Best practice per la protezione dalle minacce automatizzate

Questo documento descrive le implementazioni consigliate di reCAPTCHA Enterprise e le strategie di mitigazione delle frodi per difenderti dalle minacce automatizzate critiche (OWASP Automated Threats (OAT) to Web Applications). Gli Enterprise Architect e gli stakeholder tecnologici possono esaminare queste informazioni per prendere una decisione informata sulla strategia di implementazione di reCAPTCHA Enterprise e di mitigazione delle frodi per il loro caso d'uso.

Questo documento contiene le seguenti informazioni per ogni tipo di minaccia:

• Implementazione ottimale di reCAPTCHA Enterprise. Questa implementazione è progettata con le funzionalità pertinenti di reCAPTCHA Enterprise per la migliore protezione antifrode.

• Implementazione minima di reCAPTCHA Enterprise. Questa implementazione è progettata per garantire il minimo indispensabile di protezione antifrode.

• Strategie consigliate per la mitigazione delle frodi.

Scegli la strategia di implementazione e mitigazione delle frodi più adatta al tuo caso d'uso. I seguenti fattori potrebbero influenzare la strategia di implementazione e mitigazione delle frodi che scegli:

• Le esigenze e le capacità antifrode dell'organizzazione.
• Ambiente esistente dell'organizzazione.

Per informazioni sull'implementazione generale consigliata di reCAPTCHA Enterprise, consulta Best practice per l'utilizzo di reCAPTCHA Enterprise.

Per ulteriori informazioni sulle strategie di mitigazione delle frodi per il tuo caso d'uso, contatta il nostro team di vendita.

Cardatura

La carding è una minaccia automatizzata per cui gli autori di attacchi eseguono più tentativi di autorizzazione ai pagamenti per verificare la validità dei dati delle carte di pagamento rubate collettivamente.

Implementazione minima

1. Installa le chiavi di sito della casella di controllo in tutte le pagine in cui gli utenti finali devono inserire i dati della carta di credito. Per informazioni su come installare le chiavi di sito delle caselle di controllo, consulta Installare le chiavi di sito delle caselle di controllo (verifica della casella di controllo) sui siti web.

2. Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire i dati della carta di credito. Specifica un'azione nel parametro action, ad esempio card_entry. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.

2. Installa reCAPTCHA Enterprise per il flusso di lavoro di pagamento sul tuo sito web. Per scoprire come proteggere il flusso di lavoro di pagamento, consulta Proteggere i flussi di lavoro di pagamento.

3. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.

4. Salva tutti gli ID valutazione e annota come fraudulent le valutazioni che si trasformano in acquisti fraudolenti o storni di addebito. Per scoprire come annotare le valutazioni, consulta Annotare una valutazione.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA Enterprise, utilizza una delle seguenti strategie di mitigazione delle frodi per proteggere il tuo sito web dalle operazioni di carding:

• Installa reCAPTCHA Enterprise per il flusso di lavoro di pagamento sul tuo sito web. Per scoprire come proteggere il flusso di lavoro di pagamento, consulta Proteggere i flussi di lavoro di pagamento.

• Configura le API di gestione delle carte per assicurarti che i token reCAPTCHA siano validi e che i punteggi siano superiori al valore della soglia.

  Se i punteggi non raggiungono o superano il valore della soglia specificato, non eseguire un'autorizzazione della carta e non consentire all'utente finale di utilizzare la carta. Se possibile, consenti il completamento della transazione al momento dell'acquisto, ma annullala in un secondo momento per evitare di rifiutare l'utente malintenzionato.

• Quando crei le valutazioni, assicurati che soddisfino i seguenti criteri per una transazione riuscita:

  • Tutti i token valutati sono validi e hanno un punteggio superiore a un valore di soglia specificato.
  • Il valore expectedAction corrisponde al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio sulle tue pagine web. Per scoprire come verificare le azioni, consulta Verificare le azioni.

  Se una transazione non soddisfa questi criteri, non eseguire un'autorizzazione della carta o non consentire all'utente finale di utilizzare la carta. Se possibile, consenti il completamento della transazione al momento dell'acquisto, ma annullala in un secondo momento per evitare di rifiutare l'utente malintenzionato.

Rottura della carta

Il crack delle carte è una minaccia automatica per cui i malintenzionati identificano i valori mancanti per la data di inizio, la data di scadenza e i codici di sicurezza per i dati delle carte di pagamento rubate provando valori diversi.

Implementazione minima

1. Installa le chiavi di sito delle caselle di controllo in tutte le pagine in cui gli utenti finali devono inserire i dettagli di pagamento, incluse le funzioni di pagamento e di aggiunta del metodo di pagamento. Per informazioni su come installare le chiavi di sito delle caselle di controllo, consulta Installare le chiavi di sito delle caselle di controllo (verifica della casella di controllo) sui siti web.

2. Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire i dettagli di pagamento. Specifica un'azione nel parametro action, ad esempio checkout o add_pmtmethod. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.

2. Installa reCAPTCHA Enterprise per il flusso di lavoro di pagamento sul tuo sito web. Per scoprire come proteggere il flusso di lavoro di pagamento, consulta Proteggere i flussi di lavoro di pagamento.

3. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.

4. Salva tutti gli ID valutazione e annota come fraudulent le valutazioni che si trasformano in acquisti fraudolenti o storni di addebito. Per scoprire come annotare le valutazioni, consulta Annotare una valutazione.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA Enterprise, utilizza una delle seguenti strategie di mitigazione delle frodi per proteggere il tuo sito web dal crack delle carte:

• Installa reCAPTCHA Enterprise per il flusso di lavoro di pagamento sul tuo sito web. Per scoprire come proteggere il flusso di lavoro di pagamento, consulta Proteggere i flussi di lavoro di pagamento.

• Implementa un modello di risposta e crea valutazioni:

  1. Crea e implementa un modello di risposta adeguato per il rischio basato sul punteggio.

     Nell'esempio seguente è riportato un modello di risposta:

     • Per una soglia di punteggio da basso a intermedio (0,0-0,5), utilizza la gestione dei rischi basata sul contesto, ad esempio limitando il numero di tentativi e bloccando gli acquisti oltre un valore specificato.
     • Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.

  2. Quando crei i test, assicurati che il valore di expectedAction corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio sulle tue pagine web. Se non corrispondono, non eseguire un'autorizzazione della carta o consentire all'utente finale di utilizzare la carta. Se possibile, consenti il completamento della transazione al momento dell'acquisto, ma annullala in un secondo momento per evitare di rifiutare l'utente malintenzionato.

Crack delle credenziali

Il crack delle credenziali è una minaccia automatizzata per cui i malintenzionati identificano credenziali di accesso valide provando valori diversi per nomi utente e password.

Implementazione minima

1. Installa le chiavi di sito della casella di controllo in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali, incluse le funzioni login e dimenticata la password. Per informazioni su come installare le chiavi di sito delle caselle di controllo, consulta Installare le chiavi di sito delle caselle di controllo (verifica della casella di controllo) sui siti web.

2. Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali. Specifica un'azione nel parametro action, ad esempio login o authenticate. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.
2. Opzione consigliata: implementa il rilevamento della perdita di password di reCAPTCHA Enterprise per tutti i tentativi di autenticazione. Per scoprire come usare il rilevamento di fughe di password, vedi Rilevare fughe di password e credenziali violate.
3. (Facoltativo) Per attivare il blocco delle interazioni con punteggio reCAPTCHA Enterprise con volumi elevati e con basso punteggio reCAPTCHA, integra reCAPTCHA Enterprise con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA Enterprise per WAF e Google Cloud Armor.
4. Implementa l'account defender reCAPTCHA Enterprise per orientare il comportamento degli utenti finali negli accessi e per ricevere indicatori aggiuntivi che possono indicare un ATO. Per informazioni su come utilizzare reCAPTCHA Enterprise account defender, vedi Rilevare e prevenire attività fraudolente relative agli account.
5. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.
6. Salva tutti gli ID valutazione e annota la valutazione che sembra fraudolenta, ad esempio i takeover dell'account (ATO) o qualsiasi altra attività fraudolenta. Per scoprire come annotare le valutazioni, consulta Annotare una valutazione.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA Enterprise, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web dal crack delle credenziali:

1. Crea e implementa un modello di risposta adeguato per il rischio basato sul punteggio.

   Nell'esempio seguente è riportato un modello di risposta:

   • Per la soglia di punteggio da basso a intermedio (0,0-0,5), richiedi all'utente finale l'autenticazione a più fattori tramite email o SMS.
   • Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.
2. Termina o interrompi le sessioni per gli utenti finali che si autenticano, ma ricevono una risposta credentialsLeaked: true dal rilevamento della divulgazione di password di reCAPTCHA Enterprise e inviano un'email agli utenti finali per cambiare la password.
3. Quando crei i test, assicurati che il valore di expectedAction corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio sulle tue pagine web. Se non corrispondono, non consentire l'autenticazione.

Credential stuffing

Il Credential stuffing è una minaccia automatizzata per cui gli utenti malintenzionati usano tentativi di accesso di massa per verificare la validità delle coppie nome utente/password rubate.

Implementazione minima

1. Installa le chiavi di sito della casella di controllo in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali, incluse le funzioni login e dimenticata la password. Per informazioni su come installare le chiavi di sito delle caselle di controllo, consulta Installare le chiavi di sito delle caselle di controllo (verifica della casella di controllo) sui siti web.

2. Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali. Specifica un'azione nel parametro action, ad esempio login o authenticate. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.
2. Opzione consigliata: implementa il rilevamento della perdita di password di reCAPTCHA Enterprise per tutti i tentativi di autenticazione. Per scoprire come usare il rilevamento di fughe di password, vedi Rilevare fughe di password e credenziali violate.
3. Implementa l'account defender reCAPTCHA Enterprise per orientare il comportamento degli utenti finali negli accessi e per ricevere indicatori aggiuntivi che possono indicare un ATO. Per informazioni su come utilizzare reCAPTCHA Enterprise account defender, vedi Rilevare e prevenire attività fraudolente relative agli account.

4. (Facoltativo) Per attivare il blocco delle interazioni con punteggio reCAPTCHA Enterprise con volumi elevati e con basso punteggio reCAPTCHA, integra reCAPTCHA Enterprise con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA Enterprise per WAF e Google Cloud Armor.

5. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.

6. Salva tutti gli ID valutazione e annota come fraudulent le valutazioni che si trasformano in acquisti fraudolenti o storni di addebito. Per scoprire come annotare le valutazioni, consulta Annotare una valutazione.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA Enterprise, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web dal credential stuffing:

1. Crea e implementa un modello di risposta adeguato per il rischio basato sul punteggio.

   Nell'esempio seguente è riportato un modello di risposta:

   • Per la soglia di punteggio reCAPTCHA più bassa (0,0), informa l'utente finale che la sua password non è corretta.
   • Per la soglia di punteggio intermedio (0,1-0,5), richiedi all'utente finale l'autenticazione a più fattori tramite email o SMS.
   • Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.
2. Termina o interrompi le sessioni per gli utenti finali che si autenticano, ma ricevono una risposta credentialsLeaked: true dal rilevamento della divulgazione di password di reCAPTCHA Enterprise e inviano un'email agli utenti finali per cambiare la password.
3. Quando crei i test, assicurati che il valore di expectedAction corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio sulle tue pagine web. Se non corrispondono, non consentire l'autenticazione.
4. Nella valutazione, se accountDefenderAssessment=PROFILE_MATCH, consenti all'utente finale di procedere senza alcuna verifica.

Incassare

Il prelievo è una minaccia automatizzata per cui gli autori di attacchi ottengono valuta o articoli di alto valore tramite l'utilizzo di carte di pagamento rubate e convalidate in precedenza.

Implementazione minima

1. Installa chiavi di sito basate sul punteggio in tutte le pagine in cui è possibile effettuare il pagamento. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.
2. Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali inseriscono i dati delle carte regalo. Specifica un'azione, ad esempio add_gift_card. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.

2. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.

3. Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA Enterprise, utilizza la seguente strategia di mitigazione delle frodi per impedire al tuo sito web di incassare i dati:

• Installa reCAPTCHA Enterprise per il flusso di lavoro di pagamento sul tuo sito web. Per scoprire come proteggere il flusso di lavoro di pagamento, consulta Proteggere i flussi di lavoro di pagamento.

• Implementa un modello di risposta e crea valutazioni:

  1. Crea e implementa un modello di risposta adeguato per il rischio basato sul punteggio.

     Nell'esempio seguente è riportato un modello di risposta:

     • Per una soglia di punteggio da basso a intermedio (0,0-0,5), utilizza la gestione dei rischi basata sul contesto, ad esempio limitando il numero di tentativi e bloccando gli acquisti oltre un valore specificato.
     • Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.
  2. Quando crei i test, assicurati che il valore di expectedAction corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio sulle tue pagine web. Se non corrispondono, non consentire l'autenticazione. Se possibile, consenti il completamento della transazione al momento dell'acquisto, ma annullala in un secondo momento per evitare di rifiutare l'utente malintenzionato.

Creazione dell'account

La creazione di account è una minaccia automatica per cui gli autori di attacchi creano più account per un uso improprio successivo.

Implementazione minima

1. Installa le chiavi di sito della casella di controllo in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali, incluse le funzioni login e dimenticata la password. Per informazioni su come installare le chiavi di sito delle caselle di controllo, consulta Installare le chiavi di sito delle caselle di controllo (verifica della casella di controllo) sui siti web.

2. Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi di sito basate sul punteggio in tutte le pagine in cui vengono creati gli account. Specifica un'azione nel parametro action, ad esempio register. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.
2. Opzione consigliata: implementa il rilevamento della perdita di password di reCAPTCHA Enterprise per tutti i tentativi di autenticazione. Per scoprire come usare il rilevamento di fughe di password, vedi Rilevare fughe di password e credenziali violate.
3. Implementa l'account defender reCAPTCHA Enterprise per ricevere ulteriori indicatori che indicano la creazione di account false. Per informazioni su come utilizzare reCAPTCHA Enterprise account defender, vedi Rilevare e prevenire attività fraudolente relative agli account.

4. (Facoltativo) Per attivare il blocco delle interazioni con punteggio reCAPTCHA Enterprise con volumi elevati e con basso punteggio reCAPTCHA, integra reCAPTCHA Enterprise con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA Enterprise per WAF e Google Cloud Armor.

5. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.

6. Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA Enterprise, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web dalla creazione di account:

1. Crea e implementa un modello di risposta adeguato per il rischio basato sul punteggio.

   Nell'esempio seguente è riportato un modello di risposta:

   • Per la soglia di punteggio reCAPTCHA più bassa (0,0), limita le azioni dell'account fino a quando non viene sottoposto a ulteriori controlli antifrode.
   • Per la soglia di punteggio intermedio (0,1-0,5), richiedi all'utente finale l'autenticazione a più fattori tramite email o SMS.
   • Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.
2. Termina o interrompi le sessioni per gli utenti finali che si autenticano, ma ricevono una risposta credentialsLeaked: true dal rilevamento della divulgazione di password di reCAPTCHA Enterprise e richiedono all'utente di selezionare una nuova password.
3. Quando crei i test, assicurati che il valore di expectedAction corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio sulle tue pagine web. Se non corrispondono, non consentire la registrazione o la creazione di account.
4. Nella valutazione, se accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, limita l'accesso dell'account fino a quando non è possibile eseguire un'ulteriore convalida.

Modifiche ad account e indirizzi fraudolenti

Gli utenti malintenzionati potrebbero tentare di modificare i dettagli dell'account, tra cui indirizzi email, numeri di telefono o indirizzi postali, nell'ambito di attività fraudolente o violazioni dell'account.

Implementazione minima

1. Installa le chiavi di sito della casella di controllo in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali, incluse le funzioni login e dimenticata la password. Per informazioni su come installare le chiavi di sito delle caselle di controllo, consulta Installare le chiavi di sito delle caselle di controllo (verifica della casella di controllo) sui siti web.

2. Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi di sito basate sul punteggio in tutte le pagine in cui vengono creati gli account. Specifica un'azione nel parametro action, ad esempio change_telephone o change_physicalmail. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.

2. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.

3. Implementa l'account defender reCAPTCHA Enterprise per orientare il comportamento degli utenti finali negli accessi e per ricevere indicatori aggiuntivi che possono indicare un ATO. Per informazioni su come utilizzare reCAPTCHA Enterprise account defender, vedi Rilevare e prevenire attività fraudolente relative agli account.

4. Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA Enterprise, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web da modifiche fraudolente di account e indirizzi:

1. Crea e implementa un modello di risposta adeguato per il rischio basato sul punteggio.

   Nell'esempio seguente è riportato un modello di risposta:

   • Per la soglia di punteggio da basso a intermedio (0,0-0,5), richiedi all'utente finale l'autenticazione a più fattori tramite email o SMS.
   • Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.

2. Quando crei i test, assicurati che il valore di expectedAction corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio sulle tue pagine web. Se non corrispondono, non consentire la modifica dell'account.

3. Nella valutazione, se accountDefenderAssessment non ha l'etichetta PROFILE_MATCH, richiedi all'utente finale l'autenticazione a più fattori tramite email o SMS.

crack di token

Il crack dei token è una minaccia automatizzata per i malintenzionati che effettuano l'enumerazione in massa di numeri di coupon, codici coupon e token sconto.

Implementazione minima

1. Installa le chiavi di sito della casella di controllo in tutte le pagine in cui gli utenti finali devono inserire i dati della carta regalo. Per informazioni su come installare le chiavi di sito delle caselle di controllo, consulta Installare le chiavi di sito delle caselle di controllo (verifica della casella di controllo) sui siti web.

2. Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire i dati della carta regalo. Specifica un'azione, ad esempio gift_card_entry. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.

2. (Facoltativo) Per attivare il blocco delle interazioni con punteggio reCAPTCHA Enterprise con volumi elevati e con basso punteggio reCAPTCHA, integra reCAPTCHA Enterprise con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA Enterprise per WAF e Google Cloud Armor.

3. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.

4. Salva tutti gli ID valutazione e annota le valutazioni che si trasformano in coupon o carte regalo fraudolenti.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA Enterprise, utilizza una delle seguenti strategie di mitigazione delle frodi per proteggere il tuo sito web dal crack dei token:

• Configura le API di gestione delle carte per assicurarti che i token reCAPTCHA siano validi e che i punteggi siano superiori al valore della soglia.

  Se i punteggi non raggiungono o superano la soglia specificata, non eseguire una carta regalo o un'autorizzazione su carta di credito e non consentire all'utente finale di utilizzare il coupon o la carta regalo. Se possibile, consenti il completamento della transazione al momento dell'acquisto, ma annullala in un secondo momento per evitare di rifiutare l'utente malintenzionato.

• Quando crei le valutazioni, assicurati che soddisfino i seguenti criteri per una transazione riuscita:

  • Tutti i token valutati sono validi e hanno un punteggio superiore a un valore di soglia specificato.
  • Il valore expectedAction corrisponde al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio sulle tue pagine web. Per scoprire come verificare le azioni, consulta Verificare le azioni.

  Se una transazione non soddisfa questi criteri, non richiedere una carta regalo o una carta di credito e non consentire all'utente finale di utilizzare il coupon o la carta regalo. Se possibile, consenti il completamento della transazione al momento dell'acquisto, ma annullala in un secondo momento per evitare di rifiutare l'utente malintenzionato.

Scalping

Lo scalping è una minaccia automatizzata per cui gli autori di attacchi ottengono prodotti o servizi a disponibilità limitata e preferiti con metodi ingiusti.

Implementazione minima

1. Installa chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire i dati della carta regalo. Specifica un'azione nel parametro action, ad esempio add_to_cart. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.
2. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire i dati della carta regalo. Specifica un'azione nel parametro action, ad esempio add_to_cart. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.

2. (Facoltativo) Per attivare il blocco delle interazioni con punteggio reCAPTCHA Enterprise con volumi elevati e con basso punteggio reCAPTCHA, integra reCAPTCHA Enterprise con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA Enterprise per WAF e Google Cloud Armor.

3. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.

4. Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA Enterprise, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web dallo scalping:

1. Crea e implementa un modello di risposta adeguato per il rischio basato sul punteggio.

   Nell'esempio seguente è riportato un modello di risposta:

   • Per una soglia di punteggio da basso a intermedio (0,0-0,5), utilizza la gestione dei rischi basata sul contesto, ad esempio limitando il numero di tentativi e bloccando gli acquisti oltre un valore specificato.
   • Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.

2. Quando crei i test, assicurati che il valore di expectedAction corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio sulle tue pagine web. Se non corrispondono, non eseguire l'autorizzazione per le carte regalo.

Inclinato

Lo spostamento è una minaccia automatizzata per cui gli utenti malintenzionati utilizzano ripetutamente clic sui link, richieste di pagine o invii di moduli per alterare alcune metriche.

Implementazione minima

1. Installa chiavi di sito basate sul punteggio in tutte le pagine in cui è possibile un'inclinazione delle metriche. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.
2. Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi di sito basate sul punteggio in tutte le pagine in cui è possibile un'inclinazione delle metriche. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.

2. (Facoltativo) Per attivare il blocco delle interazioni con punteggio reCAPTCHA Enterprise con volumi elevati e con basso punteggio reCAPTCHA, integra reCAPTCHA Enterprise con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA Enterprise per WAF e Google Cloud Armor.

3. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.

4. Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA Enterprise, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web da distorsioni:

Crea e implementa un modello di risposta adeguato per il rischio basato sul punteggio.

Nell'esempio seguente è riportato un modello di risposta:

• Per una soglia di punteggio da basso a intermedio (0,0-0,5), utilizza la gestione dei rischi basata sul contesto, ad esempio il monitoraggio del numero di volte in cui un utente ha fatto clic su un annuncio o il numero di volte in cui un utente ha ricaricato la pagina. Utilizza questi dati per determinare se conteggiare la metrica.
• Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.

Raschiatura

Lo scraping è una minaccia automatizzata per cui gli utenti malintenzionati raccolgono in modo automatico i dati o gli artefatti dei siti web.

Implementazione minima

1. Installa chiavi di sito basate sul punteggio in tutte le pagine in cui sono presenti informazioni importanti e nelle pagine chiave di interazione con l'utente finale comune. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.
2. Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi di sito basate sul punteggio in tutte le pagine in cui sono presenti informazioni importanti e nelle pagine chiave di interazione con l'utente finale comune. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.

2. (Facoltativo) Per attivare il blocco delle interazioni con punteggio reCAPTCHA Enterprise con volumi elevati e con basso punteggio reCAPTCHA, integra reCAPTCHA Enterprise con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA Enterprise per WAF e Google Cloud Armor.

3. Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.

4. Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA Enterprise, utilizza le seguenti strategie di mitigazione delle frodi per proteggere il tuo sito web dallo scraping:

• Abilita il blocco delle interazioni con punteggi reCAPTCHA con volumi elevati e bassi integrando reCAPTCHA Enterprise con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA Enterprise per WAF e Google Cloud Armor.
• Se lo scraping riguarda le API, utilizza le API Apigee Management per un'ulteriore mitigazione.

Sconfitta CAPTCHA

La sconfitta del CAPTCHA è una minaccia automatizzata per cui gli utenti malintenzionati usano l'automazione nel tentativo di analizzare e determinare la risposta ai test CAPTCHA visivi e/o aurali e ai relativi rompicapi.

Implementazione minima

1. Installa chiavi di sito basate sul punteggio su tutte le pagine che prevedono input utente dell'utente finale, creazione di account, dati di pagamento o interazioni dell'utente finale con un potenziale rischio di attività fraudolenta. Specifica un'azione descrittiva nel parametro action. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.

2. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi di sito basate sul punteggio su tutte le pagine che prevedono input utente dell'utente finale, creazione di account, dati di pagamento o interazioni dell'utente finale con un potenziale rischio di attività fraudolenta. Specifica un'azione descrittiva nel parametro action. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.

2. (Facoltativo) Per attivare il blocco delle interazioni con punteggio reCAPTCHA Enterprise con volumi elevati e con basso punteggio reCAPTCHA, integra reCAPTCHA Enterprise con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA Enterprise per WAF e Google Cloud Armor.

3. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.

4. Salva tutti gli ID valutazione e annota come fraudulent le valutazioni che si trasformano in acquisti fraudolenti o storni di addebito. Per scoprire come annotare le valutazioni, consulta Annotare una valutazione.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA Enterprise, utilizza una delle seguenti strategie di mitigazione delle frodi per proteggere il tuo sito web dagli errori CAPTCHA:

• Implementa un modello di risposta e crea valutazioni:

  1. Crea e implementa un modello di risposta adeguato per il rischio basato sul punteggio.

     Nell'esempio seguente è riportato un modello di risposta:

     • Per la soglia di punteggio da basso a intermedio (0,0-0,5), richiedi all'utente finale l'autenticazione a più fattori tramite email o SMS.
     • Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.
  2. Quando crei i test, assicurati che il valore di expectedAction corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio sulle tue pagine web. Se non corrispondono, non consentire l'autenticazione.

• Se gli utenti finali utilizzano browser web in cui JavaScript è disattivato, procedi nel seguente modo:

  1. Bloccare questi utenti finali.
  2. Comunicare agli utenti finali che il tuo sito web richiede JavaScript per procedere.

• Assicurati di rispettare la promessa grecaptcha.enterprise.ready per impedire il caricamento dei browser degli utenti finali che bloccano lo script di Google. Questo indica che reCAPTCHA Enterprise è stato caricato completamente e non ha riscontrato un errore.

• Per le API solo web, ti consigliamo di passare il token reCAPTCHA o il risultato test reCAPTCHA all'API di backend, quindi consentire l'azione dell'API solo se il token reCAPTCHA è valido e soddisfa un valore di soglia di punteggio. Ciò garantisce che l'utente finale non utilizzi l'API senza visitare il sito web.

Passaggi successivi

• Installa chiavi di sito basate sul punteggio.
• Installa le chiavi di sito della casella di controllo.
• Creare le valutazioni.
• Annota le valutazioni.
• Implementa il rilevamento di fughe di password.
• Implementare l'account defender.