Une longueur d’avance : évolution de la fraude sur le marché des transactions mobiles en Ouganda (1re partie)

• by MSC
• Aug 16, 2019
• 11 min

Comment la fraude a-t-elle évolué sur le marché des services financiers digitaux en Ouganda et par quelles voies s’est-elle complexifiée ? Cet article examine l’évolution des pratiques frauduleuses au niveau des clients et des agents de transactions mobiles en passant en revue les six types de fraude les plus courants sur le marché.

Une longueur d’avance : évolution de la fraude sur le marché des transactions mobiles en Ouganda (1^re partie)

MSC, août 2014

L’Ouganda a connu une croissance explosive des utilisateurs de transactions mobiles au cours des dernières années. Le pays est passé de 550 000 utilisateurs actifs en 2009 à 5,2 millions en 2012 (actifs sur une base de 30 jours) selon l’Economic Regulation Unit’s Broadcasting & Telecommunications Market Review (12/2011). Aujourd’hui, le taux de détention des comptes de transactions mobiles dépasse celui des comptes bancaires, dont le nombre s’élevait à 3,6 millions en 2013.

Le marché des transactions mobiles en Ouganda est cependant miné par la fraude. Selon les rapports, en moyenne, au moins 100 utilisateurs de transactions mobiles perdent de l’argent chaque semaine, qui se compte en millions de shillings pour certains. Dans un environnement de 5,2 millions d’utilisateurs actifs, 5 200 cas de fraude par an ne semblent pas indiquer une prévalence très élevée. Mais de nombreux cas ne sont probablement pas signalés, et chaque cas est susceptible d’être amplifié par le bouche-à-oreille et de miner la confiance dans le système monétaire mobile.  L’enquête Accélérateur de réseaux d’agents (ANA) menée en 2013 par l’Institut Helix en Ouganda a montré que le « risque de fraude » et le « service à la clientèle en cas de problème » étaient les deux principaux défis rencontrés par les agents. Voir à ce sujet le document « Challenges to Agency Business – Evidence from Tanzania and Uganda (Part- I) ».

Nous avons déjà eu l’occasion de décrire la nature des différentes fraudes observées dans l’environnement des transactions mobiles et de présenter un cadre générique essentiellement basé sur le marché kenyan pour comprendre ces fraudes et leur évolution au fur et à mesure de la maturation du marché des transactions mobiles (voir Fraud in Mobile Financial Services). Cependant, l’évolution du marché kenyan est différente de celle du marché ougandais, caractérisée par l’entrée progressive de multiples acteurs sur le marché et surtout par l’absence d’un système national de carte d’identité. Ces facteurs en modifiaient l’évolution et la caractérisation des fraudes. Dans cet article, je présente les six types de fraude les plus courants au niveau des agents et des clients en Ouganda. Cette présentation s’appuie sur mes cinq années d’expérience dans le domaine des transactions mobiles en Ouganda auprès de Warid et Airtel, au cours desquelles j’ai pu observer de près l’évolution du marché des transactions mobiles. En tant que directeur local puis régional, j’étais bien placé pour voir les fraudes et en discuter avec les agents à travers le pays. La lutte contre la fraude était de fait une dimension clé de mon travail.

Les approches utilisées par les fraudeurs démontrent leur compréhension approfondie du système des transactions mobiles et révèlent les lacunes des processus en place. Pendant que les organismes de réglementation et les ORM s’efforçaient de colmater les fuites au niveau des systèmes et des processus existants, les fraudeurs poursuivaient également leur apprentissage et faisaient évoluer leur mode opératoire pour trouver de nouveaux moyens de tromper les agents et les clients de transactions mobiles. Les mécanismes de fraude sont ainsi devenus plus sophistiqués au fil des ans.

En Ouganda, le problème fondamental sous-jacent est la faiblesse des normes KYC. Actuellement, n’importe qui peut obtenir une ou plusieurs cartes SIM sous différents noms et peut opérer sous différentes identités. Ce phénomène est aggravé par l’absence de pièce nationale d’identité. Le processus d’enregistrement d’identité a commencé il y a tout juste deux mois. Les pièces d’identité habituellement requises pour les vérifications KYC sont un passeport, une carte d’identité professionnelle ou une carte d’identité du conseil local. Cette dernière est la plus courante, mais elle est facilement obtenue par les fraudeurs et en autant de copies qu’ils le souhaitent, habituellement en versant une petite somme d’argent au dirigeant du conseil local (généralement entre 2 et 3 USD). La facilité avec laquelle on peut se procurer une fausse carte d’identité pour l’enregistrement KYC d’une carte SIM et d’un compte de transactions mobiles rend difficile la traçabilité des fraudeurs. Ces cartes SIM sont enregistrées dans le but de commettre une fraude et rapidement jetées après avoir servi.

Comment la fraude s’est-elle manifestée, a-t-elle évolué et s’est-elle complexifiée sur le marché des services financiers digitaux ougandais ?

1. Fausse monnaie

Au cours des premières années, les fraudeurs ont profité du faible niveau de sensibilisation des clients et des agents pour utiliser de la fausse monnaie et escroquer des victimes peu méfiantes. Les fraudeurs ont ciblé des agents très occupés dans des zones très fréquentées, qui n’ont pas fait preuve d’une vigilance suffisante dans le contrôle des faux, et à leur tour, les agents ont passé cette fausse monnaie à des clients peu méfiants. Lorsque les agents ont accru leur vigilance et que beaucoup ont commencé à utiliser des détecteurs équipés de lumière ultraviolette pour identifier les faux billets, cette pratique a très fortement décliné.

2. Annulation de transactions exécutées « par erreur »

Les fraudeurs ont alors eu recours à l’envoi de messages SMS frauduleux vers les téléphones de clients (alertant le client d’un transfert P2P/dépôt sur son compte mobile). Peu de temps après, le fraudeur appelait le client en prétendant avoir envoyé de l’argent par erreur à un mauvais numéro de client. Naïvement, et avant de vérifier le solde de son compte mobile, le client effectuait un transfert P2P inverse pour annuler la « somme envoyée par erreur » sur son compte – perdant ainsi de l’argent. Cette pratique ne visait pas seulement les clients enregistrés ; les clients sans compte mobile enregistré ont également été victimes des faux SMS et « renvoyaient » l’argent soit disant transféré par erreur par l’intermédiaire d’un agent effectuant la transaction à son point de service. Les fraudeurs ont connu un grand succès avec cette tactique.

Dans le but de protéger leurs clients, les ORM mènent des campagnes dans les médias de masse et diffusent des messages pour leur apprendre à distinguer les messages authentiques des systèmes de paiement mobile des faux envoyés par les fraudeurs. Bien que cette réponse ait connu un succès modéré, elle a poussé les fraudeurs à changer de tactique.

3. Frais de remise de prix pour les « heureux gagnants »

L’évolution suivante a vu les fraudeurs introduire une nouvelle tactique, exploitant cette fois les stratégies marketing et publicitaires des ORM. Entre 2010 et 2012, le secteur ougandais des télécommunications a été le théâtre de luttes acharnées entre les opérateurs cherchant à augmenter leurs revenus, à acquérir de nouveaux clients et à les fidéliser. Outre une guerre des prix et l’octroi de bonus sur les recharges de crédit de communication, les opérateurs offraient à leurs clients la possibilité de remporter des prix (véhicules à moteur, vélos, argent, etc.) dans le cadre de programmes de fidélisation. Les gagnants étaient contactés par téléphone et invités à venir chercher leur prix.

Les fraudeurs ont rapidement tiré parti de ces pratiques en créant leurs propres « centres d’appels ». Ils appelaient les clients en se faisant passer pour des employés de l’ORM et les informaient qu’ils avaient eu la chance de remporter un prix et qu’ils devaient rapidement le réclamer. Les fraudeurs demandaient toutefois au client (l’« heureux gagnant ») d’effectuer préalablement un dépôt d’argent mobile – de 45 à 400 USD en fonction de la valeur du prix remporté – pour faciliter le processus de remise du prix. Dans le cas d’un véhicule à moteur, ces frais pouvaient atteindre 1000 USD. Les clients pressés de récupérer leur gain transféraient rapidement le montant demandé sur un compte mobile fourni par les fraudeurs, et attendaient en vain la remise du prix. Après vérification auprès de l’ORM, les clients réalisaient qu’ils avaient été trompés et que le numéro de téléphone mobile utilisé pour envoyer l’argent était désactivé et sans propriétaire.

Les ORM ont réagi en lançant des campagnes d’information dans les médias pour faire connaître le numéro de téléphone par lequel les gagnants devaient être contactés. Ces numéros ont été diffusés à la télévision, à la radio, dans les journaux et dans la documentation commerciale. Ces campagnes ont accru la sensibilisation des clients à cette technique de fraude et son utilisation a rapidement diminué de façon drastique.

4. Appropriation du code PIN

Loin de s’avouer vaincus, les fraudeurs ont rapidement introduit une nouvelle vague de fraudes ciblant cette fois les agents financiers mobiles – en particulier les agents très occupés et détenant beaucoup de liquidités. Une pratique courante pour les agents très affairés consistait à initier une transaction et à remettre ensuite leur téléphone au client pour qu’il compose son numéro. Le client rendait ensuite téléphone à l’agent qui terminait la transaction en saisissant son code PIN.

Les fraudeurs ont exploité cette pratique. Ils se présentaient au point de service de l’agent comme des clients normaux désireux d’effectuer une transaction et suivaient le processus habituel. A cette occasion, ils observaient les boutons sur lesquels l’agent appuyait pour saisir son code PIN. Quelques visites à l’agent suffisaient en général aux fraudeurs pour identifier son code PIN. Le fraudeur s’adressait ensuite à l’agent pour effectuer une nouvelle transaction. Cette fois-ci, lorsque l’agent remettait son téléphone au « client », le fraudeur composait rapidement un numéro de téléphone, saisissait le code PIN de l’agent et réalisait sa transaction. Il entamait alors une nouvelle transaction pour couvrir sa trace et remettait le téléphone à l’agent pour qu’il la finalise. Il s’éloignait ensuite… pour ne plus jamais revenir. L’agent ignorait que deux transactions avaient été réalisées avec son téléphone et qu’il s’était fait extorquer entre 500 et 1500 USD.

Une nouvelle fois, les ORM ont dû intervenir et ont mené des campagnes de sensibilisation auprès des agents en leur conseillant de :

• Réaliser les transactions eux-mêmes de bout en bout et éviter le contact des clients avec leur téléphone ;
• Protéger leur code PIN et, mieux encore, le changer fréquemment pour éviter qu’il ne finisse par être connu ;
• Vérifier et enregistrer leur solde après chaque transaction ;
• Enregistrer toutes les transactions effectuées de façon à permettre leur traçabilité ;
• Appeler le service d’assistance téléphonique dès qu’une perte a été détectée.

Ces campagnes de sensibilisation ont forcé les fraudeurs à adopter des méthodes plus sophistiquées exigeant de la patience et une étude attentive du comportement des clients et des agents.

5. Remplacement de la carte SIM

Les fraudeurs étudient maintenant le comportement des clients et des agents pour repérer ceux qui divulguent imprudemment leur code PIN. Les fraudeurs n’ont pas besoin d’entrer en contact avec le téléphone du client ou de l’agent, mais simplement de connaître le numéro de téléphone et le code PIN du client ou de l’agent.

Les ORM fournissent un code PIN à quatre chiffres lors de l’activation d’un compte de transaction mobile à des fins de sécurité. Cependant, les clients et les agents choisissent généralement (peut-être par crainte de l’oublier) d’avoir un code PIN à 4 chiffres identiques, par exemple le classique 1234 ou 4444, 2222, 5555, ou 1111. Voir à ce sujet l’excellent article d’Ignacio Mas « My PIN is 4321 ». Cela leur permet de se rappeler facilement leur code à tout moment. Ils conservent ce code PIN simple longtemps (même lorsque les ORM leur conseillent de le changer fréquemment), ce qui facilite le travail du fraudeur. Une fois qu’il connaît un code PIN, par supposition ou par observation, le fraudeur peut recevoir un duplicata d’identité délivré à son nom. Il se rend ensuite dans un poste de police pour signaler la perte de « sa » carte SIM, pour laquelle il obtient une attestation de la police. Il présente cette attestation au centre de service clientèle de l’ORM et une carte SIM de remplacement lui est fournie, désactivant ainsi la carte SIM originale. Comme le fraudeur connaît le code PIN du client ou de l’agent cible, il peut retirer l’argent en utilisant la carte SIM de remplacement.

Cette tactique pose un défi aux ORM car, à partir du moment où la police fournit une attestation de perte de carte SIM (bien sûr obtenue frauduleusement), il est de leur devoir de fournir une carte SIM de remplacement. Interroger la base de données de l’ORM pour confirmer que les informations fournies sont bien celles données au moment de l’enregistrement est une possibilité. Mais c’est souvent insuffisant pour vérifier si le client qui demande une nouvelle carte SIM est bien celui qu’il prétend être, car les fraudeurs ont bien travaillé et sont en possession de toutes les informations requises sur leur victime. Les informations fréquemment vérifiées comprennent la date de naissance du client, le nom du père et de la mère et le nom du plus proche parent. Si ces informations concordent avec celles de la base de données de l’ORM, une carte SIM de remplacement est délivrée au fraudeur, qui peut continuer ses agissements.

6. Annulation de transactions

On a vu plus haut comment les fraudeurs avaient exploité les processus d’annulation de transfert d’argent des ORM pour se faire rembourser une somme soit disant envoyée par erreur sur un mauvais compte mobile par un client ou un agent. La pratique courante veut que l’argent envoyé au mauvais destinataire soit retourné au compte source (après réception de la plainte et enquête par l’ORM).

Une autre technique de fraude consiste à se rendre chez un commerçant pour acheter un article destiné à être payé par transaction mobile. Une fois que le fraudeur a réalisé la transaction pour le paiement, il quitte le magasin avec l’article puis il appelle le centre de service à la clientèle de l’ORM et lui demande de bloquer et d’annuler le paiement au motif qu’il s’agit d’une erreur. L’ORM, conformément aux procédures d’annulation établies, bloque le compte du commerçant ou le montant sur lequel porte le litige, puis écoute les deux parties. Toutefois, dans de nombreux cas, le commerçant n’a aucune preuve qu’il est bien le véritable destinataire de la transaction et se voit alors demander de régler le litige devant la justice. Naturellement, cette démarche est loin d’être une solution idéale pour un commerçant très occupé et, à la perspective de visites répétées chez l’ORM ou chez un avocat pour dénoncer l’annulation, celui-ci se résout à accepter la transaction.

Cet article a passé en revue l’évolution de la fraude au niveau des clients et des agents en étudiant les six types de fraudes les plus courants sur le marché ougandais. Dans le prochain article, nous examinons de plus près comment les ORM ont répondu aux pratiques des fraudeurs et comment ils pourraient renforcer leur action.