Práticas recomendadas de proteção contra ameaças automatizadas

Neste documento, descrevemos as implementações recomendadas de reCAPTCHA e estratégias de mitigação de fraudes para se defender contra ameaças automatizadas críticas (Ameaças automatizadas do OWASP (OAT) para aplicativos da Web (link em inglês). Os arquitetos corporativos e as partes interessadas em tecnologia podem analisar essas informações para tomar uma decisão informada sobre a implementação do reCAPTCHA e a estratégia de mitigação de fraudes para o caso de uso.

Este documento contém as seguintes informações sobre cada tipo de ameaça:

  • Implementação ideal do reCAPTCHA. Essa implementação foi projetada com os recursos relevantes do reCAPTCHA para a melhor proteção contra fraudes.

  • Implementação mínima do reCAPTCHA. Essa implementação foi projetada para o mínimo de proteção contra fraudes.

  • Estratégias recomendadas de mitigação de fraudes.

Escolha a estratégia de implementação e mitigação de fraudes mais adequada ao seu caso de uso. Os fatores a seguir podem influenciar a estratégia de implementação e mitigação de fraudes escolhida:

  • As necessidades e recursos da organização contra fraudes.
  • Ambiente atual da organização.

Para informações sobre a implementação geral recomendada do reCAPTCHA, consulte Práticas recomendadas para usar o reCAPTCHA.

Para mais informações sobre as estratégias de mitigação de fraudes para seu caso de uso, entre em contato com nossa equipe de vendas.

Carding

O carding é uma ameaça automatizada em que os invasores fazem várias tentativas de autorização de pagamento para verificar a validade dos dados de cartão de pagamento roubados em massa.

Implementação mínima

  1. Instale chaves de site de caixa de seleção em todas as páginas em que os usuários finais precisam inserir as informações de cartão de crédito. Para saber como instalar chaves de sites com caixas de seleção, consulte Instalar chaves de sites com caixas de seleção (desafio de caixa de seleção) em sites.

  2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

  1. Instale chaves de site baseadas em pontuação em todas as páginas em que os usuários finais precisam inserir as informações de cartão de crédito. Especifique uma ação no parâmetro action, como card_entry. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafios) em sites.

  2. Instale o reCAPTCHA para fazer pagamentos no seu site. Para saber como proteger seu fluxo de trabalho de pagamento, consulte Proteger fluxos de trabalho de pagamento.

  3. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

  4. Salve todos os IDs de avaliações e anote as avaliações que se transformam em compras ou estornos fraudulentos como fraudulent. Para saber como anotar avaliações, consulte Anotar uma avaliação.

Estratégia de redução de fraudes

Depois de implementar o reCAPTCHA, use uma das seguintes estratégias de mitigação de fraudes para proteger seu site contra carding:

  • Instale o reCAPTCHA para fazer pagamentos no seu site. Para saber como proteger seu fluxo de trabalho de pagamento, consulte Proteger fluxos de trabalho de pagamento.

  • Configure as APIs de gerenciamento de cartões para garantir que os tokens reCAPTCHA sejam válidos e as pontuações sejam maiores que o valor limite.

    Se as pontuações não atingirem ou ultrapassarem o valor limite especificado, não execute uma autorização do cartão nem permita que o usuário final use o cartão. Quando possível, permita que a transação prossiga no momento da compra, mas cancele-a mais tarde para evitar dar indícios do invasor.

  • Ao criar avaliações, verifique se elas atendem aos seguintes critérios para uma transação bem-sucedida:

    • Todos os tokens avaliados são válidos e têm uma pontuação maior do que o limite especificado.
    • expectedAction corresponde ao valor de action que você especificou ao instalar as chaves do site baseadas em pontuação nas suas páginas da Web. Para saber como verificar ações, consulte Verificar ações.

    Se uma transação não atender a esses critérios, não execute uma autorização de cartão nem permita que o usuário final use o cartão. Quando possível, permita que a transação prossiga no momento da compra, mas cancele-a mais tarde para evitar dar indícios do invasor.

Quebra de cartão

O cracking de cartão é uma ameaça automatizada em que os invasores identificam valores ausentes para data de início, data de validade e códigos de segurança de dados de cartão de pagamento roubados, tentando valores diferentes.

Implementação mínima

  1. Instale chaves de site de caixa de seleção em todas as páginas em que os usuários finais precisam inserir os detalhes de pagamento, incluindo as funções checkout e add payment method. Para saber como instalar chaves de sites com caixas de seleção, consulte Instalar chaves de sites com caixas de seleção (desafio de caixa de seleção) em sites.

  2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

  1. Instale chaves de site baseadas em pontuação em todas as páginas em que os usuários finais precisam inserir os detalhes de pagamento. Especifique uma ação no parâmetro action, como checkout ou add_pmtmethod. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafios) em sites.

  2. Instale o reCAPTCHA para fazer pagamentos no seu site. Para saber como proteger seu fluxo de trabalho de pagamento, consulte Proteger fluxos de trabalho de pagamento.

  3. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

  4. Salve todos os IDs de avaliações e anote as avaliações que se transformam em compras ou estornos fraudulentos como fraudulent. Para saber como anotar avaliações, consulte Anotar uma avaliação.

Estratégia de redução de fraudes

Depois de implementar o reCAPTCHA, use uma das seguintes estratégias de mitigação de fraudes para proteger seu site contra rachaduras de cartões:

  • Instale o reCAPTCHA para fazer pagamentos no seu site. Para saber como proteger seu fluxo de trabalho de pagamento, consulte Proteger fluxos de trabalho de pagamento.

  • Implemente um modelo de resposta e crie avaliações:

    1. Criar e implementar um modelo de resposta ajustado para o risco com base em pontuação.

      No exemplo a seguir, mostramos um exemplo de modelo de resposta:

      • Para um limite de pontuação baixo a intermediário (0,0 a 0,5), use a gestão de riscos com base no contexto, como limitar o número de tentativas e bloquear compras acima de um valor especificado.
      • Para o limite de pontuação mais alto (> 0,5), permita que o usuário final prossiga sem nenhum desafio.

    2. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site baseadas em pontuação nas páginas da Web. Se eles não corresponderem, não execute uma autorização de cartão nem permita que o usuário final use o cartão. Quando possível, permita que a transação prossiga no momento da compra, mas cancele-a mais tarde para evitar dar indícios do invasor.

Quebra de credenciais

A quebra de credenciais é uma ameaça automatizada em que os invasores identificam credenciais de login válidas tentando valores diferentes para nomes de usuário e senhas.

Implementação mínima

  1. Instale chaves de site de caixa de seleção em todas as páginas em que os usuários finais precisam inserir as credenciais, incluindo as funções login e forgot my password. Para saber como instalar chaves de sites com caixas de seleção, consulte Instalar chaves de sites com caixas de seleção (desafio de caixa de seleção) em sites.

  2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

  1. Instale chaves de site baseadas em pontuação em todas as páginas em que os usuários finais precisam inserir as credenciais. Especifique uma ação no parâmetro action, como login ou authenticate. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafios) em sites.
  2. Recomendado: implemente a detecção de vazamento de senhas do reCAPTCHA em todas as tentativas de autenticação. Para saber como usar a detecção de vazamento de senhas, consulte Detectar vazamentos de senhas e credenciais violadas.
  3. Opcional: para ativar o bloqueio de interações com pontuações de alto volume e baixo reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF). Por exemplo, você pode usar o reCAPTCHA para integração do WAF e do Google Cloud Armor.
  4. Implemente o defensor da conta reCAPTCHA para acompanhar as tendências do comportamento do usuário final em logins e receba outros indicadores que possam indicar um ATO. Para saber como usar o defensor da conta do reCAPTCHA, consulte Detectar e impedir atividades fraudulentas relacionadas à conta.
  5. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
  6. Salve todos os IDs de avaliação e anote a avaliação que pareça ser fraudulenta, como invasão de conta (ATOs, na sigla em inglês) ou qualquer outra atividade fraudulenta. Para saber como anotar avaliações, consulte Anotar uma avaliação.

Estratégia de redução de fraudes

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger seu site contra a quebra de credenciais:

  1. Criar e implementar um modelo de resposta ajustado para o risco com base em pontuação.

    No exemplo a seguir, mostramos um exemplo de modelo de resposta:

    • Para o limite de pontuação baixo a intermediário (0,0 a 0,5), conteste o usuário final com a autenticação multifator por e-mail ou SMS.
    • Para o limite de pontuação mais alto (> 0,5), permita que o usuário final prossiga sem nenhum desafio.
  2. Encerrar ou interromper sessões para usuários finais que autenticam, mas recebem uma resposta credentialsLeaked: true da detecção de vazamento de senha do reCAPTCHA, e enviam um e-mail aos usuários finais para alterarem a senha deles.
  3. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site baseadas em pontuação nas páginas da Web. Se eles não forem iguais, não permita a autenticação.

Preenchimento de credenciais

O preenchimento de credenciais é uma ameaça automatizada em que os invasores usam tentativas de login em massa para verificar a validade dos pares de nome de usuário/senha roubados.

Implementação mínima

  1. Instale chaves de site de caixa de seleção em todas as páginas em que os usuários finais precisam inserir as credenciais, incluindo as funções login e forgot my password. Para saber como instalar chaves de sites com caixas de seleção, consulte Instalar chaves de sites com caixas de seleção (desafio de caixa de seleção) em sites.

  2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

  1. Instale chaves de site baseadas em pontuação em todas as páginas em que os usuários finais precisam inserir as credenciais. Especifique uma ação no parâmetro action, como login ou authenticate. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafios) em sites.
  2. Recomendado: implemente a detecção de vazamento de senhas do reCAPTCHA em todas as tentativas de autenticação. Para saber como usar a detecção de vazamento de senhas, consulte Detectar vazamentos de senhas e credenciais violadas.
  3. Implemente o defensor da conta reCAPTCHA para acompanhar as tendências do comportamento do usuário final em logins e receba outros indicadores que possam indicar um ATO. Para saber como usar o defensor da conta do reCAPTCHA, consulte Detectar e impedir atividades fraudulentas relacionadas à conta.
  4. Opcional: para ativar o bloqueio de interações com pontuações de alto volume e baixo reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF). Por exemplo, você pode usar o reCAPTCHA para integração do WAF e do Google Cloud Armor.

  5. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

  6. Salve todos os IDs de avaliações e anote as avaliações que se transformam em compras ou estornos fraudulentos como fraudulent. Para saber como anotar avaliações, consulte Anotar uma avaliação.

Estratégia de redução de fraudes

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger seu site contra o preenchimento de credenciais:

  1. Criar e implementar um modelo de resposta ajustado para o risco com base em pontuação.

    No exemplo a seguir, mostramos um exemplo de modelo de resposta:

    • Para o menor limite de pontuação reCAPTCHA (0,0), informe ao usuário final que a senha está incorreta.
    • Para o limite de pontuação intermediário (0,1 a 0,5), conteste o usuário final com a autenticação multifator por e-mail ou SMS.
    • Para o limite de pontuação mais alto (> 0,5), permita que o usuário final prossiga sem nenhum desafio.
  2. Encerrar ou interromper sessões para usuários finais que autenticam, mas recebem uma resposta credentialsLeaked: true da detecção de vazamento de senha do reCAPTCHA, e enviam um e-mail aos usuários finais para alterarem a senha deles.
  3. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site baseadas em pontuação nas páginas da Web. Se eles não forem iguais, não permita a autenticação.
  4. Na sua avaliação, se accountDefenderAssessment=PROFILE_MATCH, permita que o usuário final prossiga sem nenhum desafio.

Saque

Saque é uma ameaça automatizada em que os invasores obtêm moedas ou itens de alto valor usando cartões de pagamento roubados e previamente validados.

Implementação mínima

  1. Instale chaves de site baseadas em pontuação em todas as páginas em que é possível finalizar a compra. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafios) em sites.
  2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

  1. Instale chaves de site baseadas em pontuação em todas as páginas em que os usuários finais inserem as informações do vale-presente. Especifique uma ação como add_gift_card. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafios) em sites.
  2. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

  3. Salve todos os IDs das avaliações e anote as transações que foram fraudulentas.

Estratégia de redução de fraudes

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger seu site contra saques:

  • Instale o reCAPTCHA para fazer pagamentos no seu site. Para saber como proteger seu fluxo de trabalho de pagamento, consulte Proteger fluxos de trabalho de pagamento.

  • Implemente um modelo de resposta e crie avaliações:

    1. Criar e implementar um modelo de resposta ajustado para o risco com base em pontuação.

      No exemplo a seguir, mostramos um exemplo de modelo de resposta:

      • Para um limite de pontuação baixo a intermediário (0,0 a 0,5), use a gestão de riscos com base no contexto, como limitar o número de tentativas e bloquear compras acima de um valor especificado.
      • Para o limite de pontuação mais alto (> 0,5), permita que o usuário final prossiga sem nenhum desafio.
    2. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site baseadas em pontuação nas páginas da Web. Se eles não forem iguais, não permita a autenticação. Quando possível, permita que a transação prossiga no momento da compra, mas cancele-a mais tarde para evitar dar indícios do invasor.

Criação de conta

A criação de contas é uma ameaça automatizada em que os invasores criam várias contas para uso indevido posterior.

Implementação mínima

  1. Instale chaves de site de caixa de seleção em todas as páginas em que os usuários finais precisam inserir as credenciais, incluindo as funções login e forgot my password. Para saber como instalar chaves de sites com caixas de seleção, consulte Instalar chaves de sites com caixas de seleção (desafio de caixa de seleção) em sites.

  2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

  1. Instale chaves de site baseadas em pontuação em todas as páginas em que as contas foram criadas. Especifique uma ação no parâmetro action, como register. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafios) em sites.
  2. Recomendado: implemente a detecção de vazamento de senhas do reCAPTCHA em todas as tentativas de autenticação. Para saber como usar a detecção de vazamento de senhas, consulte Detectar vazamentos de senhas e credenciais violadas.
  3. Implemente o defensor da conta do reCAPTCHA para receber outros indicadores que indicam criações de contas falsas. Para saber como usar o defensor da conta do reCAPTCHA, consulte Detectar e impedir atividades fraudulentas relacionadas à conta.
  4. Opcional: para ativar o bloqueio de interações com pontuações de alto volume e baixo reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF). Por exemplo, você pode usar o reCAPTCHA para integração do WAF e do Google Cloud Armor.

  5. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

  6. Salve todos os IDs das avaliações e anote as transações que foram fraudulentas.

Estratégia de redução de fraudes

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger seu site contra a criação de contas:

  1. Criar e implementar um modelo de resposta ajustado para o risco com base em pontuação.

    No exemplo a seguir, mostramos um exemplo de modelo de resposta:

    • Para o limite de pontuação reCAPTCHA mais baixo (0,0), limite as ações da conta até que ela passe por mais verificações de fraudes.
    • Para o limite de pontuação intermediário (0,1-0,5), solicite a autenticação multifator por e-mail ou SMS para o usuário final.
    • Para o limite de pontuação mais alto (> 0,5), permita que o usuário final prossiga sem nenhum desafio.
  2. Encerrar ou interromper sessões para usuários finais que autenticam, mas recebem uma resposta credentialsLeaked: true da detecção de vazamento de senha do reCAPTCHA, e solicitam que o usuário selecione uma nova senha.
  3. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site baseadas em pontuação nas páginas da Web. Se eles não forem iguais, não permita o registro ou a criação da conta.
  4. Na sua avaliação, se accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, restrinja o acesso à conta até que mais validações possam ser realizadas.

Alterações fraudulentas de conta e endereço

Os invasores podem tentar mudar os detalhes da conta, incluindo endereços de e-mail, números de telefone ou endereços de correspondência, como parte de atividades fraudulentas ou invasões de contas.

Implementação mínima

  1. Instale chaves de site de caixa de seleção em todas as páginas em que os usuários finais precisam inserir as credenciais, incluindo as funções login e forgot my password. Para saber como instalar chaves de sites com caixas de seleção, consulte Instalar chaves de sites com caixas de seleção (desafio de caixa de seleção) em sites.

  2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

  1. Instale chaves de site baseadas em pontuação em todas as páginas em que as contas foram criadas. Especifique uma ação no parâmetro action, como change_telephone ou change_physicalmail. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafios) em sites.

  2. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

  3. Implemente o defensor da conta reCAPTCHA para acompanhar as tendências do comportamento do usuário final em logins e receba outros indicadores que possam indicar um ATO. Para saber como usar o defensor da conta do reCAPTCHA, consulte Detectar e impedir atividades fraudulentas relacionadas à conta.

  4. Salve todos os IDs das avaliações e anote as transações que foram fraudulentas.

Estratégia de redução de fraudes

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger seu site contra alterações fraudulentas de conta e endereço:

  1. Criar e implementar um modelo de resposta ajustado para o risco com base em pontuação.

    No exemplo a seguir, mostramos um exemplo de modelo de resposta:

    • Para o limite de pontuação baixo a intermediário (0,0 a 0,5), conteste o usuário final com a autenticação multifator por e-mail ou SMS.
    • Para o limite de pontuação mais alto (> 0,5), permita que o usuário final prossiga sem nenhum desafio.

  2. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site baseadas em pontuação nas páginas da Web. Se eles não forem iguais, não permita alterações na conta.

  3. Na sua avaliação, se accountDefenderAssessment não tiver o rótulo PROFILE_MATCH, desafie o usuário final com a autenticação multifator por e-mail ou SMS.

Quebra de token

O cracking de token é uma ameaça automatizada em que os invasores fazem enumeração em massa de números de cupom, códigos de cupons e tokens de desconto.

Implementação mínima

  1. Instale as chaves de site da caixa de seleção em todas as páginas em que os usuários finais precisam inserir as informações do vale-presente. Para saber como instalar chaves de sites com caixas de seleção, consulte Instalar chaves de sites com caixas de seleção (desafio de caixa de seleção) em sites.

  2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

  1. Instale chaves de site baseadas em pontuação em todas as páginas em que os usuários finais precisam inserir as informações do vale-presente. Especifique uma ação como gift_card_entry. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafios) em sites.

  2. Opcional: para ativar o bloqueio de interações com pontuações de alto volume e baixo reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF). Por exemplo, você pode usar o reCAPTCHA para integração do WAF e do Google Cloud Armor.

  3. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

  4. Salve todos os IDs de avaliação e anote as avaliações que se transformam em vales-presente ou cupons fraudulentos.

Estratégia de redução de fraudes

Depois de implementar o reCAPTCHA, use uma das estratégias de mitigação de fraudes a seguir para proteger seu site contra a quebra de token:

  • Configure as APIs de gerenciamento de cartões para garantir que os tokens reCAPTCHA sejam válidos e as pontuações sejam maiores que o valor limite.

    Se as pontuações não atingirem ou ultrapassarem o limite especificado, não execute uma autorização de vale-presente ou cartão de crédito nem permita que o usuário final use o cupom ou vale-presente. Quando possível, permita que a transação prossiga no momento da compra, mas cancele-a mais tarde para evitar dar indícios do invasor.

  • Ao criar avaliações, verifique se elas atendem aos seguintes critérios para uma transação bem-sucedida:

    • Todos os tokens avaliados são válidos e têm uma pontuação maior do que o limite especificado.
    • expectedAction corresponde ao valor de action que você especificou ao instalar as chaves do site baseadas em pontuação nas suas páginas da Web. Para saber como verificar ações, consulte Verificar ações.

    Se uma transação não atender a esses critérios, não execute a autorização de vale-presente ou cartão de crédito, nem permita que o usuário final use o cupom ou vale-presente. Quando possível, permita que a transação prossiga no momento da compra, mas cancele-a mais tarde para evitar dar indícios do invasor.

Escalonamento

Scalping é uma ameaça automatizada em que os invasores obtêm disponibilidade limitada e bens ou serviços preferidos por métodos não imparciais.

Implementação mínima

  1. Instale chaves de site baseadas em pontuação em todas as páginas em que os usuários finais precisam inserir as informações do vale-presente. Especifique uma ação no parâmetro action, como add_to_cart. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafios) em sites.
  2. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

  1. Instale chaves de site baseadas em pontuação em todas as páginas em que os usuários finais precisam inserir as informações do vale-presente. Especifique uma ação no parâmetro action, como add_to_cart. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafios) em sites.

  2. Opcional: para ativar o bloqueio de interações com pontuações de alto volume e baixo reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF). Por exemplo, você pode usar o reCAPTCHA para integração do WAF e do Google Cloud Armor.

  3. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

  4. Salve todos os IDs das avaliações e anote as transações que foram fraudulentas.

Estratégia de redução de fraudes

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger seu site contra o scalping:

  1. Criar e implementar um modelo de resposta ajustado para o risco com base em pontuação.

    No exemplo a seguir, mostramos um exemplo de modelo de resposta:

    • Para um limite de pontuação baixo a intermediário (0,0 a 0,5), use a gestão de riscos com base no contexto, como limitar o número de tentativas e bloquear compras acima de um valor especificado.
    • Para o limite de pontuação mais alto (> 0,5), permita que o usuário final prossiga sem nenhum desafio.

  2. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site baseadas em pontuação nas páginas da Web. Se eles não corresponderem, não execute a autorização do vale-presente.

Distorção

A distorção é uma ameaça automatizada em que os invasores usam cliques repetidos em links, solicitações de páginas ou envios de formulário para alterar alguma métrica.

Implementação mínima

  1. Instale chaves de site com base em pontuação em todas as páginas em que houver possibilidade de distorção de métrica. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafios) em sites.
  2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

  1. Instale chaves de site com base em pontuação em todas as páginas em que houver possibilidade de distorção de métrica. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafios) em sites.

  2. Opcional: para ativar o bloqueio de interações com pontuações de alto volume e baixo reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF). Por exemplo, você pode usar o reCAPTCHA para integração do WAF e do Google Cloud Armor.

  3. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

  4. Salve todos os IDs das avaliações e anote as transações que foram fraudulentas.

Estratégia de redução de fraudes

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger seu site contra distorções:

Criar e implementar um modelo de resposta ajustado para o risco com base em pontuação.

No exemplo a seguir, mostramos um exemplo de modelo de resposta:

  • Para o limite de pontuação baixo a intermediário (0,0 a 0,5), use o gerenciamento de riscos com base no contexto, como acompanhar o número de vezes que um usuário clicou em um anúncio ou o número de vezes que a página foi atualizada. Use esses dados para determinar se a métrica deve ser contada.
  • Para o limite de pontuação mais alto (> 0,5), permita que o usuário final prossiga sem nenhum desafio.

Raspadinha

O raspagem de dados é uma ameaça automatizada em que os invasores coletam dados ou artefatos de sites de maneira automatizada.

Implementação mínima

  1. Instale chaves de site baseadas em pontuação em todas as páginas com informações importantes e nas principais páginas comuns de interação do usuário final. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafios) em sites.
  2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

  1. Instale chaves de site baseadas em pontuação em todas as páginas com informações importantes e nas principais páginas comuns de interação do usuário final. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafios) em sites.

  2. Opcional: para ativar o bloqueio de interações com pontuações de alto volume e baixo reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF). Por exemplo, você pode usar o reCAPTCHA para integração do WAF e do Google Cloud Armor.

  3. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

  4. Salve todos os IDs das avaliações e anote as transações que foram fraudulentas.

Estratégia de redução de fraudes

Depois de implementar o reCAPTCHA, use as seguintes estratégias de mitigação de fraudes para proteger seu site contra raspagem de dados:

Derrota do CAPTCHA

A derrota do CAPTCHA é uma ameaça automatizada em que os invasores usam a automação na tentativa de analisar e determinar a resposta a testes CAPTCHA visuais e/ou auditivos e quebra-cabeças relacionados.

Implementação mínima

  1. Instale chaves de site baseadas em pontuação em todas as páginas que envolvem entrada do usuário final, criação de conta, informações de pagamento ou interações do usuário final com o potencial de fraude. Especifique uma ação descritiva no parâmetro action. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafios) em sites.

  2. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

  1. Instale chaves de site baseadas em pontuação em todas as páginas que envolvem entrada do usuário final, criação de conta, informações de pagamento ou interações do usuário final com o potencial de fraude. Especifique uma ação descritiva no parâmetro action. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafios) em sites.
  2. Opcional: para ativar o bloqueio de interações com pontuações de alto volume e baixo reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF). Por exemplo, você pode usar o reCAPTCHA para integração do WAF e do Google Cloud Armor.

  3. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

  4. Salve todos os IDs de avaliações e anote as avaliações que se transformam em compras ou estornos fraudulentos como fraudulent. Para saber como anotar avaliações, consulte Anotar uma avaliação.

Estratégia de redução de fraudes

Depois de implementar o reCAPTCHA, use uma das estratégias de mitigação de fraudes a seguir para proteger seu site contra a perda do CAPTCHA:

  • Implemente um modelo de resposta e crie avaliações:

    1. Criar e implementar um modelo de resposta ajustado para o risco com base em pontuação.

      No exemplo a seguir, mostramos um exemplo de modelo de resposta:

      • Para o limite de pontuação baixo a intermediário (0,0 a 0,5), conteste o usuário final com a autenticação multifator por e-mail ou SMS.
      • Para o limite de pontuação mais alto (> 0,5), permita que o usuário final prossiga sem nenhum desafio.
    2. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site baseadas em pontuação nas páginas da Web. Se eles não forem iguais, não permita a autenticação.
  • Se os usuários finais usarem navegadores da Web com o JavaScript desativado, faça o seguinte:

    1. Bloquear esses usuários finais.
    2. Informe aos usuários finais que seu site precisa do JavaScript para continuar.
  • Verifique se a promessa grecaptcha.enterprise.ready foi cumprida para evitar o carregamento dos navegadores dos usuários finais que bloqueiam o script do Google. Isso indica que o reCAPTCHA está totalmente carregado e não encontrou um erro.

  • Para APIs somente na Web, recomendamos transmitir o token reCAPTCHA ou o resultado da teste reCAPTCHA para a API de back-end e permitir a ação da API somente se o token reCAPTCHA for válido e atender a um valor limite de pontuação. Isso garante que o usuário final não use a API sem passar pelo site.

A seguir