BLOG

Protection des programmes de points de fidélité contre la fraude : 5 conseils clés

Miniature de Angel Grant
Subvention d'ange
Publié le 15 juillet 2022

Beaucoup d’entre nous commencent enfin à planifier nos voyages et vacances tant attendus – peut-être la première occasion de s’évader véritablement depuis le début de la pandémie. Vous envisagez peut-être d’utiliser ces miles aériens ou ces points d’hôtel inutilisés depuis longtemps qui prennent la poussière dans vos programmes de fidélité. Imaginez votre surprise si vous découvrez que vos points de fidélité ont été détournés par des cybercriminels qui ont fraudé ou compromis vos comptes de fidélité.

Les programmes de points de fidélité existent depuis un certain temps et constituent un excellent outil pour attirer et fidéliser les clients, mais nous constatons actuellement une augmentation du nombre de criminels ciblant ces programmes pour compromettre les comptes. La raison ? Il existe de nombreux points de fidélité non utilisés : Selon la Loyalty Security Association, aux États-Unis seulement, 45 % des comptes sont considérés comme inactifs, ce qui signifie qu'il y a environ 48 000 milliards de dollars de points non dépensés sur les comptes des membres, la plupart du temps non surveillés et peut-être oubliés. C'est de l'herbe à chat pour les cybercriminels, qui trouvent ces points négligés faciles à compromettre et à monétiser à des fins personnelles.

Pourquoi les criminels ciblent les programmes de fidélité

Pour les cybercriminels, compromettre les comptes de points de fidélité est une tâche facile. Même si ces comptes peuvent contenir des milliers de dollars de valeur, la plupart des consommateurs ne les surveillent pas d’aussi près que les comptes financiers d’une banque ou d’une institution financière. De nombreux comptes sont protégés par une simple paire nom d'utilisateur/mot de passe, et comme de nombreux consommateurs réutilisent les mots de passe, les criminels utilisant des informations d'identification volées trouvent relativement simple d'utiliser des attaques de robots automatisées pour effectuer du bourrage d'informations d'identification sur les comptes de fidélité. Une fois qu'ils contrôlent les points, les criminels peuvent les encaisser, les échanger contre des articles intraçables tels que des cartes-cadeaux, ou vendre les points contre une valeur monétaire sur le dark web, le tout avec un faible risque pour les fraudeurs. De plus, les criminels savent que compromettre des comptes de fidélité peut non seulement apporter des gains financiers à court terme, mais également un accès à des données et à des renseignements pour d'autres activités frauduleuses, notamment le vol d'identité à l'aide d'informations personnelles identifiables, de données de voyage et de séjour, d'habitudes d'achat, etc.

En fait, il ne faut pas seulement se méfier des cybercriminels. Voici trois types de fraudes à la fidélité que vous devriez surveiller :

  • Le Double Dip : C'est lorsque des membres légitimes fraudent le programme en « faisant un double usage », c'est-à-dire en échangeant simultanément des points par téléphone et en ligne. Les membres peuvent également associer leur numéro de compte de fidélité à un achat qu’ils n’ont pas effectué et accumuler frauduleusement des points. Les membres peuvent également effectuer des achats pour générer de grandes quantités de points de récompense, puis annuler la transaction, mais pas avant d’échanger les points contre des récompenses en espèces. De plus, les consommateurs légitimes et les membres de programmes de fidélité peuvent également abuser de la politique ou de la logique commerciale en manipulant les failles des programmes. Les exemples incluent le partage de coupons ou de codes promotionnels, la violation des politiques des commerçants ou l'inscription à de nombreuses cartes de crédit liées au même programme de récompenses pour obtenir des récompenses de manière illégitime.
  • Le travail d'initié : C’est le cas lorsque la fraude implique des initiés ou des employés de votre organisation. Ils peuvent manipuler le programme de fidélité en attribuant des points non utilisés ou non réclamés à un autre compte membre, ou en transférant frauduleusement des points entre des comptes.
  • Le cybercriminel : De loin, la plus grande source de fraude aux programmes de fidélité est la cybercriminalité, et l'exploitation la plus courante implique la prise de contrôle de compte (ATO) via des outils automatisés tels que le bourrage d'informations d'identification, le détournement de formulaire ou le simple phishing pour accéder aux points accumulés et aux informations de carte de crédit stockées. Le bourrage d’informations d’identification implique qu’un acteur malveillant teste un grand nombre d’informations d’identification compromises (telles que des noms d’utilisateur et des mots de passe piratés à partir d’un autre site) par rapport à la connexion d’un autre site. Et comme les gens réutilisent les mots de passe sur plusieurs comptes, ces tactiques peuvent être remarquablement efficaces pour déverrouiller les comptes de fidélité, permettant aux attaquants de prendre le contrôle du compte en modifiant les noms d’utilisateur et les mots de passe. Le formjacking ouvre d'autres voies aux pirates pour prendre le contrôle des comptes et implique le détournement des formulaires Web des programmes de fidélité pour collecter et transmettre des données lorsque les consommateurs remplissent des informations personnelles. Cela donne à l'attaquant les clés du compte, qui peut piller les points à loisir ou utiliser le compte à d'autres fins néfastes.

Défendre et protéger les programmes de points de fidélité

Il est essentiel de protéger vos clients et votre programme de fidélité contre les activités frauduleuses, car si elles ne sont pas traitées correctement, elles peuvent gravement nuire à la confiance des consommateurs et à la réputation de la marque.

Cependant, les défenses informatiques traditionnelles ne sont plus suffisamment puissantes pour dissuader les attaques sophistiquées contre les programmes de fidélité. Les protections obsolètes et les politiques inutilement restrictives liées à des délais d’expiration de session courts, au blocage géographique, à l’authentification multifacteur et à l’obligation pour les membres de résoudre des CAPTCHA peuvent frustrer les utilisateurs et sont facilement contournées.

En dépensant seulement quelques dollars, les attaquants peuvent intégrer des services de résolution de CAPTCHA à faible coût pour contourner les défenses de base des robots et peuvent acheter des listes d'informations d'identification de plus haute fidélité pour des cibles géographiques spécifiques. Les organisations criminelles peuvent rapidement changer de tactique et de méthodologie lorsque les défenseurs tentent d'empêcher leurs activités, et garder une longueur d'avance sur les attaquants devient un problème presque insurmontable sans outils spécialisés et équipes de sécurité dédiées.

5 bonnes pratiques pour protéger votre programme de fidélité contre la fraude

Les programmes de fidélité récompensent les clients les plus précieux de votre entreprise et vous aident à établir des relations plus solides avec vos clients. Face à l’augmentation des attaques, la protection de ces programmes et des récompenses clients qu’ils maintiennent est plus importante que jamais. Les cinq bonnes pratiques suivantes peuvent vous aider à vous concentrer sur la résolution des scénarios d’attaque les plus courants, sans gêner indûment les membres légitimes en matière de surveillance ou d’échange de points.

  1. Prévenir la fraude aux nouveaux comptes. La fraude à l'ouverture d'un nouveau compte implique qu'un fraudeur crée des comptes de fidélité, souvent à grande échelle, en utilisant des identités volées, synthétiques ou fausses. En exploitant ces comptes frauduleux, les criminels peuvent accumuler et revendre des points et abuser des programmes d’échange. Assurez-vous que votre solution de cyberdéfense peut détecter si les attaquants tentent de créer plusieurs faux comptes à l’aide d’outils automatisés ou de techniques manuelles sophistiquées.
  2. Atténuer les efforts de prise de contrôle de compte. Assurez-vous que vos défenses peuvent détecter les tentatives de prise de contrôle de compte par des criminels désireux de voler des points ou d'exploiter les données personnelles enregistrées des clients. Vos défenses doivent être capables de s’adapter aux changements des modèles d’attaque et de se réorganiser en temps réel. Surveillez le trafic du programme de fidélité pour comprendre les modèles d'entrée à l'aide de signaux de télémétrie afin de détecter un comportement anormal afin de déterminer si le trafic provient de robots malveillants ou d'humains.
  3. Protégez les transactions d’encaissement des récompenses. Assurez-vous que les échanges de récompenses de fidélité et les paiements provenant de cartes de crédit liées au compte sont légitimes en déterminant avec précision la fiabilité de chaque transaction et l'identité du client qui y est associée. Protégez votre programme avec des outils qui utilisent l’intelligence artificielle et l’apprentissage automatique pour surveiller les comportements des transactions et utilisez l’authentification adaptative, qui sélectionne le processus d’authentification approprié en fonction du risque présenté par la tentative de connexion. Par exemple, des mesures de sécurité renforcées peuvent être nécessaires pour les activités à haut risque, telles que la modification des mots de passe ou l’encaissement de grandes quantités de points.
  4. Surveiller les abus de politique. Assurez-vous d’avoir des mesures de prévention en place pour limiter les pertes financières dues à l’exploitation ou à la manipulation de coupons et de promotions, de remises ou de bonus de parrainage en évaluant la confiance à chaque point d’interaction.
  5. Comprendre les menaces internes . Les programmes de fidélité sont également exposés aux menaces des initiés. Assurez-vous de suivre et de mesurer les activités du personnel du site pour surveiller les anomalies et limiter l'accès des employés aux données du programme de fidélité.

Aidez vos clients à éviter la fraude aux points de fidélité

En plus de protéger votre programme de fidélité et ses actifs, aidez les membres de votre programme à défendre leurs points et récompenses contre la fraude en partageant les conseils suivants :

  • Les membres doivent surveiller leurs programmes de fidélité comme n’importe quels autres comptes financiers. Les programmes de fidélité peuvent contenir des milliers de dollars de valeur, vos clients doivent donc vérifier régulièrement leurs comptes pour s’assurer qu’ils n’ont pas été falsifiés.
  • Bénéficiez d’options de sécurité améliorées. Si disponible, encouragez les membres à utiliser des fonctionnalités de sécurité supplémentaires telles que l’authentification multifacteur. Chaque couche de sécurité supplémentaire rend plus difficile pour les fraudeurs de compromettre un compte.
  • Soyez prudent avec les e-mails de promotion de voyage et les publications sur les réseaux sociaux . Informez vos clients sur la manière dont vous communiquez vos promotions et sur l’endroit où vous les diffusez. Assurez-vous qu’ils comprennent que les offres de voyage qui semblent trop belles pour être vraies le sont probablement. Les offres et promotions non sollicitées qui apparaissent dans leur flux sont probablement des tentatives de phishing conçues pour voler des données personnelles, notamment des identifiants de connexion et des numéros de carte de crédit. Avant de répondre et de fournir des informations, les membres doivent confirmer que l'adresse e-mail de l'expéditeur est légitime ou contacter directement le programme de fidélité (et non via l'e-mail ou la publication sur les réseaux sociaux qu'ils ont reçu) pour s'assurer que l'offre ou la demande est authentique.  

F5 est fier d'aider les organisations à se défendre contre la fraude aux programmes de fidélité

Découvrez comment F5 continue de protéger de nombreuses organisations contre les attaques automatisées et les activités frauduleuses qui peuvent nuire aux marques en ciblant les comptes des membres pour récolter de précieux points de récompense et miles. Lisez ce témoignage client pour découvrir comment Distributed Cloud Bot Defense a aidé une grande compagnie aérienne mondiale à stopper les attaques automatisées de sites Web qui avaient compromis ses comptes de voyageurs fréquents.

Découvrez les façons dont nous pouvons vous aider à garantir que les points de fidélité, les valeurs des cartes-cadeaux et autres valeurs stockées restent entre les mains de vos clients, et non entre celles de criminels, en visitant : https://www.f5.com/solutions/ecommerce