Loading...
Search results:


November 6, 2017

Comment prévenir la fraude par carte sur des transactions en temps réel, comme celles observées chez Uber ?

Comment prévenir la fraude par carte sur des transactions en temps réel, comme celles observées chez Uber ?

Résumé : Pour éviter le fraude de paiement sur des services comme Uber, il y a trois leviers d’action principaux (décrits ci-après) :

  1. collecter la donnée—transversale et longitudinale via un collecteur ;
  2. vérifier la données—dans le cadre d'une stratégie multi-niveaux de réduction des risques ; et
  3. réagir rapidement.

Toutefois, de manière plus générale, le traitement des fraudes dépend aussi de :

  1. la taille du service ;
  2. du niveau de confiance entre l'offreur et le demandeur ;
  3. de la marge brut du service ; et
  4. des canaux de distribution.

Hypothèse : Par la suite on suppose que le service traite des micro-paiements de l'ordre de 5 à 20 euros, qu'il y a un historique de data—pour obtenir des tendances significatives (e.g., >> 1 million)—, que la marge brute est facturé 15 à 30%, et que le service est distribué via une application sur l'Apple App Store et Google Play Store.

A. Collecter les Données Utilisateur

Tout d'abord, l'objectif est de recueillir des données transversales et longitudinales sur les clients.

Les données transversales ne changent pas avec le temps, par exemple:

  • prénom,
  • nom de famille,
  • date de naissance,
  • date de souscription ou de connexion,
  • dispositif d'inscription, etc.

Par contre, les données longitudinales se réfèrent à des séries chronologiques qui mesurent, par exemple:

  • le montant dépensé sur le service,
  • les changements de profil utilisateur ou
  • les connexions de l'utilisateur.

Les mécanismes de collecte, de traitement et de stockage des données pour chaque type de données diffèrent considérablement, c'est pourquoi il est important de les différencier.

Pour Uber, le processus d'inscription requiert que l'utilisateur fournisse:

  • ses informations de compte—adresse e-mail, mot de passe ;
  • les détails du compte—prénom, nom, numéro de téléphone mobile, langue ; et
  • un mode de paiement—numéro de carte de crédit, CCV, mois, année, code postal.

Les données supplémentaires sont enregistrées automatiquement, par exemple :

  • l'adresse IP—et sa géolocalisation ;
  • les horodatages ;
  • le type de navigateur—si l'inscription provient d'un desktop ; et
  • les caractéristiques du téléphone—si l'inscription provient d'un appareil mobile.

Notamment, Uber s'appuie sur la géolocalisation pour son service; cette information est fournie lorsque l'application est au premier plan et en arrière-plan.

Enfin, Uber utilise un hub pour centraliser les flux de données et les rendre accessibles à tous les départements.

Verifier les Données

Pour s’assurer que l'adresse e-mail et le numéro de téléphone mobile sont corrects, Uber envoie des e-mails avec un lien de validation et des messages SMS avec un code. Bien que ces étapes soient très courantes aujourd'hui, elles sont essentielles car elles permettent au service de recueillir des informations supplémentaires sur le client. Des incohérences lors du processus d'inscription suggèrent un possible risque.

Uber a également gamifié le processus d'inscription des utilisateurs. Uber utilise un pourcentage de complétude du profil et une série de questions avec des checkmarks ombragées invitant l'utilisateur à compléter son profil. Encore une fois, cela semble assez standard aujourd'hui, mais ces étapes représentent des couches additionnelles de sécurité pour le service :

plus le profil est complet, plus le risque est faible.

Enfin, comme mentionné dans un article précédent [1], l'utilisateur peut lier ses autres comptes (par exemple, Spotify et Pandora pour Uber), ce qui aidera Uber à savoir l'âge de ces autres comptes sociaux, combien il y a de connexions sur chaque compte, etc.

Ce qui importe ici c'est l'effet cumulatif de réduction des risques des mécanismes de collecte, de vérification et de liaison des données.

Réagir Rapidement

Des informations complémentaires sur la façon dont la prévention de la fraude est exploitée sur une place de marché marché comme Etsy sont évoquées en [2,3].

Ici, on se concentre davantage sur la rapidité de la réaction pour les services comme Uber, car ils permettent aux utilisateurs de s'inscrire et potentiellement utiliser le service en quelques minutes, ce qui est un argument marketing. Cependant, la vitesse transactionnelle élevée est, habituellement, un facteur de risque pour la fraude de paiement.

Il doit donc être géré.

D'une part, le service peut considérer que, compte tenu:

  • de la crédibilité de l'utilisateur,
  • du lieu,
  • du moment où le client utilise le service, et
  • du contexte de la transaction,

l'utilisateur est autorisé à utiliser Uber, une ou plusieurs fois.

D'autre part, si le risque estimé est élevé, le service peut alors limiter la façon dont l'utilisateur utilise le service, par exemple, en ne l'autorisant qu'à dépenser 20€ dans une nouvelle ville ou pays où le service vient d'être déployé.

Plus tard, à mesure que la confiance dans l'utilisateur, la ville, ou le pays augmente ou si l'historique des transactions montre que les paiements sont sûrs dans ce contexte (cf. Amazon One Click Checkout), les limites peuvent être levées.

Avec des services qui sont en concurrence les uns avec les autres (par exemple, Uber et Lyft), il est important de limiter les frictions lors de l'embarquement des utilisateurs et lors de l'utilisation régulière du service par le client.

Par conséquent, les entreprises pèsent les avantages et les inconvénients de chaque mesure de protection contre la fraude de paiement, réévaluant ce compromis :

  • chaque mois ;
  • tous les jours ; ou
  • pour chaque transaction

par exemple via un algorithme de notation.

Conclusion

Dans cet article nous avons discuté de l'importance de la collecte d'information sur les utilisateurs et sur l'usage du service, ceci, afin de limiter le risque.

Même s'ils semblent insignifiants, les mécanismes de vérification des données contribuent, également, à l'approche multi-niveaux visant à réduire l'exposition au risque de fraude.

Et pour des services collaboratifs comme Uber, il reste important de réagir rapidement ce qui peut nécessiter des limites d'utilisation dynamique pour atténuer le risque.

References

  1. How can I reduce fraud for a jewelry rental site?
  2. What's the solution to prevent credit card fraud?
  3. How does Etsy prevent credit card fraud?