Bonjour, j’espère que tu vas bien et que tu as bien pensé à t’abonner au podcast Marketing301 sur Apple podcast ou sur iTunes car dans les semaines qui viennent je vais lancer un grand concours pour gagner une tablette et seules les personnes qui se seront abonnées d’une manière ou d’une autre à Marketing301 pourront participer au tirage au sort. Donc abonne-toi dès maintenant !
Aujourd’hui on va parler d’un sujet qui touche malheureusement tous les marchands en ligne sans exception : on va parler de la fraude à la carte bancaire sur ta boutique en ligne.
J’ai bien dit la fraude à la carte bancaire.
Si tu viens de te lancer et que tu n’as pas encore été confronté à ce genre de problème, tu vas vite te rendre compte que tu ne fais pas exception à la règle qui dit que tous les e-commerçants sont un jour ou l’autre victime d’achats frauduleux, notamment avec des cartes bancaires volées.
En revanche, si tu as déjà été victime de ça, je t’invite à nous partager ton expérience sur la page Facebook marketing301. Dans cet épisode je vais te donner les 5 conseils que je donne à mes clients et les choses qu’on a mises en place sur le site e-commerce de l’une de mes sociétés.
Tu vas voir qu’il n’y a rien de miraculeux, mais si tu appliques mes conseils dès la fin de cet épisode, tu vas vraiment réduire le risque de te faire avoir.
1 138 200, c’est le nombre de cartes bancaires françaises qui ont été piratées en 2016.
Ce chiffre a été dévoilé dans une étude de l’observatoire de la sécurité des moyens de paiement. Ça montre bien à quel point il est relativement courant d’être victime de ce genre d’escroquerie, qu’on soit propriétaire de la carte volée ou e-commerçant.
Alors avant de voir comment résoudre ce problème, je vais t’expliquer comment fonctionne ce marché parallèle sur internet. Je vais te parler ici du marché noir sur lequel tu peux acheter des numéros de cartes bancaires volées. Évidemment, il y a d’autres moyens de se faire voler sa carte, à commencer par les cambriolages par exemple, mais là je vais plutôt de parler de ce qui se fait sur le web.
Par exemple, quand un site se fait pirater, et ça arrive plus souvent qu’on ne le pense, le pirate, s’il est intelligent et s’il n’est pas uniquement là pour casser ton site, va modifier discrètement ta page de paiement de façon à ce que ce soit lui qui reçoive les numéros de CB de tes clients plutôt que ta banque. Le problème, c’est qu’il peut se passer pas mal de temps avant que tu ne t’aperçoives du problème. Et pendant ce temps, toutes les CB de tes clients tombent directement dans les mains du pirate.
Ensuite, ce pirate, soit il va utiliser lui-même les numéros de CB qu’il a volés, soit il va revendre ces numéros sur le Dark web. Alors si tu ne sais pas ce qu’est le Dark web, je t’invite à faire une recherche sur YouTube ou sur Google, tu trouveras plein d’explication, mais pour faire court, c’est une partie du web qui est cachée à la plupart des internautes. Pour y accéder, tu dois par exemple utiliser un navigateur spécial, qui s’appelle Tor et qui permet en partis de masquer ton identité.
C’est pour ça que tu peux retrouver tout plein de choses illégales sur le Dark Web comme des numéros de cartes bancaires volées.
J’en profite pour faire une parenthèse sur le service Perceval qui permet à n’importe quelle victime qui s’est fait voler sa CB de déclarer ce vol.
Bref !
Une fois que ces CB sont mises en vente, elles peuvent être achetées par à peu près n’importe qui et être utilisées sur n’importe quelle boutique en ligne pour acheter des choses.
Du point de vue du e-commerçant qui reçoit la commande, le problème c’est qu’il y a de grandes que l’argent que tu as reçu soit repris parla banque une fois que tu auras envoyé ta marchandise. Et en général, l’escroc qui a passé commande sur ton site ne t’a évidemment pas indiqué sa vraie identité ni une adresse de livraison qui lui appartient. Donc en gros, tu t’es fait voler de la marchandise qui ne sera probablement jamais retrouvée.
Mais alors, comment éviter de se faire avoir et comment détecter des commandes potentiellement frauduleuses ?
Utiliser le protocole 3D Secure.
Mon premier conseil, c’est de mettre en place le protocole de sécurité 3D Secure. Pour mettre ça en place, il faut que tu vois directement avec ta banque, mais c’est un service qui va obliger tes acheteurs à valider un code qu’ils ont reçu par SMS pour que le paiement soit pris en compte.
Ça peut paraître embêtant, mais c’est le meilleur service aujourd’hui qui permet de limiter les commandes avec des CB volées. En fonction du CMS que tu utilises pour ton site, il y a parfois des modules ou des plugins qui permettent d’activer le 3D Secure uniquement à partir d’un certain montant de commande. Ça évite par exemple aux clients qui passent des petites commandes de quelques euros de devoir vérifier un SMS pour valider un achat car évidemment cette pratique ne va pas dans le sens de l’expérience utilisateur et ça rajoute une étape dans ton processus de vente ce qui n’est pas super optimal quand on essaie plutôt, en tant que vendeur, de simplifier au maximum le processus d’achat des clients.
Donc mon premier conseil c’est de mettre en place le 3D Secure directement avec ta banque.
Surveiller les commandes successives.
Ensuite, mon 2è conseil, c’est de surveiller les commandes successives d’un même client. Ça peut paraître anodin à première vue, mais un client qui fait plusieurs commandes successives, d’un montant similaire à chaque fois, peut cacher une tentative de fraude à la carte bancaire. Donc si tu es confronté à ce genre de cas, je t’invite par exemple à contacter le client pour savoir s’il ne préfère pas grouper ses commandes pour éviter de multiplier les frais de port.
Cette technique de multiplier les petites commandes c’est peut-être aussi parce que justement, comme je te l’ai conseillé juste avant, tu as mis un palier en dessous duquel le 3D Secure n’est pas actif et donc l’escroc lui, va faire en sorte de passer des commandes qui ne déclenchent pas le 3D Secure.
Donc pour remédier à ce problème, tu peux par exemple mettre en place un plafond d’achat quotidien de quelques centaines d’euros pour un même compte client ou mettre une limite en termes de nombre de commande par jour. Pour définir le plafond ça dépend des produits que tu vends mais tu peux déjà te fixer sur la moyenne des achats de tes clients et mettre en place une limite peut-être légèrement supérieure pour ne pas non plus bloquer tes clients légitimes.
Se méfier des commandes multiples.
Ensuite, mon 3è conseil, c’est de te méfier des commandes multiples par carte. Par exemple, si tu as un nouveau client qui vient de s’inscrire sur ton site et qui pour une première commande sélectionne une quantité élevée d’un même produit, ça peut être quelqu’un qui cherche à dépenser un maximum et le plus vite possible avant que la personne qui s’est fait voler sa CB ne fasse opposition.
Donc si tu es dans ce cas, n’hésite pas là aussi à contacter le client pour confirmer son identité par téléphone par exemple.
Mettre en place un suivi de colis.
Ensuite, mon 4è conseil, c’est d’envoyer tes colis soit en recommandé, soit au moins avec un numéro de suivi. Alors là c’est pour éviter une fraude un peu différente, c’est pour éviter la fraude qui consiste à te dire qu’il n’a jamais reçu ton colis. Si tu n’as pas de suivi il te sera impossible de savoir si ton client dit vrai ou non.
Donc même si c’est un peu plus cher, tu dois absolument envoyer tous tes colis au moins avec un numéro de suivi. Ne serait-ce qu’au niveau des assurances, ça peut te permettre toi aussi de te faire dédommager auprès du transporteur.
Comparer l’IP de l’acheteur.
Enfin, mon dernier conseil, c’est de vérifier l’IP d’un client qui peut te paraître suspect. En général les systèmes e-commerce te permettent assez facilement de connaître l’IP de tes acheteurs. Alors même si c’est vrai que l’IP n’est pas forcément fiable sur l’identification de son utilisateur, au moins ça te permet de comparer le pays de l’IP avec le lieu de livraison.
Si par exemple, tu vois que tu as un client qui te passe une commande depuis une IP en Ukraine et qu’il a renseigné une adresse de livraison à Paris, tu peux suspecter qu’il s’agit de quelqu’un qui passe justement par un proxy ou un navigateur comme TOR, qui à la particularité de passer par des IP différentes de la tienne pour naviguer sur internet, pour masquer son adresse IP personnelle. Et là dans ce cas, tu peux soit contacter le client pour vérifier son identité, soit tout simplement annuler la commande.
Donc voilà pour les conseils que je donne à mes clients et que je mets également en pratique dans mes entreprises.
Surtout ce qu’il faut retenir, c’est que ce n’est pas parce que tu vois l’argent d’une commande sur ton compte bancaire, que cet argent ne va pas être repris par la banque. Parce que OUI, dans le cas d’une CB volée, le paiement peut très bien passer, mais dès que la personne à qui on a volée la carte bancaire va faire opposition auprès de sa banque à elle, l’argent va repartir instantanément. Et toi, si tu as déjà envoyé ta marchandise et bien il est trop tard.
EN CONCLUSION
Si cet épisode t’a plus et que tu penses qu’il pourrait aider quelqu’un de ton entourage à se protéger des fraudes à la CB, n’hésite pas à lui partager l’épisode soit par email, soit sur Facebook, twitter ou autre, ça ne te coûte rien et ça pourrait aider cette personne à ne pas se faire voler ou tout du moins à mieux sécuriser ses ventes.
Si tu veux également retrouver tout ce que je partage avec la communauté Marketing301 au quotidien, je t’invite à me rejoindre sur la page Facebook Marketing301. Tu tapes simplement Marketing301 sur Facebook et tu devrais me retrouver assez facilement.
Sur ce, je te souhaite une très bonne semaine et je te donne rendez-vous la semaine prochaine pour un nouvel épisode de Marketing301.