Gestion des attaques de type carding
Les attaques par carding se produisent lorsque des fraudeurs utilisent des numéros de carte de crédit volés pour acheter des articles dans des magasins en ligne. Ils essaient rapidement de nombreux numéros de carte différents, espérant que certains fonctionneront.
Si une transaction frauduleuse passe
- Le titulaire légitime de la carte demandera probablement un remboursement.
- Vous perdrez de l'argent sur les marchandises que vous avez expédiées.
- Votre acquéreur pourrait imposer des pénalités.
- Vous pourriez faire l'objet d'une enquête criminelle si cela se produit fréquemment.
Pour minimiser les dommages potentiels, laissez-nous vous guider en expliquant comment :
- Détecter les attaques par carding.
- Mettre en œuvre des précautions et des contre-mesures efficaces.
Vous avez peut-être externalisé la gestion de votre activité de transactions et/ou la maintenance de certaines de vos applications à des tiers (c'est-à-dire des développeurs de logiciels). Assurez-vous qu'ils suivent également ces lignes directrices.
Détection des attaques par carding
Vous pouvez identifier les tentatives d'attaque par carding dans votre vue d'ensemble des transactions : un grand nombre de transactions refusées (status="REJECTED"/statusOutput.statusCategory="UNSUCCESSFUL"/statusOutput.statusCode=2) en peu de temps est un signal d'alerte. Worldline peut détecter automatiquement ces schémas et vous contactera en conséquence.
Précautions et contre-mesures
Le moyen le plus efficace de traiter les attaques par carte est de mettre en place des mesures préventives. Celles-ci peuvent réduire les dommages potentiels pour vous et les véritables titulaires de carte :
- Implémentez 3-D Secure.
- Utilisez l'un de nos outils de prévention de la fraude.
De plus, certaines mesures de sécurité mises en œuvre de votre côté réduisent le risque de :
- Ignorer les activités frauduleuses.
- Accès non autorisé de tiers à votre serveur ou à vos clés de sécurité.
- Exploitation des faiblesses de sécurité dans vos scripts serveur.
- Utilisez des appareils séparés pour le travail et un usage privé
- Garder vos coordonnées à jour dans votre compte
- Utiliser MFA (authentification multi-facteurs)
- Mettre en œuvre les mises à jour (de sécurité) les plus récentes
- Utiliser une application de gestion de mots de passe
- Changer les mots de passe en cas d'incidents de sécurité avérés
Utilisez des appareils séparés pour le travail et un usage privé
Évitez de visiter/utiliser des sites/application tiers – leurs faiblesses pourraient être utilisées contre vous. Si vous êtes piraté, une séparation stricte garantit qu'une éventuelle invasion de vos données personnelles ne s'étend pas à vos données professionnelles.
Garder vos coordonnées à jour dans votre compte
Donnez-nous l'autorisation de vous contacter en temps réel en cas d'incidents d'attaque par carte. Pour ce faire,
• Accédez à la console héritée dans le Merchant Portal via Menu > Back Office.
• Allez à Configuration > Compte > Vos détails administratifs.
• Mettez à jour vos données de contact et confirmez en cliquant sur le bouton "ENREGISTRER".
Utiliser MFA (authentification multi-facteurs)
La plupart des services établis que vous pourriez utiliser (c'est-à-dire Google/Microsoft) offrent cette couche de sécurité supplémentaire, empêchant l'accès non autorisé, et il en va de même pour le Merchant Portal.
Mettre en œuvre les mises à jour (de sécurité) les plus récentes
Potentiellement, chaque application que vous utilisez peut être exploitée. Pour minimiser ce risque, mettez toujours à jour vos applications telles que:
- Vos appareils (ordinateurs, téléphones portables, etc.).
- La plateforme/serveur hébergeant votre boutique en ligne.
- Le système de panier d'achat lui-même. Consultez nos guides de plugins pour les dernières versions.
Utiliser une application de gestion de mots de passe
Weak passwords are one of the biggest security flaws. Strong passwords might be tedious, but are much safer. Password safe applications ease the use of strong passwords. A lot of them are free, and with some research, you will find the right one for your business. Mobile phones with Apple iOS and Google Android typically already have secured password retention present on the device.
Changer les mots de passe en cas d'incidents de sécurité avérés
Si nous ou tout autre tiers de confiance vous informons que la sécurité de votre système est compromise, prenez ces mesures immédiates :
- Changez tous vos mots de passe stockés dans votre application de gestion de mots de passe. Envisagez d'ailleurs de changer le mot de passe de votre application de gestion de mots de passe.
- Changez à la fois vos clés/secrets API / webhooks.
- Si vous utilisez notre plateforme héritée, allez dans le Back Office pour changer
- Votre mot de passe utilisateur API (Configuration > Utilisateurs).
- Vos phrases secrètes SHA-IN (Configuration > Informations techniques > Vérification des données et de l'origine).
- Votre phrase secrète SHA-OUT (Configuration > Informations techniques > Retours de transaction > Sécurité pour les paramètres de demande).
- Les employés de Worldline ne vous demanderont jamais vos mots de passe ni d'autres informations d'identification. Considérez ces demandes de la part de toute personne ou entreprise comme illégitimes et ignorez-les !
- Si vous avez un cas d'accès non autorisé à un serveur confirmé/utilisation d'informations d'identification de sécurité, nous vous recommandons fortement les actions suivantes :
- Accès non autorisé au serveur : Voir les points 4, 5 et 6.
- Utilisation non autorisée des informations d'identification de sécurité : Voir les points 4 et 6.