Indahax - Pierre Noguès
Twitter Facebook Linkedin email

Détection de la fraude: les critères du scoring

Le 03/01/2009 dans Hacking

Cet article traite des techniques de détection de la fraude en ligne effectuées par des services comme FIA-NET ou minFraud.

Un jour j'ai fait un achat sur le net, j'avais acheté pour environ 800€ de matos informatique, commandé de mon domicile avec adresse de livraison à mon domicile et paiement avec une carte de crédit à mon nom...

Pourtant j'ai eu droit à un contrôle FIANET ! Ces contrôles vous obligent à envoyer photocopie de pièce d'identité, RIB et d'autres merdes. Ils ne sont pourtant pas effectués sur des gens au hasard ils interviennent en fonction du "scoring" que FIANET vous a attribué.

En réalité, la raison de mon contrôle FIANET a probablement été due à mon adresse @hotmail.it car elle comporte 2 gros points négatifs: tout d'abord hotmail est une adresse de type gratuit très mal vue, ensuite une extension .it alors que je commande en France parait également suspect !

A ça on ajoute un montant de 800 € qui ne fait qu'empirer le scoring de mon évaluation :(

  • Les critères du scoring

Voici les différents critères qui vont définir le scoring, il ne représente en rien une liste exhaustive des critères de FIANET mais proviennent des recherches que j'ai pu effectuer sur les forums de e-commerce et les logiciels de détection de fraude.

Certains de ces contrôles peuvent être effectués automatiquement tandis que d'autres auront besoin d'être faits manuellement.

  • Pays de l' adresse IP de la commande différent de celui de l'adresse de livraison: très suspect, contrôle systématique.
  • Pays de l' adresse IP de la commande différent du pays de la carte bancaire: très suspect, contrôle systèmatique. Détecter le pays d'une carte bancaire est faisable grâce aux premiers chiffres de cette dernière par exemple: 
    4974;Visa;BNP
4975;Visa;La Bred
4976;Visa;Sofinco
4978;Visa;Caisse d Epargne
    Une bonne liste est disponible ici .
  • Adresse email de type gratuit (@hotmail,@yopmail,@yahoo,...).
  • TLD du domaine de l'email représentant un pays différent de l'adresse de livraison.
  • Adresse de livraison absente dans les pages blanches.
  • Numéro de téléphone portable au lieu de fixe.
  • Numéro de téléphone ne correspond pas avec le numéro des pages blanches: suspect.
  • Présence de header proxy: très suspect.
  • Utilisation d'une ip, adresse email, adresse, nom ou password (dans la mesure du possible ), carte bancaire répertoriée: contrôle lourd, proposer un autre mode de paiement. En effet FIANET sauvegarde tous paramètres correspondants aux fraudes ayant déjà eu lieu.
  • Utilisation d'un proxy public, d'un noeud tor: très négatif, contrôle systématique.
  • Plus le montant de la commande est élevé plus le risque de contrôle est grand.
  • IP Geolocalisation: Plus la distance entre l'adresse IP du client et l'adresse de livraison est grande plus le risque de contrôle est grand.
  • Livraison dans les boites postales: suspect.
  • Contrôle humain: Information Nom/Prénom/Adresse suspect et incohérent.
  • Contrôle humain: Achat de produit compact, cher et en plusieurs quantités ( genre plusieurs ipod ou plusieurs laptop ).
  • Un système infaillible ?

Bien entendu le système n'est pas infaillible, mais on peut être sur qu'il bloquera automatiquement un grand nombre de tentives de fraude. Pour passer entre les mailles du filet il faudrait alors:

  • Une commande d'un montant maximum de 200€ (après ça dépend du type du magasin ).
  • Utiliser une carte bancaire française: facile.
  • Avoir une ip française, utilisation d'un proxy privé opaque++ sans header: s'achète facilement avec des CC volés car pas cher, mais complique déjà la tache du hacker.
  • Une ip dans la ville de livraison (hacking WIFI / point d'accès public): Assez facile .
  • Une adresse de livraison: Squat de hall, utilisation de passe PTT, certains facteurs habitués déposent les colis dans les cages d'escalier sur les boites au lettre, ou alors plus difficile, empreint d'appartement.
  • Avoir une adresse et un numéro de téléphone dans les pages blanches complique la tâche.

Ces moyens sont à la disposition de n'importe quel individu motivé...

  • Des statistiques

Ici je parle de statistiques correspondants à la fraude effective ( c'est-à-dire que les tentatives de fraudes détectées qui ont échouées ne sont pas prises en compte ).

Selon le rapport annuel de l'observatoire de la sécurité des cartes de paiement, le montant total des fraudes s'élève à 26.4 millions d'euros en 2007 ce qui représente 0.28 % du montant total des transactions ayant eu lieu sur internet. Ces statistiques sont basées sur l'utilisation des cartes bancaires françaises avec des ecommerces français.

Selon le livre blanc de FIA-NET cela représente 2.7 millions d'euros soit 0.16% du montant total des transactions. Ces statistiques sont différentes car elles reposent sur un échantillon de 900 commerçants ( ce qui explique le montant plus faible ) possédant tous le système d'antifraude de FIA-NET (ce qui explique pourquoi le pourcentage est plus faible).

Je n'ai pas réussi à récupérer les statistiques du FEDAV, je sais qu'elle tourne aux alentours de 0.12 % mais je ne sais pas trop sur quoi elles reposent.

26.4 millions d'euros / an ça fait quand même beaucoup d'argent (même si le taux de fraude reste faible), je me demande à qui profite cet argent ? Groupe de cybercriminel roumain implanté en France ? Hackers blackhat indépendants ? Ou simple client malveillant utilisant sa propre carte bleu et réfutant le paiement ? Mystère, pas de statistique là-dessus.

Plus tard je parlerai peut-être de l'origine de ces cartes bancaires volées.

Le protocole COD4 et les clef...
Tous les articles
Nmap haxor