité des comptes et partager avec ses partenaires son analyse des tendances en matière de fraude.
Revenons à l’exemple londonien évoqué. Dans cette malheureuse situation, la victime a été considérée responsable de la perte de son argent car la banque a affirmé que le retrait était légitime. Mais avec une solution comme l’authentification de compte Fourthline, ce type de suspicion de fraude, où d’importantes sommes sont retirées dans un laps de temps très court, pourrait être stoppé par une simple étape d’authentification légère. Au lieu de cela, le client a perdu une grosse somme d'argent, la banque a pâtit d'une atteinte à sa réputation et ce problème a entraîné des dépenses et un investissement en temps inutiles pour toutes les personnes impliquées.
Arrêtez les fraudeurs, pas les clients !
L’ingénierie sociale reste une menace constante pour les données financières des consommateurs. Mais la fraude évolue rapidement. Des vérifications rapides et non intrusives, telles que celles offertes par l’authentification de compte Fourthline présentent de nombreux avantages. Elles aident à instaurer de la confiance, car les clients apprécieront qu’une vérification soit effectuée, sans compromettre la qualité de leur expérience. Elles réduisent la fraude, sans pour autant bloquer les transactions légitimes qui peuvent sembler suspectes. A grande échelle, elles ont un impact positif sur les revenus.
