Best practice per la protezione dalle minacce automatizzate

Questo documento descrive le implementazioni consigliate delle strategie reCAPTCHA e di mitigazione delle frodi per difenderti dalle minacce automatizzate critiche (OWASP Automated Threats (OAT) to Web Applications). Gli architetti di aziende e gli stakeholder tecnologici possono esaminare queste informazioni per prendere una decisione informata sull'implementazione di reCAPTCHA e sulla strategia di mitigazione delle frodi per il loro caso d'uso.

Questo documento contiene le seguenti informazioni per ogni tipo di minaccia:

• Implementazione ottimale di reCAPTCHA. Questa implementazione è progettata con le funzionalità pertinenti di reCAPTCHA per la migliore protezione antifrode.

• Implementazione minima di reCAPTCHA. Questa implementazione è progettata per fornire il minimo indispensabile di protezione antifrode.

• Strategie consigliate per la mitigazione delle frodi.

Scegli la strategia di implementazione e mitigazione delle frodi che meglio si adatta al tuo caso d'uso. I seguenti fattori potrebbero influenzare la strategia di implementazione e mitigazione delle frodi che scegli:

• Bisogni e capacità antifrode dell'organizzazione.
• Ambiente esistente dell'organizzazione.

Per informazioni sull'implementazione generale consigliata di reCAPTCHA, consulta Best practice per l'utilizzo di reCAPTCHA.

Per ulteriori informazioni sulle strategie di mitigazione delle frodi per il tuo caso d'uso, contatta il nostro team di vendita.

Cardatura

Carding è una minaccia automatizzata per cui gli autori di attacchi eseguono più tentativi di autorizzazione di pagamento per verificare la validità dei dati delle carte di pagamento rubate collettivamente.

Implementazione minima

1. Installa chiavi sito delle caselle di controllo in tutte le pagine in cui gli utenti finali devono inserire i dati della carta di credito. Per informazioni su come installare le chiavi di sito delle caselle di controllo, consulta Installare le chiavi di sito delle caselle di controllo (verifica con casella di controllo) sui siti web.

2. Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire i dati della carta di credito. Specifica un'azione nel parametro action, ad esempio card_entry. Per informazioni su come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (nessuna sfida) sui siti web.

2. Installa reCAPTCHA per il flusso di lavoro dei pagamenti sul tuo sito web. Per scoprire come proteggere il flusso di lavoro di pagamento, consulta Proteggere i flussi di lavoro di pagamento.

3. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.

4. Salva tutti gli ID valutazione e annota come fraudulent le valutazioni che si trasformano in acquisti fraudolenti o storni di addebito. Per scoprire come annotare le valutazioni, consulta Annotare una valutazione.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza una delle seguenti strategie di mitigazione delle frodi per proteggere il tuo sito web dalla carding:

• Installa reCAPTCHA per il flusso di lavoro dei pagamenti sul tuo sito web. Per scoprire come proteggere il flusso di lavoro di pagamento, consulta Proteggere i flussi di lavoro di pagamento.

• Configura le API di gestione delle carte per assicurarti che i token reCAPTCHA siano validi e che i punteggi siano superiori al valore della soglia.

  Se i punteggi non raggiungono o superano il valore della soglia specificato, non eseguire un'autorizzazione della carta e non consentire all'utente finale di utilizzare la carta. Se possibile, consenti che la transazione prosegua al momento dell'acquisto, ma annullala in un secondo momento per evitare di lasciare intendere l'utente malintenzionato.

• Quando crei i test, assicurati che soddisfino i seguenti criteri per una transazione riuscita:

  • Tutti i token valutati sono validi e hanno un punteggio superiore al valore di soglia specificato.
  • Il valore di expectedAction corrisponde al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio sulle tue pagine web. Per scoprire come verificare le azioni, consulta Verificare le azioni.

  Se una transazione non soddisfa questi criteri, non eseguire un'autorizzazione della carta o non consentire all'utente finale di utilizzarla. Se possibile, consenti che la transazione prosegua al momento dell'acquisto, ma annullala in un secondo momento per evitare di lasciare intendere l'utente malintenzionato.

Rottura della carta

Il crack delle carte è una minaccia automatizzata per cui gli utenti malintenzionati identificano valori mancanti per la data di inizio, la data di scadenza e i codici di sicurezza per i dati delle carte di pagamento rubate provando valori diversi.

Implementazione minima

1. Installa le chiavi di sito delle caselle di controllo in tutte le pagine in cui gli utenti finali devono inserire i dettagli di pagamento, incluse le funzioni di pagamento e di aggiunta del metodo di pagamento. Per informazioni su come installare le chiavi di sito delle caselle di controllo, consulta Installare le chiavi di sito delle caselle di controllo (verifica con casella di controllo) sui siti web.

2. Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire i dettagli di pagamento. Specifica un'azione nel parametro action, ad esempio checkout o add_pmtmethod. Per informazioni su come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (nessuna sfida) sui siti web.

2. Installa reCAPTCHA per il flusso di lavoro dei pagamenti sul tuo sito web. Per scoprire come proteggere il flusso di lavoro di pagamento, consulta Proteggere i flussi di lavoro di pagamento.

3. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.

4. Salva tutti gli ID valutazione e annota come fraudulent le valutazioni che si trasformano in acquisti fraudolenti o storni di addebito. Per scoprire come annotare le valutazioni, consulta Annotare una valutazione.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza una delle seguenti strategie di mitigazione delle frodi per proteggere il tuo sito web dal crack delle carte:

• Installa reCAPTCHA per il flusso di lavoro dei pagamenti sul tuo sito web. Per scoprire come proteggere il flusso di lavoro di pagamento, consulta Proteggere i flussi di lavoro di pagamento.

• Implementa un modello di risposta e crea le valutazioni:

  1. Creare e implementare un modello di risposta che venga regolato per il rischio basato sul punteggio.

     Nell'esempio seguente è riportato un esempio di modello di risposta:

     • Per la soglia di punteggio medio-basso (0,0-0,5), utilizza la gestione del rischio basata sul contesto, ad esempio limitare il numero di tentativi e bloccare gli acquisti oltre un valore specificato.
     • Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.

  2. Quando crei i test, assicurati che il valore di expectedAction corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio sulle tue pagine web. Se non corrispondono, non eseguire un'autorizzazione della carta o consentire all'utente finale di utilizzare la carta. Se possibile, consenti che la transazione prosegua al momento dell'acquisto, ma annullala in un secondo momento per evitare di lasciare intendere l'utente malintenzionato.

Crack delle credenziali

Il crack delle credenziali è una minaccia automatizzata per cui gli utenti malintenzionati identificano le credenziali di accesso valide provando valori diversi per nomi utente e password.

Implementazione minima

1. Installa le chiavi di sito delle caselle di controllo in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali, incluse le funzioni di accesso e Password dimenticata. Per informazioni su come installare le chiavi di sito delle caselle di controllo, consulta Installare le chiavi di sito delle caselle di controllo (verifica con casella di controllo) sui siti web.

2. Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali. Specifica un'azione nel parametro action, ad esempio login o authenticate. Per informazioni su come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (nessuna sfida) sui siti web.
2. Consigliato: implementa il rilevamento di fughe di password reCAPTCHA per tutti i tentativi di autenticazione. Per informazioni su come usare il rilevamento di fughe di password, vedi Rilevare fughe di password e credenziali violate.
3. (Facoltativo) Per abilitare il blocco delle interazioni con punteggi di reCAPTCHA (alto o basso), integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare reCAPTCHA per l'integrazione di WAF e Google Cloud Armor.
4. Implementa l'account defender reCAPTCHA per le tendenze del comportamento degli utenti finali negli accessi e per ricevere indicatori aggiuntivi che possono indicare un ATO. Per informazioni su come utilizzare l'account defender reCAPTCHA, vedi Rilevare e prevenire le attività fraudolente relative all'account.
5. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.
6. Salva tutti gli ID valutazione e annota la valutazione che sembra fraudolenta, ad esempio l'acquisizione di account (ATO) o altre attività fraudolente. Per scoprire come annotare le valutazioni, consulta Annotare una valutazione.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web dal crack delle credenziali:

1. Creare e implementare un modello di risposta che venga regolato per il rischio basato sul punteggio.

   Nell'esempio seguente è riportato un esempio di modello di risposta:

   • Per una soglia di punteggio da basso a intermedio (0,0-0,5), richiedi all'utente finale l'autenticazione a più fattori via email o SMS.
   • Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.
2. Termina o interrompi le sessioni per gli utenti finali che hanno eseguito correttamente l'autenticazione, ma ricevono una risposta credentialsLeaked: true dal rilevamento di fughe di password reCAPTCHA e inviano un'email agli utenti finali per cambiare la password.
3. Quando crei i test, assicurati che il valore di expectedAction corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio sulle tue pagine web. Se non corrispondono, non consentire l'autenticazione.

Credential stuffing

Il Credential stuffing è una minaccia automatizzata per cui gli utenti malintenzionati usano tentativi di accesso di massa per verificare la validità delle coppie nome utente/password rubate.

Implementazione minima

1. Installa le chiavi di sito delle caselle di controllo in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali, incluse le funzioni di accesso e Password dimenticata. Per informazioni su come installare le chiavi di sito delle caselle di controllo, consulta Installare le chiavi di sito delle caselle di controllo (verifica con casella di controllo) sui siti web.

2. Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali. Specifica un'azione nel parametro action, ad esempio login o authenticate. Per informazioni su come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (nessuna sfida) sui siti web.
2. Consigliato: implementa il rilevamento di fughe di password reCAPTCHA per tutti i tentativi di autenticazione. Per informazioni su come usare il rilevamento di fughe di password, vedi Rilevare fughe di password e credenziali violate.
3. Implementa l'account defender reCAPTCHA per le tendenze del comportamento degli utenti finali negli accessi e per ricevere indicatori aggiuntivi che possono indicare un ATO. Per informazioni su come utilizzare l'account defender reCAPTCHA, vedi Rilevare e prevenire le attività fraudolente relative all'account.

4. (Facoltativo) Per abilitare il blocco delle interazioni con punteggi di reCAPTCHA (alto o basso), integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare reCAPTCHA per l'integrazione di WAF e Google Cloud Armor.

5. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.

6. Salva tutti gli ID valutazione e annota come fraudulent le valutazioni che si trasformano in acquisti fraudolenti o storni di addebito. Per scoprire come annotare le valutazioni, consulta Annotare una valutazione.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web dal credential stuffing:

1. Creare e implementare un modello di risposta che venga regolato per il rischio basato sul punteggio.

   Nell'esempio seguente è riportato un esempio di modello di risposta:

   • Per la soglia più bassa di punteggio reCAPTCHA (0,0), informa l'utente finale che la sua password non è corretta.
   • Per la soglia del punteggio intermedio (0,1-0,5), richiedi all'utente finale l'autenticazione a più fattori via email o SMS.
   • Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.
2. Termina o interrompi le sessioni per gli utenti finali che hanno eseguito correttamente l'autenticazione, ma ricevono una risposta credentialsLeaked: true dal rilevamento di fughe di password reCAPTCHA e inviano un'email agli utenti finali per cambiare la password.
3. Quando crei i test, assicurati che il valore di expectedAction corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio sulle tue pagine web. Se non corrispondono, non consentire l'autenticazione.
4. Nella valutazione, se accountDefenderAssessment=PROFILE_MATCH, consenti all'utente finale di procedere senza alcuna verifica.

Incassare

Il prelievo automatico è una minaccia per cui gli utenti malintenzionati ottengono valuta o articoli di alto valore tramite l'utilizzo di carte di pagamento rubate e convalidate in precedenza.

Implementazione minima

1. Installa chiavi sito basate sul punteggio in tutte le pagine in cui è possibile il pagamento. Per informazioni su come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (nessuna sfida) sui siti web.
2. Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi sito basate sul punteggio in tutte le pagine in cui gli utenti finali inseriscono i dati della carta regalo. Specifica un'azione, ad esempio add_gift_card. Per informazioni su come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (nessuna sfida) sui siti web.

2. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.

3. Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web dai pagamenti:

• Installa reCAPTCHA per il flusso di lavoro dei pagamenti sul tuo sito web. Per scoprire come proteggere il flusso di lavoro di pagamento, consulta Proteggere i flussi di lavoro di pagamento.

• Implementa un modello di risposta e crea le valutazioni:

  1. Creare e implementare un modello di risposta che venga regolato per il rischio basato sul punteggio.

     Nell'esempio seguente è riportato un esempio di modello di risposta:

     • Per la soglia di punteggio medio-basso (0,0-0,5), utilizza la gestione del rischio basata sul contesto, ad esempio limitare il numero di tentativi e bloccare gli acquisti oltre un valore specificato.
     • Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.
  2. Quando crei i test, assicurati che il valore di expectedAction corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio sulle tue pagine web. Se non corrispondono, non consentire l'autenticazione. Se possibile, consenti che la transazione prosegua al momento dell'acquisto, ma annullala in un secondo momento per evitare di lasciare intendere l'utente malintenzionato.

Creazione di un account

La creazione di account è una minaccia automatica per cui gli utenti malintenzionati creano più account per un uso improprio successivo.

Implementazione minima

1. Installa le chiavi di sito delle caselle di controllo in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali, incluse le funzioni di accesso e Password dimenticata. Per informazioni su come installare le chiavi di sito delle caselle di controllo, consulta Installare le chiavi di sito delle caselle di controllo (verifica con casella di controllo) sui siti web.

2. Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi sito basate sul punteggio in tutte le pagine in cui vengono creati gli account. Specifica un'azione nel parametro action, ad esempio register. Per informazioni su come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (nessuna sfida) sui siti web.
2. Consigliato: implementa il rilevamento di fughe di password reCAPTCHA per tutti i tentativi di autenticazione. Per informazioni su come usare il rilevamento di fughe di password, vedi Rilevare fughe di password e credenziali violate.
3. Implementa l'account defender reCAPTCHA per ricevere indicatori aggiuntivi che indicano la creazione di account false. Per informazioni su come utilizzare l'account defender reCAPTCHA, vedi Rilevare e prevenire le attività fraudolente relative all'account.

4. (Facoltativo) Per abilitare il blocco delle interazioni con punteggi di reCAPTCHA (alto o basso), integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare reCAPTCHA per l'integrazione di WAF e Google Cloud Armor.

5. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.

6. Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web dalla creazione di account:

1. Creare e implementare un modello di risposta che venga regolato per il rischio basato sul punteggio.

   Nell'esempio seguente è riportato un esempio di modello di risposta:

   • Per la soglia di punteggio reCAPTCHA più bassa (0,0), limita le azioni dell'account fino a quando non vengono sottoposti a ulteriori controlli antifrode.
   • Per la soglia del punteggio intermedio (0,1-0,5), richiedi all'utente finale l'autenticazione a più fattori via email o SMS.
   • Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.
2. Termina o interrompi le sessioni per gli utenti finali che hanno eseguito correttamente l'autenticazione, ma ricevono una risposta credentialsLeaked: true dal rilevamento di fughe di password reCAPTCHA e richiedono all'utente di selezionare una nuova password.
3. Quando crei i test, assicurati che il valore di expectedAction corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio sulle tue pagine web. Se non corrispondono, non consentire la registrazione o la creazione di account.
4. Nella tua valutazione, se accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, limita l'accesso dell'account fino a quando non è possibile eseguire un'ulteriore convalida.

Modifiche ad account e indirizzi fraudolenti

Gli utenti malintenzionati potrebbero tentare di modificare i dettagli dell'account, inclusi indirizzi email, numeri di telefono o indirizzi postali, nell'ambito di attività fraudolente o acquisizione di account.

Implementazione minima

1. Installa le chiavi di sito delle caselle di controllo in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali, incluse le funzioni di accesso e Password dimenticata. Per informazioni su come installare le chiavi di sito delle caselle di controllo, consulta Installare le chiavi di sito delle caselle di controllo (verifica con casella di controllo) sui siti web.

2. Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi sito basate sul punteggio in tutte le pagine in cui vengono creati gli account. Specifica un'azione nel parametro action, ad esempio change_telephone o change_physicalmail. Per informazioni su come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (nessuna sfida) sui siti web.

2. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.

3. Implementa l'account defender reCAPTCHA per le tendenze del comportamento degli utenti finali negli accessi e per ricevere indicatori aggiuntivi che possono indicare un ATO. Per informazioni su come utilizzare l'account defender reCAPTCHA, vedi Rilevare e prevenire le attività fraudolente relative all'account.

4. Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web da modifiche di account e indirizzi fraudolenti:

1. Creare e implementare un modello di risposta che venga regolato per il rischio basato sul punteggio.

   Nell'esempio seguente è riportato un esempio di modello di risposta:

   • Per una soglia di punteggio da basso a intermedio (0,0-0,5), richiedi all'utente finale l'autenticazione a più fattori via email o SMS.
   • Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.

2. Quando crei i test, assicurati che il valore di expectedAction corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio sulle tue pagine web. Se non corrispondono, non consentire la modifica dell'account.

3. Nella tua valutazione, se accountDefenderAssessment non ha l'etichetta PROFILE_MATCH, richiedi all'utente finale l'autenticazione a più fattori via email o SMS.

Crack di token

Il crack di token è una minaccia automatizzata per cui gli utenti malintenzionati eseguono l'enumerazione di massa di numeri di coupon, codici coupon e token di sconto.

Implementazione minima

1. Installa chiavi sito delle caselle di controllo in tutte le pagine in cui gli utenti finali devono inserire le informazioni sulle carte regalo. Per informazioni su come installare le chiavi di sito delle caselle di controllo, consulta Installare le chiavi di sito delle caselle di controllo (verifica con casella di controllo) sui siti web.

2. Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire i dati della carta regalo. Specifica un'azione, ad esempio gift_card_entry. Per informazioni su come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (nessuna sfida) sui siti web.

2. (Facoltativo) Per abilitare il blocco delle interazioni con punteggi di reCAPTCHA (alto o basso), integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare reCAPTCHA per l'integrazione di WAF e Google Cloud Armor.

3. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.

4. Salva tutti gli ID di valutazione e annota le valutazioni che si trasformano in carte regalo o coupon fraudolenti.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza una delle seguenti strategie di mitigazione delle attività fraudolente per proteggere il tuo sito web dal crack di token:

• Configura le API di gestione delle carte per assicurarti che i token reCAPTCHA siano validi e che i punteggi siano superiori al valore della soglia.

  Se i punteggi non raggiungono o superano la soglia specificata, non eseguire una carta regalo o un'autorizzazione su carta di credito e non consentire all'utente finale di utilizzare il coupon o la carta regalo. Se possibile, consenti che la transazione prosegua al momento dell'acquisto, ma annullala in un secondo momento per evitare di lasciare intendere l'utente malintenzionato.

• Quando crei i test, assicurati che soddisfino i seguenti criteri per una transazione riuscita:

  • Tutti i token valutati sono validi e hanno un punteggio superiore al valore di soglia specificato.
  • Il valore di expectedAction corrisponde al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio sulle tue pagine web. Per scoprire come verificare le azioni, consulta Verificare le azioni.

  Se una transazione non soddisfa questi criteri, non eseguire una carta regalo o un'autorizzazione della carta di credito e non consentire all'utente finale di utilizzare il coupon o la carta regalo. Se possibile, consenti che la transazione prosegua al momento dell'acquisto, ma annullala in un secondo momento per evitare di lasciare intendere l'utente malintenzionato.

Scalpaggio

Lo scalping è una minaccia automatizzata per cui gli utenti malintenzionati ottengono disponibilità limitata e beni o servizi preferiti con metodi ingiusti.

Implementazione minima

1. Installa chiavi sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire i dati della carta regalo. Specifica un'azione nel parametro action, ad esempio add_to_cart. Per informazioni su come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (nessuna sfida) sui siti web.
2. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire i dati della carta regalo. Specifica un'azione nel parametro action, ad esempio add_to_cart. Per informazioni su come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (nessuna sfida) sui siti web.

2. (Facoltativo) Per abilitare il blocco delle interazioni con punteggi di reCAPTCHA (alto o basso), integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare reCAPTCHA per l'integrazione di WAF e Google Cloud Armor.

3. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.

4. Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web dallo scalping:

1. Creare e implementare un modello di risposta che venga regolato per il rischio basato sul punteggio.

   Nell'esempio seguente è riportato un esempio di modello di risposta:

   • Per la soglia di punteggio medio-basso (0,0-0,5), utilizza la gestione del rischio basata sul contesto, ad esempio limitare il numero di tentativi e bloccare gli acquisti oltre un valore specificato.
   • Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.

2. Quando crei i test, assicurati che il valore di expectedAction corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio sulle tue pagine web. Se non corrispondono, non eseguire l'autorizzazione della carta regalo.

Inclinata

Lo spostamento è una minaccia automatizzata per cui gli utenti malintenzionati utilizzano ripetutamente clic sui link, richieste di pagine o invii di moduli per alterare alcune metriche.

Implementazione minima

1. Installa chiavi sito basate sul punteggio in tutte le pagine in cui è possibile l'inclinazione delle metriche. Per informazioni su come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (nessuna sfida) sui siti web.
2. Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi sito basate sul punteggio in tutte le pagine in cui è possibile l'inclinazione delle metriche. Per informazioni su come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (nessuna sfida) sui siti web.

2. (Facoltativo) Per abilitare il blocco delle interazioni con punteggi di reCAPTCHA (alto o basso), integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare reCAPTCHA per l'integrazione di WAF e Google Cloud Armor.

3. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.

4. Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web dallo spostamento:

Creare e implementare un modello di risposta che venga regolato per il rischio basato sul punteggio.

Nell'esempio seguente è riportato un esempio di modello di risposta:

• Per una soglia di punteggio medio-bassa (0,0-0,5), utilizza la gestione dei rischi basata sul contesto, ad esempio il monitoraggio del numero di volte in cui un utente ha fatto clic su un annuncio o di volte in cui l'utente ha ricaricato la pagina. Utilizza questi dati per determinare se conteggiare la metrica.
• Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.

Estrazione di dati

Lo scraping è una minaccia automatizzata per cui i malintenzionati raccolgono in modo automatico i dati o gli artefatti dei siti web.

Implementazione minima

1. Installa chiavi sito basate sul punteggio in tutte le pagine in cui si trovano informazioni importanti e nelle pagine chiave di interazione con l'utente finale comuni. Per informazioni su come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (nessuna sfida) sui siti web.
2. Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi sito basate sul punteggio in tutte le pagine in cui si trovano informazioni importanti e nelle pagine chiave di interazione con l'utente finale comuni. Per informazioni su come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (nessuna sfida) sui siti web.

2. (Facoltativo) Per abilitare il blocco delle interazioni con punteggi di reCAPTCHA (alto o basso), integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare reCAPTCHA per l'integrazione di WAF e Google Cloud Armor.

3. Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.

4. Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza le seguenti strategie di mitigazione delle frodi per proteggere il tuo sito web dallo scraping:

• Abilita il blocco delle interazioni con punteggi di volumi elevati e con tempo reCAPTCHA basso integrando reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare reCAPTCHA per l'integrazione di WAF e Google Cloud Armor
• Se lo scraping riguarda le API, utilizza le API di gestione Apigee per ulteriori misure di mitigazione.

Errore CAPTCHA

La sconfitta con CAPTCHA è una minaccia automatizzata per cui gli utenti malintenzionati utilizzano l'automazione nel tentativo di analizzare e determinare la risposta ai test CAPTCHA visivi e/o acustici e ai relativi rompicapi.

Implementazione minima

1. Installa chiavi di sito basate sul punteggio su tutte le pagine che prevedono input utente dell'utente finale, creazione di account, dati di pagamento o interazioni dell'utente finale con un potenziale rischio di attività fraudolenta. Specifica un'azione descrittiva nel parametro action. Per informazioni su come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (nessuna sfida) sui siti web.

2. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi di sito basate sul punteggio su tutte le pagine che prevedono input utente dell'utente finale, creazione di account, dati di pagamento o interazioni dell'utente finale con un potenziale rischio di attività fraudolenta. Specifica un'azione descrittiva nel parametro action. Per informazioni su come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (nessuna sfida) sui siti web.

2. (Facoltativo) Per abilitare il blocco delle interazioni con punteggi di reCAPTCHA (alto o basso), integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare reCAPTCHA per l'integrazione di WAF e Google Cloud Armor.

3. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.

4. Salva tutti gli ID valutazione e annota come fraudulent le valutazioni che si trasformano in acquisti fraudolenti o storni di addebito. Per scoprire come annotare le valutazioni, consulta Annotare una valutazione.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza una delle seguenti strategie di mitigazione delle attività fraudolente per proteggere il tuo sito web dalla violazione del CAPTCHA:

• Implementa un modello di risposta e crea le valutazioni:

  1. Creare e implementare un modello di risposta che venga regolato per il rischio basato sul punteggio.

     Nell'esempio seguente è riportato un esempio di modello di risposta:

     • Per una soglia di punteggio da basso a intermedio (0,0-0,5), richiedi all'utente finale l'autenticazione a più fattori via email o SMS.
     • Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.
  2. Quando crei i test, assicurati che il valore di expectedAction corrisponda al valore di action specificato durante l'installazione delle chiavi di sito basate sul punteggio sulle tue pagine web. Se non corrispondono, non consentire l'autenticazione.

• Se gli utenti finali utilizzano browser web in cui JavaScript è disattivato:

  1. Bloccare questi utenti finali.
  2. Comunicare agli utenti finali che il tuo sito web richiede JavaScript per procedere.

• Assicurati che la promessa grecaptcha.enterprise.ready venga soddisfatta per impedire il caricamento dello script di Google nei browser degli utenti finali. Questo indica che reCAPTCHA è stato caricato completamente e non si è verificato un errore.

• Per le API solo web, ti consigliamo di passare il token reCAPTCHA o il risultato test reCAPTCHA all'API di backend e quindi di consentire l'azione dell'API solo se il token reCAPTCHA è valido e soddisfa un valore di soglia di punteggio. Ciò garantisce che l'utente finale non utilizzi l'API senza visitare il sito web.

Passaggi successivi

• Installa chiavi di sito basate sul punteggio.
• Installa chiavi di sito della casella di controllo.
• Creare le valutazioni.
• Annota le valutazioni.
• Implementa il rilevamento di fughe di password.
• Implementa l'account defender.