MC > Chaque carte. Chaque fois. Guide de référence du programme de prévention des fraudes MTP-134B
Solutions Moneris Guide de référence prévention des fraudes > Chaque carte. Chaque fois. Table des matières Clients au comportement suspect 1 Caractéristiques de sécurité des cartes 5 Procédure de traitement appropriée 11 Autorisation «code 10» 17 Fraudes relatives aux commandes par la poste, par téléphone et dans Internet 19 Fraudes par écrémage 25
Bienvenue au Programme de prévention des fraudes de Solutions Moneris. Vous trouverez dans ce Guide de référence tout ce dont vous avez besoin pour réduire les fraudes par carte de crédit. Les fraudes représentent un problème constant qui nous touche tous et qui peut entraîner d importantes conséquences financières pour votre entreprise. La façon la plus efficace de réduire les fraudes est d éduquer et de former vos employés. Les préposés qui traitent les cartes de débit et les cartes de crédit à votre magasin ont besoin de savoir quoi surveiller et quelles mesures prendre s ils suspectent une action frauduleuse. Lorsqu ils sont renseignés, il faut qu ils soient constamment encouragés à être vigilants, et nous croyons que notre slogan «Chaque carte. Chaque fois.» sera pour eux un aide-mémoire efficace. Comme c est le cas pour toute bonne habitude, il est facile pour l employé de négliger certaines consignes en traitant une carte à un moment où lui et ses collègues sont très occupés. Ce Guide traite en détail les sujets suivants : Clients au comportement suspect Caractéristiques de sécurité des cartes Procédure de traitement appropriée Autorisation «code 10» Fraudes relatives aux commandes par la poste, par téléphone et dans Internet Fraudes par écrémage Veuillez afficher le matériel de promotion qui suit dans une salle de repos ou dans tout autre lieu de réunion des employés. Placez l affiche aide-mémoire près du lieu de vente, et la carte-chevalet bien à la vue près des caisses. Après que les employés ont appris la procédure de traitement appropriée, la direction doit les encourager à utiliser leur bon sens et à suivre leur instinct. Même si la technologie de la contrefaçon des cartes est très évoluée aujourd hui, les employés qui traitent les cartes de crédit peuvent faire beaucoup pour éviter les fraudes, par exemple demander une autorisation «code 10», une procédure simple. Il est important que le message sur les techniques de prévention des fraudes soit transmis par un superviseur direct de l employé. Ce dernier doit bien comprendre que la vigilance concernant les fraudes par carte de crédit est un élément essentiel de son travail.
1 Clients au comportement suspect Soyez vigilants. Observez les clients. Pour détecter les fraudes par carte de crédit, il faut d abord ouvrir les yeux et les oreilles. Les mauvaises cartes peuvent être classées en deux grandes catégories. La première est celle des cartes perdues ou volées, qui sont en fait valides mais dont le possesseur n est pas le titulaire autorisé. La seconde catégorie est celle des cartes contrefaites, qui sont fabriquées illégalement mais qui fonctionnent comme une carte valide. D après notre expérience, les personnes qui commettent des fraudes par carte de crédit se reconnaissent souvent par les caractéristiques suivantes : CART ES PERDUES OU VOLÉES Achats sans discernement Le client ou la cliente a ramassé des marchandises sans trop les examiner, et peut sembler nerveux ou pressé. Il fait parfois ses achats juste avant la fermeture du magasin. Il ne fait pas les vérifications que l on fait habituellement lorsqu on achète quelque chose. Dans un magasin de vêtements, il achète des marchandises sans vérifier la taille, la couleur, le style ou le prix. Souvent, il ne les essaie même pas. Dans un magasin de produits électroniques dispendieux, il ne s informe pas des caractéristiques techniques ni des garanties. À l achat de produits volumineux, il ne demande pas la livraison et ne se fait pas aider. 1
Solutions Moneris Guide de référence prévention des fraudes La carte Le client ou la cliente sort une carte de sa poche ou lieu de prendre son portefeuille ou d ouvrir son sac à main. Le client signe la facture d une manière calculée et peu naturelle. La signature sur la facture est différente de celle à l endos de la carte. La carte est au nom d une femme alors que le client est un homme, ou vice versa. Le client achète des produits dispendieux choisis très rapidement et la carte vient d être validée. 2
Clients au comportement suspect «Pour détecter les fraudes par carte de crédit, il faut d abord ouvrir les yeux et les oreilles.» CARTES CONTREFAITES Allure confiante Le client a l allure de celui qui achète des produits dispendieux. Il est plutôt bien vêtu et a confiance en lui. Il sait que ses achats seront approuvés parce qu il est l un de ceux qui ont produit ces cartes de haute qualité. Il passe parfois beaucoup de temps à jeter un coup d œil dans le magasin, et, très souvent, il passera prendre la marchandise le lendemain. Attention Les clients honnêtes peuvent présenter ces caractéristiques, et l absence de ces caractéristiques n assure pas que le client est honnête. Le bon sens est toujours le meilleur guide. Si vous doutez de la validité de la carte d un client, donnez-vous le bénéfice du doute à vous-même, non au client. Téléphonez et demandez une autorisation «code 10» (voir page 17) si vous croyez qu une opération peut être frauduleuse ou nécessite un examen plus attentif. Achats additionnels Souvent, le client revient avec des amis, qui possèdent aussi des cartes contrefaites. Il leur a dit qu il a trouvé les marchandises et les prix attrayants. 3
2 Caractéristiques de sécurité des cartes Topic S ACHEZ QUE CHERCHER Toutes les cartes de crédit comprennent des éléments de sécurité spéciaux contre la falsification et la contrefaçon. Lorsqu on vous présente une carte, prêtez attention aux éléments suivants : TOUTES LES CARTES Comparez les chiffres préimprimés et les chiffres embossés Les quatre chiffres préimprimés sont-ils les mêmes que les quatre premiers chiffres embossés de la carte? Embossage L embossage doit être clair ; la taille des chiffres et les espacements doivent être uniformes. Hologramme Les quatre derniers chiffres embossés sont-ils dans l hologramme? Validité de la date La date du jour est-elle comprise entre la date d entrée en vigueur et la date d expiration? La carte est valide jusqu au dernier jour du mois d expiration. Comparez les numéros de compte Le numéro de compte embossé sur la carte est-il exactement le même que le numéro imprimé sur la facture portant l empreinte de la carte et affiché sur le terminal (si vous avez un terminal qui possède cette fonction)? 5
Solutions Moneris Guide de référence prévention des fraudes RECONNAÎTRE UNE MAUVAISE CARTE (DEVANT DE LA CARTE) La technologie d aujourd hui permet aux faussaires de modifier ou de contrefaire des cartes. Vous pouvez les déjouer en observant les éléments suivants : 2 4 1 6 7 1. Différence entre les quatre chiffres préimprimés et les quatre premiers chiffres embossés. 2. Caractères embossés de taille différente ou disproportionnés par rapport aux autres sur une même ligne. 3. Caractères (chiffres ou lettres) mal définis ou de styles différents. 4. Espacements non uniformes ou lignes embossées croches. 5. Surface imprimée écaillée ou égratignée. 6. Absence d hologramme tridimensionnel. 7. Absence du V (Visa) ou du symbole MC (MasterCard) stylisé. 8. Retouche à la peinture argent ou or sur l hologramme (après réembossage du numéro de compte). 6
Caractéristiques de sécurité des cartes ÉLÉMENT VISA MASTERCARD Numéro Le premier chiffre Le premier chiffre de compte est-il «4»? est-il «5»? Compte-t-il 16 chiffres? Élément Un «V» stylisé est Le symbole «MC» stylisé de sécurité embossé sur chaque est embossé à la fin de carte. Sur certaines la ligne des dates de cartes, une autre lettre validité. précède le V. Hologramme Voit-on une colombe Voit-on trois continents en vol lorsqu on bouge sur les globes superposés la carte à la lumière? lorsqu on bouge la carte? Voit-on l inscription «MasterCard» sur le fond de l hologramme? 7
Solutions Moneris Guide de référence prévention des fraudes RECONNAÎTRE UNE MAUVAISE CARTE (ENDOS DE LA CARTE) On voit le mot «VOID» à travers une égratignure sur la plage de signature. Mots imprimés endommagés sur la plage de signature, ou pas d écriture du tout. Papier collé, ruban adhésif blanc ou peinture couvrant la plage de signature d origine. 8
Caractéristiques de sécurité des cartes «Toutes les cartes de crédit comprennent des éléments de sécurité spéciaux contre la falsification et la contrefaçon.» ÉLÉMENT VISA MASTERCARD Plage de La plage de signature La plage de signature signature comporte-t-elle des comporte-t-elle des lignes obliques formées lignes obliques formées de plusieurs fois le de plusieurs fois le mot «VISA»? mot «MasterCard»? T OUT ES LES CART ES (ENDOS) Plage de signature Le numéro de compte (VISA) ou les 4 derniers chiffres du numéro de compte (MasterCard) sont-ils imprimés à l envers et en italique sur la plage de signature? Le numéro de compte ou les 4 chiffres sont-ils suivis d un code de validation de 3 chiffres? Signature Le titulaire a-t-il apposé sa signature sur la plage de signature? Sinon, demandez-lui de le faire et comparez sa signature à celle qui figure sur une carte d identité émise par le gouvernement. La signature à l endos de la carte ressemble-t-elle raisonnablement à celle qu il vient d apposer sur la facture? 9
Topic 3 Procédure de traitement appropriée R APPELEZ-VOUS LES PRINCIPES DE BASE En suivant la procédure de traitement appropriée, vous réduisez les risques de fraude : Vérifiez l hologramme, le numéro d identification de la banque imprimé à quatre chiffres, le symbole unique embossé et la plage de signature. Vérifiez la date d expiration. Si vous utilisez un terminal pour autoriser les opérations sur carte de crédit, glissez la carte dans le lecteur du terminal. Vérifiez sur l écran le numéro de compte encodé sur la bande magnétique de la carte et comparez-le avec le numéro embossé sur la carte. Si vous concluez que la carte est authentique, suivez la procédure normale pour demander l autorisation. Ne redonnez la carte au client que lorsque la procédure d autorisation est complétée. Faites en sorte que le client signe la facture devant vos yeux. Vérifiez si la signature sur la carte est semblable à celle sur la facture. GLISSEZ TOUJOURS LA CARTE DANS UN LECTEUR DE T ERMINAL C est la méthode la plus rapide et elle permet de prévenir les fraudes. Glissez la carte une seule fois et dans une seule direction. Ne faites pas de va-et-vient. Comparez les numéros de compte. Les quatre derniers chiffres du numéro de compte sur la facture de carte de crédit sont-ils les mêmes que les quatre derniers chiffres embossés sur la carte? Sinon, téléphonez au centre d autorisation de Moneris, au 1 866 802-2637,et suivez la procédure d autorisation «code 10». 11
Solutions Moneris Guide de référence prévention des fraudes Si un message vous indique «Garder Carte Appeler», composez le numéro pour autorisation. Si vous soupçonnez une activité frauduleuse, ou si vous avez des questions concernant l approbation de l opération, demandez une autorisation «code 10». Si le centre d autorisation vous demande de garder la carte du client, faites-le de manière raisonnable et polie. Ne vous placez pas en situation de danger. Si la bande magnétique de la carte n est pas lisible, c est généralement pour l une des raisons suivantes : le lecteur de bande magnétique est défectueux ou sale ; il est impossible de glisser la carte adéquatement parce que le lecteur est obstrué ; le préposé ne glisse pas la carte de la bonne façon ; la bande magnétique de la carte est endommagée. OPÉRATIONS MANUELLES La bande magnétique est un élément actif des caractéristiques de sécurité de la carte. Le traitement manuel n est donc approprié que lorsque la bande magnétique ne peut pas être lue. Quand le terminal de point de vente n arrive pas à lire la bande magnétique d une carte de crédit, il faut prendre l empreinte de la carte. Les factures manuelles doivent comprendre : la date de la transaction; l empreinte de la carte de crédit; le détail de la transaction; le montant de la transaction; la signature du client. Remarques importantes : évitez d inscrire des mentions comme «nul» ou «copie» au recto de la facture; il faut entrer manuellement le numéro de carte pour obtenir une autorisation. Sur le reçu du terminal de point de vente, vous devez : inscrire la mention «preuve» à l endroit prévu pour la signature; inscrire le numéro de référence préimprimé, qui figure sur la facture de vente manuelle. Conservez les copies destinées au commerçant pour vos dossiers : Si les Services aux commerçants vous présentent une demande de repérage, vous devrez en effet produire la facture établie à la main ainsi que le reçu de point de vente. Si vous ne suivez pas la procédure ci-après, vous risquez une perte financière. Si vous effectuez l opération au clavier, obtenez toujours l empreinte de la carte sur la facture. Si l opération est contestée, l empreinte prouvera que le préposé a eu la carte en main et 12
Procédure de traitement appropriée vous serez protégé contre le débit compensatoire. Aux fins d autorisation, toute opération entraînant le dépassement de la limite de crédit doit être approuvée et le code que l on vous donne doit figurer sur la facture de carte de crédit. Si le taux d opérations au clavier par rapport au nombre total d opérations est supérieur à un pour cent pour les préposés ou les lecteurs de carte, essayez d en déterminer la raison. Vérifiez ce taux régulièrement. T R AIT EMENT AU CLAVIER Le traitement au clavier (par opposition à l utilisation du lecteur de carte) comporte de réels inconvénients : L inconvénient le plus important est le risque accru de fraude par contrefaçon ou autre. Le traitement au clavier peut aussi entraîner des coûts supérieurs, puisque le taux de la commission imputée au commerçant est établi selon la capacité de lecture de la bande magnétique et de transmission des données au moyen du système point de vente. Il est moins efficace, car chaque opération demande plus de temps et vous expose aux erreurs. Le taux de refus d autorisation étant plus élevé pour le traitement au clavier, le risque de pertes de ventes est aussi plus élevé. MARCHE À SUIVRE POUR ÉVITER LE TRAITEMENT AU CLAVIER Vérifiez régulièrement votre lecteur de bande magnétique au point de vente pour vous assurer qu il fonctionne adéquatement. Nettoyez votre lecteur périodiquement au moyen de la carte ReaderClean que vous avez reçue avec votre terminal. Au besoin, vous pouvez vous procurer ce type de carte dans un magasin de fournitures de bureau. Placez votre lecteur de manière qu il soit facile de glisser la carte. Enlevez tout obstacle. Ne permettez pas aux employés de placer près du lecteur des objets qui pourraient le salir ou l endommager (en particulier les boissons et la nourriture). Ne placez pas le lecteur près d un appareil qui désactive les éléments magnétiques antivol fixés aux marchandises. 13
Solutions Moneris Guide de référence prévention des fraudes ENSEIGNEZ AUX PRÉPOSÉS LA BONNE FAÇON DE GLISSER LES CARTES S assurer que la bande magnétique est du bon côté. Toujours glisser la carte, une seule fois, dans la direction indiquée par la flèche sur le lecteur. Ne faites jamais de va-et-vient avec la carte. Glissez la carte sans lui donner d angle. PROGRAMME «PROTÉGEZ VOTRE NIP» : AIDEZ VOS CLIENTS Interac a lancé une campagne de sensibilisation des titulaires de carte pour les inciter à protéger leur NIP aux points d utilisation. CE QUE VOUS POUVEZ FAIRE POUR RÉDUIRE LE VOL DE NIP Placez votre terminal de manière que le client puisse masquer le clavier NIP lorsqu il entre son numéro d identification personnelle (NIP). Permettez au client de tenir le clavier NIP jusqu à la réception du message d approbation (ou de refus). Remettez toujours au client une copie du relevé d opération et redonnez-lui sa carte de débit. 14
Procédure de traitement appropriée Si le terminal ne fonctionne pas, faites les vérifications suivantes avant de contacter Moneris : Les connexions (électrique et téléphonique) sont-elles en place? Y a-t-il du papier enregistreur dans le terminal? Les lignes téléphoniques fonctionnent-elles? AJOUTEZ UN DÉTECTEUR DE CARTES CONTREFAITES OU FRA U DULEUSES À VOTRE ENSEMBLE DE PRÉVENTION DES FRAUDES Des dispositifs de sécurité additionnels peuvent aussi aider à prévenir les fraudes par carte de crédit. La plupart des cartes de crédit majeures contiennent des caractéristiques de sécurité invisibles à l œil dans des conditions de luminosité normales, mais faciles à voir sous la lumière spéciale d appareils de prévention des fraudes. SecuriSource, fabricant de dispositifs de sécurité, offre un détecteur de cartes contrefaites qui permet de réduire les pertes, le ID-2000. Cet appareil détecte les faux billets canadiens et américains, toutes les cartes de crédit majeures et tous les chèques et chèques-cadeaux encodés au moyen d éléments de sécurité spéciaux. Sa simple présence à la vue des clients constitue un élément dissuasif contre l usage de cartes contrefaites ou frauduleuses, à plus forte raison si vous en installez un à chaque point de vente où il s effectue des opérations par carte de crédit ou au comptant. Pour en savoir davantage, visitez le site Web de l entreprise à www.securisource.com, ou composez le 1 800 866-5166. Solutions Moneris a négocié avec SecuriSource un prix préférentiel pour les commerçants Moneris. 15
4 Autorisation «code 10» Le «code 10» est un code universel qui permet aux commerçants, sans que le client le sache, d aviser un centre d autorisation lorsqu ils suspectent une opération frauduleuse. PROTÉGEZ VOTRE ENTREPRISE Même si vous suivez la procédure (glisser la carte dans un lecteur, obtenir une signature conforme sur la facture de carte de crédit, etc.), rien ne garantit que l opération est valide. Si vous avez le moindre soupçon, demandez une autorisation «code 10». La plupart des opérations sont valides, mais sachez comment demander une autorisation «code 10» au cas où vous en auriez besoin : Appelez le centre d autorisation de Moneris au 1 866 802-2637 et suivez les instructions. Précisez qu il s agit d une demande d autorisation «code 10». Tenez la carte dans votre main pendant le processus d autorisation. Demeurez calme, simple et courtois. Il se peut que l appel soit transféré, alors ne raccrochez pas. On vous posera une série de questions auxquelles répondre par oui ou par non pour vérifier l authenticité de la carte. Suivez les instructions que vous entendez au téléphone. N essayez pas d arrêter le client ou de l empêcher de partir. Dans certains cas, le commerçant recevra une récompense pour avoir retourné une carte perdue, volée ou contrefaite. Si, pour quelque raison que ce soit, vous soupçonnez qu un client essaie de commettre une fraude, appelez le service des autorisations de Moneris. La procédure d autorisation «code 10» a été créée pour votre protection. Fiez-vous à votre instinct. Choisissez toujours la prudence. 17
5 Topic Fraudes relatives aux commandes par la poste, par téléphone et dans Internet Les mesures contre la fraude utilisées dans les espaces de vente au détail classiques ne sont pas nécessairement efficaces lorsqu on n a pas la carte de crédit en main, nommément pour les commandes postales et téléphoniques ainsi que dans l univers du commerce électronique. De telles opérations se font en l absence du titulaire et sans la carte elle-même, dans un contexte plus anonyme. Tous les commerçants qui exécutent des commandes postales, téléphoniques ou par Internet doivent faire autoriser leurs opérations. Si la limite de crédit n est pas atteinte et si la carte n a pas été déclarée perdue ou volée, l opération sera sans doute approuvée par la banque émettrice. Mais les commerçants doivent se rappeler que l autorisation n est pas la preuve que la personne qui fait l achat est le véritable titulaire de la carte ni que la carte est valide. L autorisation signifie seulement que la limite de crédit n est pas atteinte et que la carte n est pas bloquée. Pour que vous puissiez détecter les fraudes, l autorisation doit être complétée d un ensemble de mesures appropriées. SI VOUS SUSPECTEZ U NE FRAUDE Si vous soupçonnez que l opération est frauduleuse, demandez des renseignements additionnels au client : numéros de téléphone à la maison et au travail, à vérifier à l assistance annuaire ou à www.canada411.ca ; renseignements précis, par exemple le nom de la banque figurant sur la carte ; demandez confirmation de la commande en envoyant une note à l adresse de facturation du client plutôt qu à l «adresse de livraison». 19
Solutions Moneris Guide de référence prévention des fraudes C OMMANDES POSTALES ET TÉLÉPHONIQUES FRAUDULEUSES Les commerçants doivent assumer le débit compensatoire en cas de commande postale ou téléphonique frauduleuse. Toute opération peut être refusée, malgré les vérifications ou enquêtes effectuées par le commerçant. Le seul moyen d éviter cet inconvénient est de souscrire au service Vérifié par Visa. VÉRIFIÉ PAR VISA L inscription au service Vérifié par VISA est conditionnelle à l approbation. Ce service a pour objectif de garantir au commerçant que l opération est valide en transférant la responsabilité à la banque émettrice, ce qui évite au commerçant d assumer le débit compensatoire. Il s agit d un processus de vérification par mot de passe qui permet de vérifier les pièces d identité des titulaires de carte et d en faire confirmer la validité par l entremise de son institution financière en temps réel pendant la procédure de paiement. Ce processus reproduit en quelque sorte un environnement de «présence physique» de la carte, et peut réduire le risque de fraude. Le processus Vérifié par VISA est déclenché lorsque le titulaire de carte clique sur le bouton «Achat» dans votre page de paiement. Le programme affiche une fenêtre où le titulaire doit entrer son mot de passe. L institution financière authentifie l identité du titulaire et vous envoie la réponse dont vous avez besoin pour procéder à l autorisation de paiement. 20
Fraudes relatives aux commandes par la poste, par téléphone et dans Internet «Les mesures contre la fraude utilisées dans les espaces de vente au détail classiques ne sont pas nécessairement efficaces dans l univers du commerce électronique.» FRAUDES DANS INTERNET QUOI SURVEILLER : Les commerçants qui ont un site de commerce électronique ne devraient jamais accepter une commande par courriel, même si leur site est sécurisé, parce que les données de la carte de crédit sont visibles du côté du titulaire de la carte. Les nouveaux clients sont à surveiller de plus près. Les fraudeurs cherchent toujours de nouvelles victimes. Surveillez les achats anormalement volumineux. Les cartes ou les numéros de compte volés n étant pas valides longtemps, les voleurs doivent faire de gros achats. Surveillez les commandes de plusieurs articles identiques. Il est rentable pour les fraudeurs de passer de telles commandes. Surveillez les commandes passées avec plusieurs cartes de crédit (opération partagée sur plusieurs cartes). Surveillez les commandes passées au moyen d une carte émise dans un pays autre que le pays de livraison (p. ex., une commande portée à une carte émise en Australie, à livrer en Bulgarie). Surveillez les commandes de produits dispendieux. Ces produits possèdent la meilleure valeur de revente et offrent donc un potentiel de profit maximal. Surveillez les commandes «urgentes» ou «livrées le lendemain». Les fraudeurs qui désirent revendre les marchandises rapidement ne se soucient pas de payer des frais supplémentaires. Surveillez les commandes passées dans un site Web qui utilise un service de courriel gratuit. Il n y a pas d échange de données de facturation pour ce type de service, et, souvent, il n est pas possible de vérifier si le titulaire de carte légitime a ouvert un compte. Surveillez les commandes livrées à une adresse internationale. Un nombre important de commandes frauduleuses sont livrées à des fraudeurs hors d Amérique du Nord. 21
Solutions Moneris Guide de référence prévention des fraudes C OMMENT DEMEURER «CYBERSÛR» Créer et tenir à jour une base de données des clients ou un fichier d historique des comptes. Cela permet de connaître les habitudes d achat et de déceler des signes de fraude possible au moment d une opération. Établir et mettre en pratique des méthodes de contrôle appropriées à l intention des employés qui ont accès à la base de données des clients ainsi qu à leurs numéros de compte. SURVEILLEZ : Les opérations effectuées avec des cartes de crédit dont les numéros semblent former une séquence. Les commandes expédiées à une même adresse mais passées au moyen de plusieurs cartes de crédit. Il peut s agir d un numéro de compte généré au moyen d un logiciel spécial comme on en trouve dans Internet, ou des numéros d un lot de cartes volées. De multiples opérations effectuées en grand nombre au moyen d une même carte dans un très court laps de temps. Il peut s agir d une tentative d utiliser une carte «à fond» avant que le compte soit fermé. De multiples opérations sur une même carte ou sur plusieurs cartes semblables, pour la même adresse de facturation mais plusieurs adresses de livraison. Il peut alors s agir de l activité d une organisation au lieu de l action d une seule personne. De multiples cartes utilisées d une même adresse IP (Internet Protocol). L usage de plus d une ou deux cartes justifie certainement un soupçon de fraude. 22
Fraudes relatives aux commandes par la poste, par téléphone et dans Internet QUE FAIRE SI QUELQU UN A EU ACCÈS À VOS DONNÉES DE CARTES DE CRÉDIT Les commerçants en ligne doivent être vigilants en tout temps en matière de fraude. Les fraudeurs et les pirates informatiques sont toujours à la recherche de failles dans les systèmes de sécurité afin de s approprier diverses données précieuses. Nous savons que vous faites tout ce que vous pouvez pour demeurer «cybersûrs», mais si vous croyez que quelqu un a eu accès à vos données : Agissez rapidement Essayez de limiter les dommages et de vous exposer aux risques le moins possible. Protégez votre fichier journal et vos données de preuves électroniques. N accédez pas au système qui a été forcé. Faites enquête Dans les 24 heures, notez toutes les mesures prises pour trouver la brèche et identifier les pertes possibles de données sur les comptes. Soyez plus vigilants que jamais ; surveillez tous les systèmes qui contiennent des données sur les comptes. Contactez Moneris Appelez chez Moneris au 1 866 319-7450. Nous vous aiderons à : connaître les numéros de compte dévoilés ; identifier les failles dans votre système de sécurité ; prendre les mesures correctrices nécessaires pour réduire les risques à l avenir. Il est important que vous nous contactiez, parce que nos experts sauront trouver le problème et vous aider à le résoudre. Nous pouvons aussi vous aider à minimiser l impact de l incident sur vos clients, sur votre réputation et sur vos affaires. Nous avons tous directement intérêt à préserver nos relations avec nos clients respectifs. 23
Topic 6 Fraudes par écrémage L écrémage est le transfert de données électroniques de la bande magnétique d une carte vers une autre aux fins d usage frauduleux. Ce procédé s effectue au moyen de lecteurs de cartes. Les stations service et les restaurants sont souvent la cible d écrémage, car il est fréquent qu un employé y soit laissé seul pendant de longues périodes, en particulier la nuit et les fins de semaine. OBTENTION DES DONNÉES DE LA BANDE MA GNÉTIQUE Une technologie de plus en plus sophistiquée permet aujourd hui aux employés d écrémer les données des bandes magnétiques des cartes de crédit et de débit au moyen d un terminal factice ou trafiqué. SOYEZ VIGILANTS Il existe aujourd hui des appareils à écrémer (ou «glaneuses»), très faciles à transporter, permettant de copier les données de la carte transmises au serveur qui donne les autorisations. Grâce à leur grande capacité de stockage, ces appareils sont capables d enregistrer des données pendant des jours. Les appareils à écrémer sont souvent placés sous les comptoirs, où il est facile de les utiliser. 25
Solutions Moneris Guide de référence prévention des fraudes «Les stations service et les restaurants sont souvent la cible d écrémage, car il est fréquent qu un employé y soit laissé seul pendant de longues périodes, en particulier la nuit et les fins de semaine.» CARTES DE DÉBIT En plus des données de la bande magnétique de la carte, les écrémeurs ont besoin d obtenir le NIP du titulaire. Ils y parviennent généralement par les moyens suivants : Lecture du NIP «à vue» : l employé ou un complice épie le client au moment où il entre son NIP. Une méthode plus sophistiquée consiste à camoufler une minicaméra dans le plafond ou sur une étagère au-dessus du comptoir et du clavier NIP. Pour qu une telle installation fonctionne, il faut que le clavier NIP soit immobile et fixé au comptoir afin que la caméra puisse saisir les NIP. PRÉVENTION Le plus souvent, l employé travaille seul, la fin de semaine ou la nuit. Le locataire ou le gérant peut réduire les fraudes en se rendant sur place de temps à autre sans avertir. Le gérant ou le locataire peut détecter la présence d une minicaméra en vérifiant si des trous ont été pratiqués dans le plafond ou les murs. 26
Fraudes par écrémage EMBAUCHE ET RESPONSABILISATION DES EMPLOYÉS Pour empêcher que les employés aient la possibilité de pratiquer l écrémage, il est important de ne pas procéder à la légère lorsque vous embauchez et supervisez vos employés. Nouveaux employés Notez tous les éléments d identité des postulants nom, date de naissance et numéro d assurance sociale (NAS). Demandez-leur de produire une carte d identité gouvernementale avec photo. Il existe beaucoup d exemples, dans les stations service, de postulants dont la première intention était de pratiquer l écrémage pour le compte de groupes criminels. Responsabilisation Tenez rigoureusement à jour les horaires des employés et conservezles pendant au moins 12 mois afin d aider les enquêteurs à déterminer qui travaillait au moment où s est produit l écrémage d une carte lors d une opération valide. Il est arrivé qu un écrémage soit rapporté 6 mois après que le client a utilisé sa carte au point de vente concerné. Un excellent moyen de dissuader les employés de pratiquer l écrémage consiste à exiger qu ils apposent leur signature ou écrivent leur numéro d employé sur la facture à chaque opération valide. Une autre mesure dissuasive efficace consiste à offrir une récompense aux employés qui vous diront suspecter la pratique d écrémage ou qui dénonceront un groupe criminel qui leur demande de pratiquer l écrémage. 27
27 Notes