Comment la fraude par test de carte affecte la délivrabilité des e-mails (et comment la prévenir)

Si vous acceptez des paiements via des formulaires WordPress, il existe un lien important entre la sécurité des paiements et la délivrabilité des e-mails que vous devriez connaître.

La fraude par test de carte est une pratique courante menée par les cybercriminels, qui utilisent des robots automatisés pour valider des cartes de crédit volées sur vos formulaires de paiement. Ces attaques par test de carte sont non seulement néfastes pour la sécurité, mais elles peuvent également avoir un impact sur votre réputation d'expéditeur d'e-mails d'une manière qui affecte vos communications professionnelles légitimes.

Voici pourquoi : chaque soumission de formulaire de paiement déclenche généralement une notification par e-mail. Lors d'une attaque par test de carte, des centaines ou des milliers de tentatives frauduleuses peuvent générer un pic soudain de votre volume d'e-mails sortants. Ce schéma peut signaler aux fournisseurs d'e-mails que quelque chose d'inhabituel se produit avec votre domaine, affectant potentiellement la manière dont vos e-mails sont délivrés.

Mais pas de panique ! Avec les bonnes mesures préventives en place, vous pouvez protéger vos formulaires de paiement et votre infrastructure d'e-mails. 

Réparez vos e-mails WordPress maintenant

Explorons comment fonctionne la fraude par test de carte et les mesures pratiques que vous pouvez prendre pour sécuriser votre site WordPress.

Qu'est-ce que la fraude par test de carte ?

La fraude par test de carte (également appelée « carding » ou « card checking ») se produit lorsque des criminels valident des numéros de carte de crédit volés en effectuant de petits achats de test sur votre site Web. 

Les fraudeurs achètent des listes de données de cartes de crédit volées sur le dark web, parfois des milliers de numéros de carte à la fois. Mais ils ne savent pas quelles cartes sont toujours actives, lesquelles ont été annulées et lesquelles déclencheront des alertes de fraude. Ils les testent donc.

Ils utilisent des robots automatisés pour soumettre rapidement de petites transactions, généralement entre 0,50 $ et 5,00 $, via des formulaires de paiement qui acceptent des paiements variables (les formulaires de dons sont une cible fréquente).

Ces montants sont suffisamment bas pour éviter les systèmes de détection de fraude, inférieurs au seuil qui alerterait les titulaires de carte, et rapides à traiter, permettant des centaines de tests par heure.

Une fois qu'une carte a traité avec succès une transaction, le fraudeur sait qu'elle est valide. Ces numéros de carte vérifiés sont ensuite vendus à un prix élevé sur le dark web ou utilisés pour des achats importants avant que le titulaire de la carte ne s'en aperçoive.

Pourquoi les sites WordPress sont-ils des cibles de choix ?

• Part de marché : WordPress alimente 62 % de tous les sites Web utilisant un système de gestion de contenu, ce qui en fait la plateforme la plus courante sur le Web.
• Niveaux de sécurité variables : les petites entreprises manquent souvent des systèmes sophistiqués de détection de fraude utilisés par les grandes plateformes de commerce électronique d'entreprise.
• Accessibilité facile : les formulaires de paiement sont accessibles au public et faciles à localiser grâce à la numérisation automatisée.

Délivrabilité des e-mails et fraude par test de carte

C'est là que les choses deviennent encore plus délicates pour les propriétaires de sites : une seule attaque de test de carte peut générer 500 à 5 000 tentatives de transaction par heure, et chacune déclenche une notification par e-mail de votre site.

Lorsque des fraudeurs testent 1 000 cartes de crédit volées sur votre formulaire de paiement en 2 heures, votre site WordPress envoie 1 000 e-mails de notification depuis votre domaine pendant ces mêmes 2 heures.

Comment les fournisseurs d'e-mails évaluent les modèles d'envoi

Les fournisseurs d'e-mails comme Gmail, Outlook et Yahoo utilisent des systèmes automatisés pour évaluer le comportement des expéditeurs. Ces systèmes analysent des modèles, notamment les changements soudains de volume d'e-mails provenant d'un domaine, la cohérence des modèles d'envoi au fil du temps, les taux d'engagement et les taux de rebond, ainsi que les protocoles d'authentification.

Lorsqu'un volume d'e-mails d'un site augmente soudainement de 10 à 20 fois (ce qui peut se produire lors d'attaques de test de carte), ces systèmes peuvent signaler le modèle comme inhabituel. Le défi est que les systèmes automatisés ne peuvent pas facilement distinguer les augmentations de volume légitimes des activités potentiellement problématiques.

Comprendre la réputation de l'expéditeur

Les fournisseurs d'accès à Internet (FAI) utilisent la cohérence du volume comme l'un des nombreux signaux de confiance lors de l'évaluation des expéditeurs d'e-mails. Ils préfèrent généralement des modèles d'envoi prévisibles.

Lorsque le volume d'e-mails d'un domaine augmente de manière spectaculaire et inattendue, les FAI peuvent appliquer une surveillance supplémentaire. En effet, des modèles similaires sont parfois associés à des comptes de messagerie compromis, à des opérations de spam en masse ou à des problèmes de sécurité de l'infrastructure d'envoi. Bien que cette mesure de protection aide les FAI à filtrer les menaces réelles, elle peut également affecter les expéditeurs légitimes qui connaissent des pics de volume inattendus.

Une attaque de test de carte peut potentiellement déclencher une limitation de débit, impacter le placement dans la boîte de réception et affecter les métriques de réputation de l'expéditeur. La bonne nouvelle est que ces problèmes sont évitables avec des mesures de sécurité appropriées.

Impact potentiel sur les performances des e-mails

Lorsque la réputation de l'expéditeur est affectée par des modèles d'envoi inhabituels, plusieurs choses peuvent se produire. La livraison des e-mails peut être retardée car les messages sont mis en file d'attente pour un examen supplémentaire. Certains messages peuvent être filtrés dans les dossiers de spam, et les taux de placement dans la boîte de réception peuvent diminuer. Les e-mails transactionnels tels que les confirmations de commande et les réinitialisations de mot de passe peuvent rencontrer des problèmes de livraison.

Il faut généralement 8 à 12 semaines pour rétablir complètement la réputation d'un expéditeur après qu'elle a été affectée négativement, c'est pourquoi la prévention est si importante.

La meilleure approche consiste à mettre en œuvre des mesures de sécurité qui empêchent les attaques de test de cartes de se produire en premier lieu, protégeant ainsi votre sécurité de paiement et votre infrastructure de messagerie.

Pics de volume vs. Plaintes pour spam : Comprendre la différence

La plupart des propriétaires de sites Web connaissent l'impact des plaintes de spam sur la délivrabilité des e-mails. Gmail et Yahoo exigent des taux de spam inférieurs à 0,3 %, et la meilleure pratique consiste à viser 0,1 % ou moins. Les plaintes de spam s'accumulent généralement progressivement, vous donnant le temps d'identifier et de résoudre les problèmes.

Les pics de volume dus aux attaques de test de cartes présentent un défi différent car ils se produisent soudainement et affectent différentes métriques.

Multiples facteurs d'impact : Plutôt que de simplement affecter les taux de plaintes, les pics de volume peuvent influencer la cohérence des modèles d'envoi, les taux de rebond (si les fraudeurs utilisent des adresses e-mail invalides), les métriques d'engagement (les e-mails de soumission frauduleuse ont généralement zéro ouverture ou clic) et les ratios volume/engagement globaux.

Apparition rapide : Alors que les plaintes de spam s'accumulent avec le temps, les problèmes de volume peuvent survenir en quelques heures lors d'une attaque active. Les FAI utilisent des systèmes automatisés pour signaler les modèles d'envoi inhabituels, ce qui signifie que l'intervention se produit rapidement, souvent avant que vous ne soyez conscient du problème.

Chronologie : Comment les attaques par test de carte affectent la délivrabilité des e-mails

Comprendre le calendrier d'une attaque de test de carte peut vous aider à reconnaître les signes tôt et à prendre des mesures préventives. Examinons un calendrier typique pour mieux comprendre à quelle vitesse une attaque comme celle-ci pourrait affecter la délivrabilité de vos e-mails :

Étape 1 : L'attaque (0-3 heures)

23h00 : La première transaction frauduleuse arrive. Un e-mail de notification envoyé.

23h15 : Cinquante tentatives supplémentaires. Cinquante e-mails de notification.

Minuit : Le bot est en pleine action. Cinq cents tentatives au cours de la dernière heure. Votre serveur de messagerie traite cinq cents e-mails sortants.

1h00 : Cinq cents de plus. Votre volume quotidien normal est envoyé en une seule heure.

2h00 : La limitation de débit commence. Votre fournisseur SMTP commence à ralentir car votre modèle d'envoi est maintenant indiscernable du spam.

Étape 2 : Impact sur le service (3-24 heures)

Si l'attaque se poursuit sans être traitée, le service de messagerie peut être affecté. Les e-mails de réinitialisation de mot de passe peuvent être retardés, et les confirmations de commande peuvent connaître des retards de livraison en raison de la mise en file d'attente. Certaines notifications pourraient être filtrées ou retardées pendant que les FAI examinent les modèles d'envoi inhabituels, et les taux de livraison des newsletters peuvent diminuer temporairement.

Étape 3 : Effets sur la réputation (Jours 1-7)

Même après l'arrêt de l'attaque, les performances de messagerie peuvent continuer d'être affectées :

Les métriques de réputation de votre domaine peuvent montrer des changements à mesure que les FAI traitent le modèle d'envoi inhabituel. Les outils de surveillance des e-mails tels que Google Postmaster Tools pourraient montrer une diminution du score de réputation. Les taux de placement en boîte de réception pourraient être inférieurs à la normale pendant cette période.

C'est pourquoi la prévention est tellement plus efficace que la remédiation.

Étape 4 : Processus de rétablissement (Semaines 1-12)

Si la réputation de l'expéditeur a été affectée, sa reconstruction nécessite une approche méthodique. Vous devez reconstruire progressivement votre réputation d'expéditeur par un processus similaire à la « montée en charge » d'une nouvelle adresse IP. Cela implique une augmentation progressive du volume d'e-mails sur 15 à 60 jours, en commençant par vos abonnés les plus engagés.

Comment prévenir la fraude par test de carte

L'un des moyens les plus efficaces de prévenir la fraude par test de carte est de définir un prix minimum sur vos champs de paiement. Cette simple configuration peut arrêter des milliers de tentatives frauduleuses avant qu'elles ne se produisent.

Pourquoi les paramètres de prix minimum fonctionnent

L'approche est d'une simplicité élégante mais très efficace. Lorsque vous définissez un montant de transaction minimum sur vos champs de paiement (par exemple, 5 $, 10 $ ou 20 $), toute transaction inférieure à ce seuil ne sera pas traitée.

Étant donné que les fraudeurs préfèrent les micro-transactions entre 0,50 $ et 2,00 $ (elles sont moins susceptibles de déclencher des alertes de fraude), la définition d'un prix minimum rend votre formulaire peu attrayant pour les tests de carte. Pendant ce temps, les clients légitimes ne sont pas affectés car vos produits ou services réels coûtent déjà plus cher que le minimum.

Configuration des prix minimum

Si vous utilisez WPForms, voici comment configurer les prix minimum sur vos champs de paiement :

1. Ouvrez votre formulaire dans le constructeur de formulaires
2. Accédez au formulaire avec les champs de paiement
3. Sélectionnez votre champ Élément unique de paiement
4. Cliquez sur Options du champ
5. Trouvez le paramètre « Prix minimum »
6. Entrez votre montant minimum

La clé est de le fixer suffisamment haut pour dissuader les fraudeurs, mais suffisamment bas pour ne pas impacter votre offre légitime la moins chère. Pour les formulaires de don où les visiteurs peuvent saisir des montants personnalisés, même un minimum de 5 $ offre une protection significative sans décourager les donateurs authentiques.

La stratégie complète de protection des e-mails

La prévention de la fraude par test de carte nécessite plusieurs niveaux de protection. Voici votre stratégie de défense complète :

Couche 1 : Prévenir l'attaque (Fonctionnalités de sécurité du formulaire)

Définissez des prix minimum sur tous les champs de paiement comme première ligne de défense. Ce paramètre seul peut arrêter des milliers de tentatives frauduleuses. Ceci est particulièrement important pour les formulaires de don où les visiteurs peuvent saisir n'importe quel montant.

Ajoutez CAPTCHA ou une alternative à vos formulaires pour empêcher les robots automatisés d'atteindre vos champs de paiement. La plupart des plugins de formulaire prennent en charge Google reCAPTCHA v2 et v3.

Pour les formulaires de grande valeur, activez la vérification par e-mail pour obliger les utilisateurs à vérifier leur adresse e-mail avant de soumettre. Vous pouvez également utiliser la logique conditionnelle pour afficher les champs de paiement uniquement après que les utilisateurs ont rempli les champs d'informations requis, rendant les attaques automatisées plus difficiles.

Si vous utilisez Stripe pour les paiements, activez Stripe Radar, leur système de détection de fraude intégré qui utilise l'apprentissage automatique sur des millions de transactions pour identifier les modèles frauduleux.

Couche 2 : Infrastructure d'e-mails appropriée (WP Mail SMTP)

Voici le point essentiel que la plupart des propriétaires de sites WordPress manquent : ne vous fiez jamais à la fonction par défaut wp_mail() de WordPress pour les e-mails transactionnels.

Pourquoi ? Parce que wp_mail() utilise le serveur de messagerie de votre hébergeur, qui manque d'une authentification appropriée (SPF, DKIM, DMARC), utilise des adresses IP partagées avec une mauvaise réputation, n'a pas de capacités de limitation ou de mise en file d'attente, ne peut pas gérer les pics de volume soudains et ne fournit aucun journal ou surveillance.

Lorsqu'une attaque de test de carte se produit, wp_mail() tentera d'envoyer chaque notification immédiatement, sans aucune protection.

WP Mail SMTP achemine vos e-mails WordPress via un fournisseur de services SMTP professionnel, vous offrant plusieurs avantages :

Authentification appropriée via les enregistrements SPF, DKIM et DMARC qui prouvent que vos e-mails sont légitimes. Les FAI accordent une grande importance à l'authentification lors du calcul de la réputation de l'expéditeur.

Infrastructure dédiée signifie que vos e-mails sont envoyés via des serveurs de messagerie professionnels avec des réputations établies, et non votre serveur d'hébergement mutualisé.

Limitation de débit et mise en file d'attente garantissent que lorsque des pics de volume se produisent, les e-mails sont mis en file d'attente et envoyés à des débits sûrs au lieu de déclencher des signaux d'alarme.

Connexions de secours vous permettent d'utiliser un autre fournisseur d'e-mails si votre service d'e-mails principal tombe temporairement en panne.

Journalisation des e-mails suit chaque e-mail envoyé depuis WordPress. Pendant une attaque, vous pouvez voir exactement ce qui se passe et combien d'e-mails ont été envoyés.

Meilleure délivrabilité sous pression car les fournisseurs SMTP professionnels sont conçus pour gérer les fluctuations de volume et maintenir la délivrabilité pendant les attaques.

Réparez vos e-mails WordPress maintenant

Couche 3 : Stratégie de notification intelligente

Auditez toutes vos notifications de formulaire et posez-vous ces questions clés :

Avez-vous besoin d'envoyer un e-mail pour chaque soumission ? Pour les formulaires de paiement, envisagez d'envoyer des notifications uniquement pour les paiements réussis, en ignorant les notifications pour les transactions refusées, ou en utilisant des notifications conditionnelles pour filtrer la fraude évidente (comme ne pas notifier si une transaction est inférieure à 1 $).

Pouvez-vous consolider les notifications ? Au lieu d'un e-mail par transaction, vous pourriez implémenter des e-mails de résumé quotidiens de toutes les transactions, des notifications de seuil (notifier uniquement après 10 transactions), ou des alertes SMS pour les activités suspectes au lieu d'e-mails.

Envoyez-vous aux bonnes personnes ? Examinez vos paramètres « Envoyer à » pour supprimer les destinataires inutiles, utilisez des adresses basées sur les rôles au lieu d'e-mails personnels, et envisagez d'envoyer à un système de billetterie au lieu d'e-mails.

Couche 4 : Surveillance et alertes

Mettez en place une surveillance pour détecter les attaques tôt :

Google Postmaster Tools affiche la réputation de votre domaine sur une échelle de 4 niveaux (mauvaise, faible, moyenne/correcte, élevée) et vous alerte en cas de plaintes pour spam, d'erreurs de livraison et de problèmes d'authentification. Ceci est particulièrement important pour les expéditeurs à grand volume.

Microsoft SNDS fournit des informations sur votre réputation auprès des domaines Outlook et Hotmail, tandis que Sender Score offre une évaluation numérique gratuite de votre réputation de 0 à 100.

Activez la fonction journalisation des e-mails de WP Mail SMTP pour surveiller le volume des e-mails sortants et configurer des alertes en cas de pics inhabituels. Utilisez la gestion des entrées de votre plugin de formulaire pour repérer les modèles suspects tels que plusieurs soumissions provenant de la même IP, des noms similaires ou des micro-transactions.

Reconnaître l'activité de test de carte à un stade précoce

La détection précoce des activités de test de cartes vous aide à réagir rapidement et à minimiser tout impact. Voici les modèles à surveiller :

Dans votre boîte de réception : Surveillez un afflux soudain d'e-mails de notification de formulaire (des dizaines par heure au lieu de quelques-uns par jour). Les notifications montrent généralement de petits montants (0,50 $ - 5,00 $) avec des noms et des adresses e-mail différents mais des modèles de transaction similaires. Vous pourriez voir des adresses e-mail internationales ou des adresses qui ne correspondent pas aux pays de facturation, avec toutes les soumissions regroupées en quelques minutes ou heures.

Dans vos journaux d'e-mails : Recherchez une forte augmentation du volume d'e-mails sortants (10 fois ou plus votre taux normal), avec un pourcentage élevé d'e-mails provenant des notifications de formulaire de paiement. Les tentatives de livraison échouées peuvent augmenter, tout comme le taux de rebond.

Dans le tableau de bord de votre processeur de paiement : Plusieurs transactions refusées en succession rapide sont un signal d'alarme. Surveillez les numéros de carte différents mais la même adresse de livraison, les alertes de vélocité (de nombreuses transactions par minute), un mélange d'adresses de facturation internationales et des cartes testées depuis des pays signalés pour fraude.

Étapes de récupération de la délivrabilité des e-mails

Si votre délivrabilité d'e-mails a été affectée par un incident de test de carte, voici une approche structurée pour la récupération :

Actions immédiates (0-24 heures)

Arrêtez toutes les attaques en cours en désactivant temporairement les formulaires de paiement ou en activant immédiatement les paramètres de prix minimum sur vos champs de paiement. Ajoutez reCAPTCHA si ce n'est pas déjà activé et bloquez les adresses IP présentant une activité frauduleuse.

Évaluez les dégâts en examinant les journaux d'e-mails de WP Mail SMTP pour compter le nombre d'e-mails envoyés. Vérifiez les scores de réputation des expéditeurs via Google Postmaster, Microsoft SNDS et Sender Score. Testez la délivrabilité des e-mails vers les principaux fournisseurs (Gmail, Outlook, Yahoo) et vérifiez le statut de mise sur liste noire à l'aide d'outils tels que MX Toolbox.

Mettez en œuvre un plan de contrôle des dégâts en contactant immédiatement votre fournisseur SMTP pour expliquer l'attaque par test de carte. Renseignez-vous sur le statut de réputation de l'IP et les options de remédiation, et demandez des conseils sur le calendrier de récupération.

Récupération à court terme (semaines 1-4)

Mettez en pause les envois problématiques et mettez en œuvre un réchauffement progressif en commençant par des volumes plus faibles et en augmentant lentement tout en priorisant les utilisateurs engagés.

Semaine 1 : Envoyez uniquement aux abonnés qui ont ouvert des e-mails dans les 7 à 10 derniers jours. Réduisez le volume de 70 à 80 % par rapport à la normale, concentrez-vous sur vos e-mails transactionnels de la plus haute valeur et surveillez les métriques de délivrabilité quotidiennement.

Semaines 2-3 : Étendez aux abonnés engagés dans les 30 derniers jours. Augmentez le volume de 25 % par semaine, continuez à surveiller les taux de rebond et les plaintes de spam, et observez les améliorations des scores de réputation de l'expéditeur.

Semaine 4 : Ajoutez progressivement les abonnés moins engagés, approchez 50 à 70 % du volume normal et recherchez une stabilisation des métriques de délivrabilité.

Prévention à long terme (en cours)

Implémentez toutes les couches de protection en conservant les paramètres de prix minimum activés en permanence sur tous les formulaires de paiement et en maintenant reCAPTCHA sur tous les formulaires de paiement. Utilisez une infrastructure SMTP professionnelle pour tous les e-mails WordPress et effectuez des audits de sécurité réguliers des paramètres des formulaires.

Établissez des routines de surveillance comprenant des vérifications hebdomadaires des scores de réputation de l'expéditeur, des audits mensuels de délivrabilité des e-mails, des revues de sécurité trimestrielles de tous les formulaires et des alertes automatisées pour les pics de volume.

Restez à jour en maintenant votre plugin de formulaire à jour (les correctifs de sécurité abordent souvent la prévention de la fraude), en maintenant votre plugin SMTP à jour, en examinant les enregistrements d'authentification des e-mails chaque année et en restant informé des nouvelles tactiques de fraude.

Vos formulaires de paiement et votre infrastructure d'e-mails fonctionnent ensemble dans le cadre du système de communication global de votre site. Lorsque vous en sécurisez un, vous en protégez souvent l'autre.

La définition de prix minimum sur les champs de paiement constitue une première ligne de défense efficace contre la fraude par test de carte, aidant à prévenir les tentatives frauduleuses avant qu'elles ne génèrent des e-mails de notification excessifs.

L'utilisation d'une solution SMTP professionnelle comme WP Mail SMTP garantit que vos e-mails légitimes sont livrés de manière fiable via une infrastructure appropriée avec authentification, limitation de débit et capacités de surveillance.

Avec la bonne configuration et les bons outils en place, vous pouvez accepter les paiements en toute confiance tout en maintenant une excellente délivrabilité des e-mails.

Réparez vos e-mails WordPress maintenant

Ensuite, découvrez comment améliorer la sécurité des e-mails WordPress

Vous vous demandez à quel point WP Mail SMTP est vraiment sécurisé ? Ou vous souhaitez simplement prendre des mesures supplémentaires pour améliorer votre sécurité d'e-mail dans son ensemble ? Notre guide sur la sécurité des e-mails WordPress vous aidera.

Prêt à réparer vos e-mails ? Commencez dès aujourd'hui avec le meilleur plugin SMTP WordPress. Si vous n'avez pas le temps de réparer vos e-mails, vous pouvez obtenir une assistance complète de configuration "White Glove" moyennant un supplément, et il y a une garantie de remboursement de 14 jours pour tous les plans payants.

Si cet article vous a aidé, suivez-nous sur Facebook et Twitter pour plus de conseils et tutoriels WordPress.