La fraude dans les centres de contact est une réalité à laquelle les organisations doivent se préparer, sinon elles risquent des pertes considérables en raison de failles de sécurité dans la protection des données des clients. Les stratagèmes frauduleux réussis peuvent nuire à la réputation d’une marque et entraîner des responsabilités en matière de conformité, en particulier dans les secteurs fortement réglementés, tels que les services financiers et la santé.
Les entreprises peuvent atténuer leur vulnérabilité face à l’accès non autorisé ou à la divulgation d’informations confidentielles grâce à la bonne combinaison de formation complète des agents, de processus d’authentification et de sécurité des données bien documentés et de technologies de détection des fraudes des centres de contact.
Qu’est-ce que la fraude dans les centres de contact ?
Dans de nombreuses entreprises, les centres d’appels traditionnels et les opérations de service client et d’assistance ont évolué vers des centres de contact pour gérer les communications clients sur plusieurs canaux, notamment les appels téléphoniques, les chats en direct, les e-mails, les réseaux sociaux, la messagerie texte (SMS), les applications mobiles et les appels vidéo.
Les cybercriminels ciblent les centres de contact pour accéder aux informations sensibles des clients en exploitant des agents et des processus d’authentification faibles. Ces mauvais acteurs peuvent ensuite utiliser des informations personnelles identifiables (PII) et d’autres données de compte (numéros de sécurité sociale, institutions financières et numéros de carte de crédit) pour commettre un vol d’identité, créer de faux comptes et participer à des fraudes bancaires et par carte de crédit.
Pourquoi les mauvais acteurs ciblent-ils les centres de contact ?
Les centres de contact sont des cibles privilégiées pour la fraude, car les agents mal formés sont souvent vulnérables à la manipulation. Un numéro gratuit utilisé pour le service client et les transactions telles que les achats peut permettre aux criminels de lancer de nombreuses tentatives de fraude tout en préservant l’anonymat, à condition qu’ils utilisent des techniques d’usurpation d’identification de l’appelant. Les agents peu méfiants, en particulier dans les centres d’appels, constituent d’excellents vecteurs d’attaque, car ils constituent le seul obstacle entre un fraudeur et les comptes clients.
La transition vers des environnements de travail hybrides après la pandémie de COVID-19 a créé des défis en matière de préparation à la détection des fraudes dans les centres de contact. Le travail à distance rend de plus en plus difficile pour les agents de recevoir une formation appropriée sur la détection des fraudes ou des conseils de la part de leurs collègues. En conséquence, ils peuvent avoir du mal à utiliser les outils antifraude à distance.
Types courants de fraude dans les centres de contact
Bien que les centres de contact soient confrontés à de nombreux types de fraude, les plus courantes sont le vol d’identité, le piratage de compte, le vol d’informations de carte de crédit, les escroqueries par vishing et la collecte de marchandises gratuites.
Vol d’identité. Les criminels utilisent les informations personnelles volées de clients légitimes pour accéder aux comptes à des fins monétaires. Les agents des centres de contact peuvent avoir du mal à détecter le vol d’identité, car les acteurs malveillants disposent d’informations clients précises. De nombreux stratagèmes frauduleux utilisent des informations personnelles trouvées sur le dark web après une violation de données. La fraude à l’identité synthétique se produit lorsque les criminels combinent de véritables informations personnelles, telles qu’un numéro de téléphone mobile et une adresse e-mail, avec des données falsifiées pour créer une identité manipulée ou fausse. Ils utilisent ensuite ces informations pour ouvrir des comptes et lancer des transactions.
Reprise de compte. Pour transférer un compte client vers leur compte, les fraudeurs peuvent modifier une adresse e-mail ou des informations de connexion pour réinitialiser les mots de passe du portail client. Ces criminels peuvent utiliser des outils automatisés pour créer des combinaisons de nom d’utilisateur et de mot de passe selon une technique connue sous le nom de credential stuffing afin d’accéder aux comptes clients.
Utilisation d’informations de carte de crédit volées. Les fraudeurs bombardent les centres de contact en tentant d’acheter des biens et des services avec des informations de carte de crédit volées. Étant donné que les centres de contact n’ont pas besoin de cartes physiques, les criminels peuvent plus facilement effectuer des achats avec des informations volées, une tactique connue sous le nom de fraude sans présentation de carte.
Essayez de recevoir des articles de remplacement gratuits. Les criminels agissent comme des clients légitimes qui achètent des biens, puis prétendent avoir des problèmes et demandent des remplacements. Les détaillants sont les victimes les plus courantes de ce type de fraude, en particulier ceux dont les politiques de garantie et de remplacement sont peu strictes.
Phishing et escroqueries par vishing. Les cybercriminels ciblent depuis longtemps les consommateurs avec des escroqueries par phishing, en envoyant des e-mails frauduleux contenant des URL ou des hyperliens malveillants pour télécharger des logiciels malveillants ou voler des mots de passe. Une autre tactique est phishing vocalou vishingen utilisant des appels téléphoniques urgents exigeant des victimes qu’elles mettent à jour leurs données professionnelles ou personnelles, soi-disant pour protéger leurs comptes bancaires et autres transactions financières. Des méthodes frauduleuses similaires sont utilisées sur les agents des centres de contact. Un criminel qui s’intéresse à des problèmes avec un compte peut inciter un agent sans méfiance à partager des données client sensibles.. De nombreux centres de contact ont été touchés par des attaques de ransomware, bloquant les systèmes de communication jusqu’à ce que le problème soit résolu ou que la rançon soit payée. Des attaques par déni de service distribué ont également été utilisées pour perturber les services de communication.
Conseils pour identifier les clients frauduleux
Les criminels utilisent différentes méthodes de fraude selon leur motivation ou le type de centre de contact qu’ils ciblent. Les signes avant-coureurs courants de fraude sont les suivants :
- Méthodes d’ingénierie sociale pour extraire faussement des informations.
- Incapacité de vérifier les transactions récentes.
- Longues pauses avant de répondre aux questions.
- Communication pour susciter une réaction immédiate basée sur l’urgence, la familiarité ou l’autorité.
- Tentatives d’établir une relation ou un rapport avec un agent ou un responsable de centre de contact spécifique.
- Incohérence dans l’historique et la documentation du client.
- Tentatives de contourner les procédures habituelles du service client.
- Drapeaux rouges et activités suspectes identifiés par les technologies antifraude.
- Tentatives de contourner les processus et technologies antifraude.
Des outils pour identifier la fraude
Les entreprises qui prennent au sérieux la détection et la prévention des fraudes dans les centres de contact ne devraient pas se fier uniquement à la formation des agents. Les responsables de centres de contact peuvent intégrer plusieurs technologies dans la plupart des centres de contact sur site, dans le cloud ou distribués pour bloquer ou signaler les activités suspectes et améliorer la détection des fraudes.
Vérification d’identité. Des technologies telles que l’identification automatique du numéro peuvent vérifier l’identité d’un client en fonction de son numéro de téléphone avant les interactions de réponse vocale automatisée ou interactive (RVI). Certaines de ces technologies de détection de fraude suivent les numéros de téléphone en fonction d’informations telles que la possession (authentification du numéro de mobile et de l’appareil), la réputation (score de risque) et la propriété. Si une vérification supplémentaire est nécessaire, des contrôles d’authentification en couches peuvent aider à prévenir la fraude en envoyant des codes de vérification uniques par SMS ou par e-mail sur l’appareil d’un client. À l’avenir, les individus pourraient disposer de moyens supplémentaires pour prouver leur identité avec des appareils mobiles, car de plus en plus d’États proposent des permis de conduire et des pièces d’identité numériques.
Contactez l’analyse des sources. Les technologies émergentes peuvent confirmer plus précisément la véritable source d’un contact ainsi que le type d’appareil utilisé. Ces attributs peuvent indiquer aux agents du centre de contact si l’appelant est un vrai client ou un criminel se trouvant dans un lieu de fraude connu ou utilisant des équipements courants parmi les fraudeurs, tels que l’usurpation d’identité de l’appelant et les outils de sondage IVR.
Authentification multicouche. L’authentification multifactorielle, l’IA et les plateformes basées sur la connaissance peuvent identifier les mauvais acteurs qui usurpent l’identité de clients légitimes. La plateforme technologique saisit divers points de données et calcule un score de risque de fraude pour informer l’agent des prochaines étapes du processus de prévention de la fraude. Un code PIN ou un mot de passe à usage unique envoyé par SMS ou par e-mail à l’appareil d’un individu peut ajouter une couche de sécurité dynamique avant une session de connexion ou une transaction. Sur la base des évaluations des risques, les entreprises doivent trouver le bon équilibre entre une expérience client fluide et des mesures de sécurité à plusieurs niveaux.
Biométrie vocale. La biométrie audio avancée peut analyser la voix d’un appelant, créant ainsi une nouvelle couche d’authentification pour les centres de contact et les clients. Les fournisseurs SaaS de biométrie vocale permettent aux agents distants d’accéder à ces services d’authentification, quel que soit l’endroit où ils travaillent. Ces technologies devront bientôt faire face au clonage vocal piloté par l’IA et aux deepfakes audio, ce qui pourrait nécessiter une réévaluation de la protection contre la fraude et d’autres mesures de sécurité.
Détection de comportements suspects. Les techniques d’IA et d’apprentissage automatique se combinent avec des outils d’analyse de détection de fraude pour détecter les comportements suspects tels que les modèles d’appels inhabituels, les anomalies d’utilisation de l’IVR et d’autres indicateurs basés sur le comportement. L’outil décide alors si le contact est légitime. L’analyse comportementale peut également être utilisée pour surveiller le comportement des agents à la recherche de menaces internes en signalant plusieurs redirections de comptes ou réinitialisations de mots de passe.
NDLR : Cet article a été mis à jour pour refléter les derniers développements en matière d’outils, techniques et pratiques de détection et de prévention de la fraude dans les centres de contact.
Kathleen Richards est une journaliste indépendante et une vétéran de l’industrie. Elle est une ancienne éditrice de fonctionnalités pour TechTarget Sécurité des informations revue.
Andrew Froehlich est fondateur d’InfraMomentum, une société de recherche et d’analyse informatique d’entreprise, et président de West Gate Networks, une société de conseil informatique. Il est impliqué dans l’informatique d’entreprise depuis plus de 20 ans.