DSP2 : comment les fraudeurs déjouent l’authentification forte

Selon l’étude “Dark Side Of PSD2” réalisée par Riskified en collaboration avec IntSights, l’authentification forte du client (SCA – Strong Customer Authentication) prévue dans le cadre de la DSP2 n’est pas à l’abri de la fraude. Selon cette analyse, qui s’appuie notamment sur un examen du dark web, les fraudeurs recourent à trois méthodes principales pour contourner les nouvelles exigences d’authentification : l’accessibilité malveillante (exploitation de vulnérabilités zero-day ou de malwares comme TeaBot pour compromettre les systèmes de double authentification), l’ingénierie sociale (phishing, smishing) et l’échange de cartes SIM (interception du code OTP en rattachant le numéro de téléphone du porteur de carte à un équipement comportant une nouvelle carte SIM contrôlée par le fraudeur).

À noter : L’étude pointe un mauvais alignement des seuils réglementaires d’exemption TRA (Transaction Risk Analysis) et des profils de risque réels. Quelque 12 milliards d’euros de transactions CNP (card not present) seraient menacées à cause d’une friction excessive.