Cas d'arnaque via Paypal

[flp456]

Bonjour,

J'aimerais vous soumettre un cas d'arnaque via Paypal dont nous sommes fréquemment victime.

Notre site vend des bases de données statistiques, il s'agit donc de biens immatériels qui sont délivrés au client par téléchargement.


Voici comment se déroule l'arnaque :

- le client achète un fichier sur notre site

- une fois le paiement validé par Paypal, il reçoit de notre part un email avec un login/mdp. Ces informations sont envoyées uniquement à l'adresse liée à son compte Paypal et ne sont visibles nulle part ailleurs.

- le client se connecte sur le site et télécharge son fichier. Chaque téléchargement est monitoré de sorte que nous pouvons bien vérifier si ce dernier a réellement été effectué ou pas.

- un peu plus tard (parfois seulement quelques minutes après) nous recevons un mail de Paypal comme quoi l'acheteur à demandé le remboursement de son achat. Quand nous contactons l'acheteur, il nous dit avoir été victime d'un piratage de son compte et dans 100% des cas (sur la douzaine d'affaires semblables que nous ayons eu) Paypal lui rembourse son argent et nous perdons nos billes, il n'y a même pas moyen de discuter.


Dans la plupart des cas il est pourtant facile de prouver l'arnaque :

- si l'acheteur demande le remboursement quelques minutes seulement après l'achat, il est clair que cela était prémédité, si c'est quelqu'un qui s'est fait piraté son compte ou sa carte, il va s'écouler un certain temps avant que celui-ci ne découvre le vol et ne fasse une opposition. Et le pirate lui ne va pas aller demander le remboursement, il n'en a rien a foutre (ou alors il est vraiment très tordu ;-)

- si on peut admettre que l'acheteur se soit fait piraté son no de carte ou son compte Paypal, pour que le téléchargement ait eut lieu cela ça veut dire qu'il s'est également fait piraté son compte mail, c'est possible bien sûr mais quand même peu probable.

- si l'adresse IP du téléchargement correspond ou est proche de celle de l'acheteur, ça confirme qu'il y a toute les chances que ce soit bien le réel détenteur du compte Paypal qui ait fait le téléchargement et non pas un pirate qui est sans doute situé bien loin de lui.

Si de plus ces trois critères sont réunis, il est clairement établi qu'il s'agit d'une arnaque délibérée de la part de l'acheteur et non d'un piratage de son compte comme il le prétend.

Malgré cela rien à faire, Paypal refuse systématiquement de nous rembourser prétextant qu'on ne dispose pas de preuve suffisante que le bien ait été expédié (forcément puisqu'il n'y a eu aucun envoi "physique").


Une solution (la seule à ce jour que nous a proposé Paypal) est d'attendre 1 à 2 jours avant d'envoyer le fichier (ainsi s'il s'agit réellement d'un piratage le détenteur du compte a le temps de réagir). Dans la pratique cela n'est évidemment pas gérable, les clients qui achètent en ligne veulent obtenir leur fichier directement sinon ils pensent qu'ils se sont fait avoir et ils se retournent contre nous, même en expliquant que c'est pour des raisons de sécurité, il est impensable de procéder comme cela (et de toute façon ça ne résoud rien puisque l'acheteur peut très bien attendre quelques jours avant de demandé son remboursement).


Ma question est donc : est-ce que certains d'entre-vous sont confrontés au même problème et si oui avez-vous pu trouver une parade contre ce type d'arnaque ?

Il est regretable que rien ne soit prévu dans Paypal pour autentifier qu'un fichier a bien été téléchargé, concluant ainsi la vente. Ce ne serait pourtant pas très compliqué à mettre en place, il suffirait par exemple d'avoir un lien de téléchargement qui passe par leur site.

 

[Marie-Aude]

Oui ce n'est pas la première fois que j'ai entendu parler de ce genre de choses, avec les mêmes problèmes vis à vis de paypal.

Peut être envisager un autre mode de paiement ?

 

[flp456]

Peut être envisager un autre mode de paiement ?

Une partie de nos clients payent par virement bancaire, dans ce cas évidemment pas de problème de ce genre, mais en contrepartie il y a un délai de plusieurs jours (sans compter l'obligation dans ce cas de traiter le dossier manuellement), hors la plupart des acheteurs souhaitent obtenir leur fichier directement.

Pour les autres systèmes de paiement en ligne je pense que le problème reste pareil, un client pourra toujours dire qu'il n'a rien reçu et demander un remboursement, ce qu'il faudrait c'est un moyen légal, ou du moins agréé par l'organisme de paiement, de prouver que le fichier a bien été téléchargé par le client, hors à ma connaissance aucun système ne propose cela .

 

[jcaron]

Tes clients sont français ou internationaux? En France un paiement par CB n'est répudiable qu'en cas de fraude. Avec une passerelle de paiement CB autre que Paypal avec 3D-Secure actif ton paiement est normalement garanti. Et même à l'étranger tu devrais avoir une bien meilleure couverture.

Ceci dit, pour revenir sur le cas Paypal, n'oublie pas que le titulaire du compte reçoit un mail de notification juste après le paiement. Vu comme le phishing ça marche bien, il est tout à fait possible que tes "clients" aient effectivement piraté un compte Paypal pour obtenir ton fichier, et que dès que le titulaire voit ça il se mette effectivement à hurler. C'est quoi comme type de fichier qui attire la fraude (dans un sens ou dans l'autre) comme ça?

Jacques.

 

[Firewave]

Voit avec ta banque pour installer un système de paiement visa ou CB. Au moins tu auras la paix.
Mais effectivement dans le cas de Paypal tu ne peux pas faire grand chose. Ce genre de scam sont courants dans la vente de monnaie virtuelle sur des jeux massivement multijoueurs, et ça va chercher dans des sommes astronomiques des fois.
Si tu peux te passer de paypal vu la nature des services que tu offres, fais donc. Ou bien fait en sorte qu'une partie du contenu ne soit pas téléchargeable, mais uniquement consultable sur le site pendant x jours avant de pouvoir le télécharger.
Ou bien installer un système de confiance. Paiement d'un abonnement d'accès à la base grâce à un système de SMS ou appel surtaxé, puis un paiement paypal. Comme ça tu as deux niveau de sécurité.
Mais à chaque fois ça rajoutera une contrainte pour toi et pour le client.

Bon courage.

 

[kanon90]

Paypal c'est le service qui protège les acheteurs, pas les vendeurs.

Il m'est arrivé de vendre des jeux vidéos sur eBay. J'avais précisé sur l'annonce (mon coté naif):

FDP :
2.5 € tarif lettre.
3.5 € tarif lettre avec suivi.
Je ne serais pas responsable en cas de perte du colis au tarif lettre et cela sera à la charge de l'acheteur.

Et c'est la que c'est marrant avec Paypal. Les acheteurs prennent le tarif lettre normal et 15 jours après ouvrent un litige pour non réception. Comment ca monsieur PayPal je ne peux pas prouver mon envoi ? Oui mais j'avais précisé que... a ben non ca compte pas... Okay... Merci monsieur PayPal.

Bref c'était la petite anecdote qui n'atteint pas le même préjudice que toi, moi perso j'en suis guéri de Paypal.

 

[Axiso]

Il y aura toujours des acheteurs pour contester leur paiement par carte, mais au moins avec un autre système d'encaissement la procédure sera plus contraignante pour eux et donc plus dissuasive qu'avec PayPal où une simple plainte par formulaire en ligne peu suffire.

 

[Axiso]

moi perso j'en suis guéri de Paypal.

D'ailleurs comme je le suggère de plus en plus, essayer le nouveau service de HiMedia permettrait peut-être de participer au déploiement d'une alternative à PayPal : https://www.hipay.com
Je ne sais pas ce qu'ils appliquent comme procédure pour les demandes d'annulation mais on a rien à perdre à essayer.

 

[flp456]

Tes clients sont français ou internationaux? En France un paiement par CB n'est répudiable qu'en cas de fraude. Avec une passerelle de paiement CB autre que Paypal avec 3D-Secure actif ton paiement est normalement garanti. Et même à l'étranger tu devrais avoir une bien meilleure couverture.

Nos clients sont internationaux (5% max. en France). On utilise Paypal parce que c'est le plus connu au niveau international et qu'il inspire une certaine confiance au acheteurs (peut-être justement parce qu'ils savent qu'ils peuvent se faire rembourser en cas d'arnaque). En plus il intègre d'autres moyen de paiement (comme Giropay qui marche très bien en Allemagne) que les banques françaises ne proposent pas.

Ceci dit, pour revenir sur le cas Paypal, n'oublie pas que le titulaire du compte reçoit un mail de notification juste après le paiement. Vu comme le phishing ça marche bien, il est tout à fait possible que tes "clients" aient effectivement piraté un compte Paypal pour obtenir ton fichier, et que dès que le titulaire voit ça il se mette effectivement à hurler. C'est quoi comme type de fichier qui attire la fraude (dans un sens ou dans l'autre) comme ça?

Oui bien sûr, il est possible que certains comptes soient piratés, mais comme expliqué, pour pouvoir télécharger le fichier le pirate à dû avoir accès en plus au compte mail du titulaire afin de recevoir le code d'accès. Au début on affichait le lien de téléchargement à l'écran juste après le paiement, on a vite compris la faille en cas d'achat avec une carte piratée et a présent toutes les infos sont uniquement envoyées au mail du client, ça a réduit les risques mais c'est semble-t-il pas suffisant.

Les fichiers qu'on propose n'ont rien de très "sexy", ce sont des bases de données statistiques sur différents pays destinées aux sociétés, mais bon sans doute que certains essayent de les avoir gratuitement pour les revendre ensuite.

 

[flp456]

Ou bien fait en sorte qu'une partie du contenu ne soit pas téléchargeable, mais uniquement consultable sur le site pendant x jours avant de pouvoir le télécharger.

En fait le client peut déjà visualiser l'entièreté des données avant d'acheter, donc forcément une fois l'achat effectué c'est difficile de lui dire qu'il ne peut pas avoir le fichier tout de suite :?

Ou bien installer un système de confiance. Paiement d'un abonnement d'accès à la base grâce à un système de SMS ou appel surtaxé, puis un paiement paypal. Comme ça tu as deux niveau de sécurité.
Mais à chaque fois ça rajoutera une contrainte pour toi et pour le client.

On y a pensé mais c'est trop contraignant, nos clients sont des sociétés pour la plupart, je nous vois mal demander au responsable des achats d'envoyer un sms pour confirmer son paiement. On pourrait éventuellement essayer de contrôler les données avant l'achat (vérifier au registre des sociétés, etc...) mais à ce moment c'est pour nous que ce serait trop contraignant.

Par contre on pense de plus en plus a instaurer un système de vérification par palier : pour les petits achats, pas de contrôle spécifique et à partir d'un certain montant, on effectue des vérifications supplémentaires.

Bon courage.

Merci

 

[polweb]

Paypal n'est pas adapté aux vente d'objets immatériels.

Et puis je vais te dire : j'ai une boutique sur laquelle un acheteur a eu un problème avec sa CB. Son paiement m'a donc été retiré plus une dizaine euros de frais. J'ai été en contact avec l'acheteur il a débloqué son compte paypal et j'ai donc eu son paiement. Mais malgré plusieurs mails paypal maintien les frais d'oppositions et ne me répond pas vraiment. Pire ils ont envoyés à l'acheteur une réponse qui m'était destinée :roll:

 

[Firewave]

Sinon ce qui est possible de faire c'est une vérification automatique avant déblocage du fichier comme le fait OVH avec ses services grâce à un système de notification par SMS. Quand quelqu'un achète, un SMS est envoyé à son mobile, il doit alors re-entrer le code sur le site pour télécharger. Au delà d'un certain pallier le code est même envoyé par la poste + SMS pour être sûr de l'adresse de facturation.
Mais ça engendrera un cout supplémentaire. Sauf que je pense qu'il y a des sociétés spécialisées pour te vendre des solutions clés en main de ce genre. Ou bien adapter le système pour que le fichier soit plutôt envoyé (ou son code de dézipage) sur le compte mail associé et vérifié de la personne.
Si jamais la personne se fait pirater son compte paypal, il faudra aussi qu'elle se fasse pirater son mail. Ca commencera à faire beaucoup d'un coup. Peut-être que ça en dissuadera certains.

 

[flp456]

Ou bien adapter le système pour que le fichier soit plutôt envoyé (ou son code de dézipage) sur le compte mail associé et vérifié de la personne.
Si jamais la personne se fait pirater son compte paypal, il faudra aussi qu'elle se fasse pirater son mail. Ca commencera à faire beaucoup d'un coup. Peut-être que ça en dissuadera certains.

Mais c'est exactement ce qu'on fait déjà justement ! Et en plus on peut vérifier qu'elle a bien reçu et utilisé le lien de téléchargement puisque celui-ci est monitoré, mais visiblement ça ne suffit pas comme preuve pour Paypal, le client dit simplement qu'il n'a rien reçu et hop, il se fait rembourser alors qu'on est parfaitement en mesure de démontrer qu'il a bien téléchargé son fichier :evil:

Et pour le sms ça ne changera rien, on a aucune manière de savoir si le numéro est bien celui de l'acheteur, et puis il fera pareil, il dira qu'il n'a reçu aucun sms :?

Le truc qu'il faudrait c'est qu'avant de pouvoir télécharger le client doive cocher une case quelque-part sur le site de Paypal qui confirme qu'il a bien reçu les codes d'accès et qu'à partir de ce moment là il ne pourra plus faire opposition à son paiement, mais bon c'est pas demain la veille.. :|

 

[Leonick]

Le truc qu'il faudrait c'est qu'avant de pouvoir télécharger le client doive cocher une case quelque-part sur le site de Paypal qui confirme qu'il a bien reçu les codes d'accès et qu'à partir de ce moment là il ne pourra plus faire opposition à son paiement, mais bon c'est pas demain la veille.. :|

mais rien n'indiquera au client, à ce moment là, que le code d'accès est réellement opérationnel pour récupérer son achat

 

[Firewave]

Et bien à chaque moyen de paiement ces désavantages. Reste plus qu'à trouver un autre moyen de paiement avec peut être d'autres paypal likes.
C'est la même chose avec http://www.moneybookers.com/app/ ?
Je sais qu'on l'utilise beaucoup en russie et pays de l'est. Mais je ne l'ai jamais essayé.

 

[flp456]

C'est la même chose avec http://www.moneybookers.com/app/ ?
Je sais qu'on l'utilise beaucoup en russie et pays de l'est. Mais je ne l'ai jamais essayé.

Peut-être pas, c'est un site qui ne m'inspirait pas trop confiance avant mais c'est vrai qu'on entend de plus en plus parler d'eux, je vais regarder ce qu'ils proposent comme solution pour les marchands car pour les particuliers en tout cas je sais que les plafonds sont très limités.

 

[Leonick]

Est-ce que tes clients sont des habitués ou à chaque fois des occasionnels ?

 

[flp456]

Est-ce que tes clients sont des habitués ou à chaque fois des occasionnels ?

Un peu des deux, beaucoup achêtent d'abord une base de données pour voir puis en commandent d'autres par la suite mais certains n'ont besoin que d'un fichier spécifique, c'est 50/50 je dirais.

 

[flp456]

C'est la même chose avec http://www.moneybookers.com/app/ ?
Je sais qu'on l'utilise beaucoup en russie et pays de l'est. Mais je ne l'ai jamais essayé.

Peut-être pas, c'est un site qui ne m'inspirait pas trop confiance avant mais c'est vrai qu'on entend de plus en plus parler d'eux, je vais regarder ce qu'ils proposent comme solution pour les marchands car pour les particuliers en tout cas je sais que les plafonds sont très limités.

Bon je viens de regarder les frais marchand chez moneybookers, ok ils garantissent les risques d'opposition mais ça se ressent dans le coût du service : http://www.moneybookers.com/app/help.pl?s=m_fees&l=FR

En gros ils gardent 11% de la transaction ! c'est plus de 4 fois ce qu'on paie chez Paypal 8O c'est clair qu'à ce prix ils peuvent prendre en charge les quelques risques d'oppositions...

En plus quand tu t'enregistres tu dois signer comme quoi tu acceptes qu'ils ne sont pas couverts en cas de faillite et que tous tes fonds en dépôt chez eux peuvent être perdus 8O 8O pas vraiment rassurant !

Et je comprend pas trop leur système de limite de retrait non plus, même en faisant toutes les vérifications il m'indique un plafond de retrait de 16000 eur sur 90 jours, on fait comment s'il y a plus ?

Bref, je ne sais pas si qqun ici utilise leurs services pour de la vente en ligne mais ça n'a clairement pas l'air d'être leur coeur de cible.

 

[Leonick]

et les problèmes de paiement n'arrivent qu'avec les comptes des nouveaux clients ?

 

[Firewave]

Moneybrooker c'est surtout pour les pays de l'est qui n'ont pas toujours de CB internationale pour acheter à l'étranger. C'est surtout pour des paiement modérées ne dépassant pas les quelques centaines d'euros. Du moins dans le jeu en ligne c'est le cas.
Je l'ai connu comme ça. Après vu que je ne m'amusais pas à vendre ni acheter des produits virtuels, je ne m'y suis pas intéressé plus que ça.
Après pour le risque de faillite, je pense que c'est juste une couverture légale et il n'y a pas trop de risques. Mais bon si tu fais un CA aussi élevé, il vaut mieux avoir quelque chose d'ultra safe.

 

[jcaron]

Concernant l'absence de garantie des fonds, pendant très longtemps Paypal avait la même limitation, qui est inhérente au statut d'émetteur de monnaie électronique (Paypal est maintenant une banque). Mais les obligations de stocker l'argent des clients dans des comptes séparées utilisant uniquement des placement extrêmement sûrs fait que le risque est dans la pratique quasiment nul, voire moindre qu'avec une banque!

Ceci dit, moi je te conseillerais vraiment de passer par une passerelle de paiement plus classique (d'une banque, quoi), avec 3D Secure actif. Tu y gagneras ceux qui ne font pas confiance à Paypal (oui, ça marche dans les deux sens, beaucoup de gens ne font pas confiance à Paypal), et surtout des procédures d'annulation des transactions mieux encadrées (maintenant qu'il y a 3D Secure. Avant c'était plutôt l'inverse).

Jacques.

 

[flp456]

et les problèmes de paiement n'arrivent qu'avec les comptes des nouveaux clients ?

En général oui, mais on a aussi eu des cas d'achats multiples. Cela dit maintenant on bloque l'adresse mail paypal dès qu'il y a une opposition ou une réclamation, mais si le type est malin il va d'abord acheter tous les fichiers qu'il a besoin puis seulement un jour ou deux après faire opposition sur l'ensemble des paiements

 

[jcaron]

Et tu envoies bien les mails à l'adresse utilisée pour le compte Paypal?

Ceci dit, connaissant les utilisateurs, si piratage il y a, le compte Paypal et l'adresse e-mail ont probablement le même mot de passe...

Et en termes de % du total, ça représente quoi?

Jacques.

 

[flp456]

Et tu envoies bien les mails à l'adresse utilisée pour le compte Paypal?
Ceci dit, connaissant les utilisateurs, si piratage il y a, le compte Paypal et l'adresse e-mail ont probablement le même mot de passe...
Et en termes de % du total, ça représente quoi?

Oui oui bien sûr, le mail est envoyé à l'adresse du compte paypal. Mais probablement qu'il n'est en effet pas trop dur pour avoir accès au mail du client s'ils ont pu pirater le compte Paypal, on a aussi eu des cas où ils ont simplement enregistré un nouveau mail dans le compte.

En terme de % par rapport au volume des ventes c'est pas grand chose (3-4%) mais par contre ce sont évidemment les produits les plus chers qui sont visés, donc en % du CA ça peut atteindre plus de 10% certains mois.

 

[Firewave]

Tu peux toujours prendre une couverture pour risque de défaut de paiement. Essaie de voir si la prime d'assurance n'est pas trop élevé et si c'est plus intéressant de couvrir ton portefeuille client de cette manière.

 

[anemone-clown]

En terme de % par rapport au volume des ventes c'est pas grand chose (3-4%) ...

Et par rapport au nombre de payements via paypal, le nombre d'annulations/remboursements représente combien : 10%? Plus? Finalement, on pourrait conclure que 10% ou plus de comptes paypal ont été piratés? :roll: :mrgreen:

 

[jeanluc]

Les fichiers qu'on propose n'ont rien de très "sexy", ce sont des bases de données statistiques sur différents pays destinées aux sociétés, mais bon sans doute que certains essayent de les avoir gratuitement pour les revendre ensuite.

Puisque ce sont des fichiers à usage professionnel uniquement, n'est-il pas possible d'imposer au client de communiquer un numéro de téléphone fixe (ou même le numéro de téléphone de son entreprise tel que vous le retrouverez sur son site) et que vous l'appeliez dans tous les cas douteux ?

Jean-Luc

 

[miss pronostic]

Pour répondre sur moneybooker, c'est un portefeuille électronique qui est surtout utilisé pour les sites de paris sportifs, poker et casino, afin de passer rapidement des fonds d'un compte à un autre. (paypal n'existe pas pour eux, trop de frais)

L'intéret est de le faire sans frais généralement, alors que ce genre de sites applique des frais sur les dépots par CB.

On est limité à 1000€ de sorties sur 90 jours en base, mais en montrant des justificatifs, carte d'identité, justifs de domicile, on peut effectivement aller jusqu'à 16000 €. Je suppose qu'ils ne veulent pas aller plus loin pour lutter contre le blanchiment.

Les frais de transferts entre comptes sont de 1%, limités à 50 centimes max, et la différence avec payapal est que c'est l'envoyeur de fonds qui paie les frais.

 

[Firewave]

Outil intéressant en effet
Merci pour l'explication miss pronostic!

 

[nlaustriat]

hello,

sur les site de vente de template graphique web au etats unis, lors de récents achats j'ai été surpris du process mais maintenant que je lis ton post je comprend. Voici leur procédure:

lors de la confirmation d'achat on te demamde de te connecter à une page web avec un interface de chat et plusieurs contact (suivant les heures), tu dois donner ton numéro de commande à un contact défini puis ce dernier te demande d'envoyer un scan de ta carte d'identité à une adresse mail spécifique. Quelques heures après il t'envoie par mail le lien pour télécharger le fichier acheté.

 

[Recif]

Je me suis fait avoir exactement de la même manière, depuis je refuse d'utiliser Paypal...