Best Practices zum Schutz vor automatisierten Bedrohungen

In diesem Dokument werden die empfohlenen Implementierungen von reCAPTCHA Enterprise und Betrugsminderungsstrategien für den Schutz vor kritischen automatisierten Bedrohungen (OWASP Automation Threats (OAT) to Web Applications) beschrieben. Enterprise Architects und Technologie-Stakeholder können diese Informationen lesen, um eine fundierte Entscheidung zur reCAPTCHA Enterprise-Implementierungs- und Betrugsminderungsstrategie für ihren Anwendungsfall zu treffen.

Dieses Dokument enthält die folgenden Informationen zu allen Arten von Bedrohungen:

  • Optimale Implementierung von reCAPTCHA Enterprise. Diese Implementierung wurde mit den relevanten Funktionen von reCAPTCHA Enterprise entwickelt, um einen bestmöglichen Betrugsschutz zu bieten.

  • Minimale Implementierung von reCAPTCHA Enterprise. Diese Implementierung ist auf das Minimum an Betrugsschutz ausgelegt.

  • Empfohlene Strategien zur Betrugsminderung.

Wählen Sie die Implementierungs- und Betrugsminderungsstrategie aus, die am besten zu Ihrem Anwendungsfall passt. Die von Ihnen ausgewählten Implementierungs- und Betrugsminderungsstrategien können die folgenden Faktoren beeinflussen:

  • Anforderungen und Funktionen zur Betrugsbekämpfung der Organisation.
  • Vorhandene Umgebung der Organisation.

Informationen zur empfohlenen allgemeinen Implementierung von reCAPTCHA Enterprise finden Sie unter Best Practices für die Verwendung von reCAPTCHA Enterprise.

Weitere Informationen zu den Strategien zur Betrugsbekämpfung für Ihren Anwendungsfall erhalten Sie von unserem Vertriebsteam.

Kardio

Kartenzahlungen sind eine automatisierte Bedrohung, bei der Angreifer mehrere Zahlungsautorisierungen vornehmen, um die Gültigkeit von Daten, die im Bulk-Verfahren gestohlen werden, zu bestätigen.

Mindestimplementierung

  1. Installieren Sie Kästchen für Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Kreditkartendaten eingeben müssen. Informationen zur Installation von Websiteschlüsseln für Kästchen finden Sie unter Anforderungen an Websiteschlüssel für Kästchen aktivieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Prüfungen

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Kreditkarteninformationen eingeben müssen. Geben Sie eine Aktion im Parameter action an, z. B. card_entry. Informationen zum Installieren von Punktzahlen basierend auf Websiteschlüsseln finden Sie unter Auf Punktzahlen basierte Websiteschlüssel installieren.

  2. Installieren Sie reCAPTCHA Enterprise für den Zahlungsworkflow auf Ihrer Website. Informationen zum Schutz des Zahlungsworkflows finden Sie unter Zahlungsworkflows schützen.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass sie mit dem Wert von action übereinstimmen, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Prüfungen

  4. Speichern Sie alle Bewertungs-IDs und vermerken Sie die Bewertungen, die zu betrügerischen Käufen oder Rückbuchungen führen, als fraudulent. Weitere Informationen zum Kommentieren von Bewertungen

Strategie zur Betrugsminderung

Nachdem Sie reCAPTCHA Enterprise implementiert haben, können Sie eine der folgenden Strategien zur Betrugsbekämpfung verwenden, um Ihre Website vor Kartenerstellung zu schützen:

  • Installieren Sie reCAPTCHA Enterprise für den Zahlungsworkflow auf Ihrer Website. Informationen zum Schutz des Zahlungsworkflows finden Sie unter Zahlungsworkflows schützen.

  • Konfigurieren Sie die Kartenverwaltungs-APIs, damit die reCAPTCHA-Tokens gültig sind und die Punktzahlen größer als der Grenzwert sind.

    Wenn die Punktzahlen den angegebenen Grenzwert nicht erreichen oder überschreiten, führen Sie keine Kartenautorisierung aus und erlauben Sie dem Endnutzer nicht, die Karte zu verwenden. Erlauben Sie die Transaktion nach Möglichkeit, während des Kaufs fortzufahren, aber stornieren Sie die Transaktion später, um zu verhindern, dass sie den Angreifer angreifen.

  • Achten Sie beim Erstellen von Prüfungen darauf, dass diese die folgenden Kriterien erfüllen:

    • Alle bewerteten Tokens sind gültig und haben einen höheren Schwellenwert als angegeben.
    • Der Wert von expectedAction stimmt mit dem Wert von action überein, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel auf Ihren Webseiten angegeben haben. Informationen zum Überprüfen von Aktionen finden Sie unter Aktionen bestätigen.

    Wenn eine Transaktion diese Kriterien nicht erfüllt, führen Sie keine Kartenautorisierung aus und gestatten Sie dem Endnutzer nicht, die Karte zu verwenden. Erlauben Sie die Transaktion nach Möglichkeit, während des Kaufs fortzufahren, aber stornieren Sie die Transaktion später, um zu verhindern, dass sie den Angreifer angreifen.

Karten-Cracking

Das Cracking ist eine automatisierte Bedrohung, bei der Angreifer fehlende Werte für das Startdatum, Ablaufdatum und Sicherheitscodes für gestohlene Zahlungskartendaten ermitteln, indem sie verschiedene Werte ausprobieren.

Mindestimplementierung

  1. Installieren Sie Kästchen für Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Zahlungsdetails eingeben müssen, einschließlich der Funktionen Kasse und Zahlungsmethode hinzufügen. Informationen zur Installation von Websiteschlüsseln für Kästchen finden Sie unter Anforderungen an Websiteschlüssel für Kästchen aktivieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Prüfungen

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Zahlungsdetails eingeben müssen. Geben Sie eine Aktion im Parameter action an, z. B. checkout oder add_pmtmethod. Informationen zum Installieren von Punktzahlen basierend auf Websiteschlüsseln finden Sie unter Auf Punktzahlen basierte Websiteschlüssel installieren.

  2. Installieren Sie reCAPTCHA Enterprise für den Zahlungsworkflow auf Ihrer Website. Informationen zum Schutz des Zahlungsworkflows finden Sie unter Zahlungsworkflows schützen.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass sie mit dem Wert von action übereinstimmen, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Prüfungen

  4. Speichern Sie alle Bewertungs-IDs und vermerken Sie die Bewertungen, die zu betrügerischen Käufen oder Rückbuchungen führen, als fraudulent. Weitere Informationen zum Kommentieren von Bewertungen

Strategie zur Betrugsminderung

Nachdem Sie reCAPTCHA Enterprise implementiert haben, können Sie eine der folgenden Strategien zur Betrugsminderung verwenden, um Ihre Website vor Cracking zu schützen:

  • Installieren Sie reCAPTCHA Enterprise für den Zahlungsworkflow auf Ihrer Website. Informationen zum Schutz des Zahlungsworkflows finden Sie unter Zahlungsworkflows schützen.

  • Antwortmodell implementieren und Bewertungen erstellen:

    1. Erstellen und implementieren Sie ein Antwortmodell, das auf das ergebnisbasierte Risiko angepasst ist.

      Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

      • Für einen niedrigen bis mittleren Punktzahl-Schwellenwert (0,0 bis 0, 5) sollten Sie kontextbasierte Risikomanagementmaßnahmen verwenden, z.B.die Anzahl von Versuchen beschränken und Käufe über einem bestimmten Wert blockieren.
      • Lassen Sie den Endnutzer den höchsten Punktzahl-Schwellenwert (> 0,5) zu, ohne fortzufahren.

    2. Achte beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den du bei der Installation der ergebnisbasierten Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, führen Sie keine Kartenautorisierung aus und erlauben Sie dem Endnutzer nicht, die Karte zu verwenden. Erlauben Sie die Transaktion nach Möglichkeit, während des Kaufs fortzufahren, aber stornieren Sie die Transaktion später, um zu verhindern, dass sie den Angreifer angreifen.

Cracking von Anmeldedaten

Das Cracking von Anmeldedaten ist eine automatisierte Bedrohung, bei der Angreifer gültige Anmeldedaten ermitteln, indem sie verschiedene Werte für Nutzernamen und Passwörter ausprobieren.

Mindestimplementierung

  1. Installiere die Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen, einschließlich der Funktionen Anmelden und Passwort vergessen. Informationen zur Installation von Websiteschlüsseln für Kästchen finden Sie unter Anforderungen an Websiteschlüssel für Kästchen aktivieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Prüfungen

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen. Geben Sie eine Aktion im Parameter action an, z. B. login oder authenticate. Informationen zum Installieren von Punktzahlen basierend auf Websiteschlüsseln finden Sie unter Auf Punktzahlen basierte Websiteschlüssel installieren.
  2. Empfohlen: Implementieren Sie die reCAPTCHA Enterprise-Erkennung für Preislecks für alle Authentifizierungsversuche. Informationen zur Verwendung der Erkennung von Passwortlecks finden Sie unter Passwortlecks und gehackte Anmeldedaten erkennen.
  3. Optional: Binden Sie reCAPTCHA Enterprise in eine Firewall für Webanwendungen ein (WAF), um die Blockierung von Interaktionen mit hohem Volumen und einem niedrigen reCAPTCHA-Wert zu ermöglichen. Sie können beispielsweise reCAPTCHA Enterprise für WAF und die Google Cloud Armor-Integration verwenden.
  4. Implementieren Sie reCAPTCHA Enterprise-Account Defender, um das Verhalten der Endnutzer über verschiedene Anmeldungen hinweg zu analysieren und zusätzliche Signale zu erhalten, die auf ein ATO hinweisen. Informationen zur Verwendung von reCAPTCHA Enterprise Account Defender finden Sie unter Kontobezogene betrügerische Aktivitäten erkennen und verhindern.
  5. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass sie mit dem Wert von action übereinstimmen, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Prüfungen
  6. Speichern Sie alle Prüfungs-IDs und annotieren Sie die Bewertung, die als betrügerisch erscheint, z. B. Kontoübernahmen oder andere betrügerische Aktivitäten. Weitere Informationen zum Kommentieren von Bewertungen

Strategie zur Betrugsminderung

Verwenden Sie nach der Implementierung von reCAPTCHA Enterprise die folgende Strategie zur Betrugsminderung, um Ihre Website vor Cracking von Anmeldedaten zu schützen:

  1. Erstellen und implementieren Sie ein Antwortmodell, das auf das ergebnisbasierte Risiko angepasst ist.

    Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

    • Für einen niedrigen bis mittleren Punktzahl-Schwellenwert (0,0 bis 0,5) ist die Endnutzerprüfung per Multi-Faktor-Authentifizierung per E-Mail oder SMS erforderlich.
    • Lassen Sie den Endnutzer den höchsten Punktzahl-Schwellenwert (> 0,5) zu, ohne fortzufahren.
  2. Beenden oder beenden Sie Sitzungen für Endnutzer, die sich erfolgreich authentifizieren, aber eine credentialsLeaked: true-Antwort von der reCAPTCHA Enterprise-Erkennung bei Passwortlecks erhalten, und senden eine E-Mail an die Endnutzer, um ihr Passwort zu ändern.
  3. Achte beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den du bei der Installation der ergebnisbasierten Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, lassen Sie die Authentifizierung nicht zu.

Credential Stuffing

Credential Stuffing ist eine automatisierte Bedrohung, bei der Angreifer Massenanmeldungen durchführen, um die Gültigkeit von gestohlenen Nutzernamen/Passwort-Paaren zu prüfen.

Mindestimplementierung

  1. Installiere die Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen, einschließlich der Funktionen Anmelden und Passwort vergessen. Informationen zur Installation von Websiteschlüsseln für Kästchen finden Sie unter Anforderungen an Websiteschlüssel für Kästchen aktivieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Prüfungen

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen. Geben Sie eine Aktion im Parameter action an, z. B. login oder authenticate. Informationen zum Installieren von Punktzahlen basierend auf Websiteschlüsseln finden Sie unter Auf Punktzahlen basierte Websiteschlüssel installieren.
  2. Empfohlen: Implementieren Sie die reCAPTCHA Enterprise-Erkennung für Preislecks für alle Authentifizierungsversuche. Informationen zur Verwendung der Erkennung von Passwortlecks finden Sie unter Passwortlecks und gehackte Anmeldedaten erkennen.
  3. Implementieren Sie reCAPTCHA Enterprise-Account Defender, um das Verhalten der Endnutzer über verschiedene Anmeldungen hinweg zu analysieren und zusätzliche Signale zu erhalten, die auf ein ATO hinweisen. Informationen zur Verwendung von reCAPTCHA Enterprise Account Defender finden Sie unter Kontobezogene betrügerische Aktivitäten erkennen und verhindern.
  4. Optional: Binden Sie reCAPTCHA Enterprise in eine Firewall für Webanwendungen ein (WAF), um die Blockierung von Interaktionen mit hohem Volumen und einem niedrigen reCAPTCHA-Wert zu ermöglichen. Sie können beispielsweise reCAPTCHA Enterprise für WAF und die Google Cloud Armor-Integration verwenden.

  5. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass sie mit dem Wert von action übereinstimmen, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Prüfungen

  6. Speichern Sie alle Bewertungs-IDs und vermerken Sie die Bewertungen, die zu betrügerischen Käufen oder Rückbuchungen führen, als fraudulent. Weitere Informationen zum Kommentieren von Bewertungen

Strategie zur Betrugsminderung

Verwenden Sie nach der Implementierung von reCAPTCHA Enterprise die folgende Strategie zur Betrugsminderung, um Ihre Website vor Credential Stuffing zu schützen:

  1. Erstellen und implementieren Sie ein Antwortmodell, das auf das ergebnisbasierte Risiko angepasst ist.

    Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

    • Informieren Sie den Endnutzer über den niedrigsten reCAPTCHA-Punktwert (0,0), dass sein Passwort falsch ist.
    • Für den Zwischenwert-Schwellenwert (0,1 bis 0,5) muss der Endnutzer mit einer Multi-Faktor-Authentifizierung per E-Mail oder SMS herausgefordert werden.
    • Lassen Sie den Endnutzer den höchsten Punktzahl-Schwellenwert (> 0,5) zu, ohne fortzufahren.
  2. Beenden oder beenden Sie Sitzungen für Endnutzer, die sich erfolgreich authentifizieren, aber eine credentialsLeaked: true-Antwort von der reCAPTCHA Enterprise-Erkennung bei Passwortlecks erhalten, und senden eine E-Mail an die Endnutzer, um ihr Passwort zu ändern.
  3. Achte beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den du bei der Installation der ergebnisbasierten Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, lassen Sie die Authentifizierung nicht zu.
  4. Wenn in deiner Bewertung accountDefenderAssessment=PROFILE_MATCH zulässig ist, darf der Endnutzer ohne Herausforderung fortfahren.

Wird ausgezahlt

Die Einlösung ist eine automatisierte Bedrohung, bei der Angreifer Währungs- oder Umsatzgegenstände durch die Nutzung von gestohlenen, zuvor validierten Zahlungskarten erhalten.

Mindestimplementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen der Bezahlvorgang möglich ist. Informationen zum Installieren von Punktzahlen basierend auf Websiteschlüsseln finden Sie unter Auf Punktzahlen basierte Websiteschlüssel installieren.
  2. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Prüfungen

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer die Informationen zu ihrer Geschenkkarte eingeben. Geben Sie eine Aktion wie add_gift_card an. Informationen zum Installieren von Punktzahlen basierend auf Websiteschlüsseln finden Sie unter Auf Punktzahlen basierte Websiteschlüssel installieren.
  2. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass sie mit dem Wert von action übereinstimmen, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Prüfungen

  3. Speichern Sie alle Prüfungs-IDs und vermerken Sie die Transaktionen, die betrügerisch sind.

Strategie zur Betrugsminderung

Verwenden Sie nach der Implementierung von reCAPTCHA Enterprise die folgende Strategie zur Betrugsminderung, um Ihre Website vor dem Cashing zu schützen:

  • Installieren Sie reCAPTCHA Enterprise für den Zahlungsworkflow auf Ihrer Website. Informationen zum Schutz des Zahlungsworkflows finden Sie unter Zahlungsworkflows schützen.

  • Antwortmodell implementieren und Bewertungen erstellen:

    1. Erstellen und implementieren Sie ein Antwortmodell, das auf das ergebnisbasierte Risiko angepasst ist.

      Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

      • Für einen niedrigen bis mittleren Punktzahl-Schwellenwert (0,0 bis 0, 5) sollten Sie kontextbasierte Risikomanagementmaßnahmen verwenden, z.B.die Anzahl von Versuchen beschränken und Käufe über einem bestimmten Wert blockieren.
      • Lassen Sie den Endnutzer den höchsten Punktzahl-Schwellenwert (> 0,5) zu, ohne fortzufahren.
    2. Achte beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den du bei der Installation der ergebnisbasierten Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, lassen Sie die Authentifizierung nicht zu. Erlauben Sie die Transaktion nach Möglichkeit, während des Kaufs fortzufahren, aber stornieren Sie die Transaktion später, um zu verhindern, dass sie den Angreifer angreifen.

Kontoerstellung

Die Kontoerstellung ist eine automatisierte Bedrohung, bei der Angreifer mehrere Konten für einen nachfolgenden Missbrauch erstellen.

Mindestimplementierung

  1. Installiere die Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen, einschließlich der Funktionen Anmelden und Passwort vergessen. Informationen zur Installation von Websiteschlüsseln für Kästchen finden Sie unter Anforderungen an Websiteschlüssel für Kästchen aktivieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Prüfungen

Optimale Implementierung

  1. Installieren Sie wertbezogene Websiteschlüssel auf allen Seiten, auf denen Konten erstellt werden. Geben Sie eine Aktion im Parameter action an, z. B. register. Informationen zum Installieren von Punktzahlen basierend auf Websiteschlüsseln finden Sie unter Auf Punktzahlen basierte Websiteschlüssel installieren.
  2. Empfohlen: Implementieren Sie die reCAPTCHA Enterprise-Erkennung für Preislecks für alle Authentifizierungsversuche. Informationen zur Verwendung der Erkennung von Passwortlecks finden Sie unter Passwortlecks und gehackte Anmeldedaten erkennen.
  3. Implementieren Sie reCAPTCHA Enterprise-Konto-Defender, um zusätzliche Signale zu erhalten, die auf gefälschte Konten hinweisen. Informationen zur Verwendung von reCAPTCHA Enterprise Account Defender finden Sie unter Kontobezogene betrügerische Aktivitäten erkennen und verhindern.
  4. Optional: Binden Sie reCAPTCHA Enterprise in eine Firewall für Webanwendungen ein (WAF), um die Blockierung von Interaktionen mit hohem Volumen und einem niedrigen reCAPTCHA-Wert zu ermöglichen. Sie können beispielsweise reCAPTCHA Enterprise für WAF und die Google Cloud Armor-Integration verwenden.

  5. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass sie mit dem Wert von action übereinstimmen, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Prüfungen

  6. Speichern Sie alle Prüfungs-IDs und vermerken Sie die Transaktionen, die betrügerisch sind.

Strategie zur Betrugsminderung

Verwenden Sie nach der Implementierung von reCAPTCHA Enterprise die folgende Strategie zur Betrugsminderung, um Ihre Website vor der Kontoerstellung zu schützen:

  1. Erstellen und implementieren Sie ein Antwortmodell, das auf das ergebnisbasierte Risiko angepasst ist.

    Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

    • Bestimmen Sie den niedrigsten reCAPTCHA-Punktwert von 0,0, sodass die Aktionen des Kontos begrenzt sind, bis weitere Betrugsprüfungen durchgeführt werden.
    • Fordere im Hinblick auf den Schwellenwert für mittlere Stufe (0,1 bis 0,5) die Endnutzer mit Multi-Faktor-Authentifizierung per E-Mail oder SMS an.
    • Lassen Sie den Endnutzer den höchsten Punktzahl-Schwellenwert (> 0,5) zu, ohne fortzufahren.
  2. Beenden oder beenden Sie Sitzungen für Endnutzer, die sich erfolgreich authentifizieren, aber eine credentialsLeaked: true-Antwort von der Passwort Enterprise-Erkennung von reCAPTCHA Enterprise erhalten und den Nutzer auffordern, ein neues Passwort auszuwählen.
  3. Achte beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den du bei der Installation der ergebnisbasierten Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, lassen Sie keine Kontoregistrierung oder -erstellung zu.
  4. Beurteilen Sie in Ihrer Prüfung accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, ob der Zugriff des Kontos eingeschränkt ist, bis eine weitere Validierung möglich ist.

Betrügerische Konto- und Adressänderungen

Angreifer könnten versuchen, Kontodetails wie E-Mail-Adressen, Telefonnummern oder Postanschriften im Rahmen von betrügerischen Aktivitäten oder Kontoübernahmen zu ändern.

Mindestimplementierung

  1. Installiere die Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen, einschließlich der Funktionen Anmelden und Passwort vergessen. Informationen zur Installation von Websiteschlüsseln für Kästchen finden Sie unter Anforderungen an Websiteschlüssel für Kästchen aktivieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Prüfungen

Optimale Implementierung

  1. Installieren Sie wertbezogene Websiteschlüssel auf allen Seiten, auf denen Konten erstellt werden. Geben Sie eine Aktion im Parameter action an, z. B. change_telephone oder change_physicalmail. Informationen zum Installieren von Punktzahlen basierend auf Websiteschlüsseln finden Sie unter Auf Punktzahlen basierte Websiteschlüssel installieren.

  2. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass sie mit dem Wert von action übereinstimmen, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Prüfungen

  3. Implementieren Sie reCAPTCHA Enterprise-Account Defender, um das Verhalten der Endnutzer über verschiedene Anmeldungen hinweg zu analysieren und zusätzliche Signale zu erhalten, die auf ein ATO hinweisen. Informationen zur Verwendung von reCAPTCHA Enterprise Account Defender finden Sie unter Kontobezogene betrügerische Aktivitäten erkennen und verhindern.

  4. Speichern Sie alle Prüfungs-IDs und vermerken Sie die Transaktionen, die betrügerisch sind.

Strategie zur Betrugsminderung

Verwenden Sie nach der Implementierung von reCAPTCHA Enterprise die folgende Strategie zur Betrugsminderung, um Ihre Website vor betrügerischen Konto- und Adressänderungen zu schützen:

  1. Erstellen und implementieren Sie ein Antwortmodell, das auf das ergebnisbasierte Risiko angepasst ist.

    Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

    • Für einen niedrigen bis mittleren Punktzahl-Schwellenwert (0,0 bis 0,5) ist die Endnutzerprüfung per Multi-Faktor-Authentifizierung per E-Mail oder SMS erforderlich.
    • Lassen Sie den Endnutzer den höchsten Punktzahl-Schwellenwert (> 0,5) zu, ohne fortzufahren.

  2. Achte beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den du bei der Installation der ergebnisbasierten Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, lassen Sie keine Kontoänderungen zu.

  3. Wenn accountDefenderAssessment in Ihrer Bewertung nicht das Label PROFILE_MATCH hat, fordere den Endnutzer mit einer Multi-Faktor-Authentifizierung per E-Mail oder SMS an.

Knacken von Tokens

Das Cracking von Tokens ist eine automatisierte Bedrohung, bei der Angreifer Massenlisten von Gutscheinnummern, Gutscheincodes und Rabatttokens ausführen.

Mindestimplementierung

  1. Installieren Sie Website-Schlüssel mit Kästchen für Websites, auf denen Endnutzer ihre Geschenkkartendaten eingeben müssen. Informationen zur Installation von Websiteschlüsseln für Kästchen finden Sie unter Anforderungen an Websiteschlüssel für Kästchen aktivieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Prüfungen

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer die Informationen ihrer Geschenkkarte eingeben müssen. Geben Sie eine Aktion wie gift_card_entry an. Informationen zum Installieren von Punktzahlen basierend auf Websiteschlüsseln finden Sie unter Auf Punktzahlen basierte Websiteschlüssel installieren.

  2. Optional: Binden Sie reCAPTCHA Enterprise in eine Firewall für Webanwendungen ein (WAF), um die Blockierung von Interaktionen mit hohem Volumen und einem niedrigen reCAPTCHA-Wert zu ermöglichen. Sie können beispielsweise reCAPTCHA Enterprise für WAF und die Google Cloud Armor-Integration verwenden.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass sie mit dem Wert von action übereinstimmen, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Prüfungen

  4. Speichern Sie alle Prüfungs-IDs und annotieren Sie die Bewertungen, die in betrügerische Geschenkkarten oder Gutscheine umgewandelt werden.

Strategie zur Betrugsminderung

Nachdem Sie reCAPTCHA Enterprise implementiert haben, können Sie eine der folgenden Strategien zur Betrugsbekämpfung verwenden, um Ihre Website vor Token-Cracking zu schützen:

  • Konfigurieren Sie die Kartenverwaltungs-APIs, damit die reCAPTCHA-Tokens gültig sind und die Punktzahlen größer als der Grenzwert sind.

    Wenn die Punktzahlen den angegebenen Schwellenwert nicht erreichen oder überschreiten, führen Sie keine Geschenkkarten- oder Kreditkartenautorisierung durch und erlauben Sie dem Endnutzer nicht, den Gutschein, die Geschenkkarte zu verwenden. Erlauben Sie die Transaktion nach Möglichkeit, während des Kaufs fortzufahren, aber stornieren Sie die Transaktion später, um zu verhindern, dass sie den Angreifer angreifen.

  • Achten Sie beim Erstellen von Prüfungen darauf, dass diese die folgenden Kriterien erfüllen:

    • Alle bewerteten Tokens sind gültig und haben einen höheren Schwellenwert als angegeben.
    • Der Wert von expectedAction stimmt mit dem Wert von action überein, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel auf Ihren Webseiten angegeben haben. Informationen zum Überprüfen von Aktionen finden Sie unter Aktionen bestätigen.

    Wenn eine Transaktion diese Kriterien nicht erfüllt, führen Sie keine Geschenkkarten- oder Kreditkartenautorisierung durch und gestatten Sie dem Endnutzer nicht, den Gutschein oder die Geschenkkarte zu verwenden. Erlauben Sie die Transaktion nach Möglichkeit, während des Kaufs fortzufahren, aber stornieren Sie die Transaktion später, um zu verhindern, dass sie den Angreifer angreifen.

Kopfhautbürste

Scaling ist eine automatisierte Bedrohung, bei der Angreifer über unfaire Methoden eine begrenzte Verfügbarkeit und bevorzugte Waren oder Dienstleistungen erhalten.

Mindestimplementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkartendaten eingeben müssen. Geben Sie eine Aktion im Parameter action an, z. B. add_to_cart. Informationen zum Installieren von Punktzahlen basierend auf Websiteschlüsseln finden Sie unter Auf Punktzahlen basierte Websiteschlüssel installieren.
  2. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass sie mit dem Wert von action übereinstimmen, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Prüfungen

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkartendaten eingeben müssen. Geben Sie eine Aktion im Parameter action an, z. B. add_to_cart. Informationen zum Installieren von Punktzahlen basierend auf Websiteschlüsseln finden Sie unter Auf Punktzahlen basierte Websiteschlüssel installieren.

  2. Optional: Binden Sie reCAPTCHA Enterprise in eine Firewall für Webanwendungen ein (WAF), um die Blockierung von Interaktionen mit hohem Volumen und einem niedrigen reCAPTCHA-Wert zu ermöglichen. Sie können beispielsweise reCAPTCHA Enterprise für WAF und die Google Cloud Armor-Integration verwenden.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass sie mit dem Wert von action übereinstimmen, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Prüfungen

  4. Speichern Sie alle Prüfungs-IDs und vermerken Sie die Transaktionen, die betrügerisch sind.

Strategie zur Betrugsminderung

Verwenden Sie nach der Implementierung von reCAPTCHA Enterprise die folgende Strategie zur Schadensbegrenzung, um Ihre Website vor dem Skala zu schützen:

  1. Erstellen und implementieren Sie ein Antwortmodell, das auf das ergebnisbasierte Risiko angepasst ist.

    Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

    • Für einen niedrigen bis mittleren Punktzahl-Schwellenwert (0,0 bis 0, 5) sollten Sie kontextbasierte Risikomanagementmaßnahmen verwenden, z.B.die Anzahl von Versuchen beschränken und Käufe über einem bestimmten Wert blockieren.
    • Lassen Sie den Endnutzer den höchsten Punktzahl-Schwellenwert (> 0,5) zu, ohne fortzufahren.

  2. Achte beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den du bei der Installation der ergebnisbasierten Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn dies nicht der Fall ist, führen Sie die Geschenkkarte nicht aus.

Schiefes

Skewing ist eine automatisierte Bedrohung, bei der Angreifer wiederholte Linkklicks, Seitenanfragen oder Formulareinreichungen verwenden, um einen bestimmten Messwert zu ändern.

Mindestimplementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen die Messwertverzerrung möglich ist. Informationen zum Installieren von Punktzahlen basierend auf Websiteschlüsseln finden Sie unter Auf Punktzahlen basierte Websiteschlüssel installieren.
  2. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Prüfungen

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen die Messwertverzerrung möglich ist. Informationen zum Installieren von Punktzahlen basierend auf Websiteschlüsseln finden Sie unter Auf Punktzahlen basierte Websiteschlüssel installieren.

  2. Optional: Binden Sie reCAPTCHA Enterprise in eine Firewall für Webanwendungen ein (WAF), um die Blockierung von Interaktionen mit hohem Volumen und einem niedrigen reCAPTCHA-Wert zu ermöglichen. Sie können beispielsweise reCAPTCHA Enterprise für WAF und die Google Cloud Armor-Integration verwenden.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass sie mit dem Wert von action übereinstimmen, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Prüfungen

  4. Speichern Sie alle Prüfungs-IDs und vermerken Sie die Transaktionen, die betrügerisch sind.

Strategie zur Betrugsminderung

Verwenden Sie nach der Implementierung von reCAPTCHA Enterprise die folgende Strategie zur Betrugsminderung, um Ihre Website vor der Verzerrung zu schützen:

Erstellen und implementieren Sie ein Antwortmodell, das auf das ergebnisbasierte Risiko angepasst ist.

Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

  • Für einen niedrigen bis mittleren Punktzahl-Schwellenwert (0,0 bis 0, 5) solltest du kontextbasiertes Risikomanagement verwenden, also beispielsweise wie oft ein Nutzer auf eine Anzeige geklickt hat oder wie oft die Seite aktualisiert wurde. Ermitteln Sie anhand dieser Daten, ob der Messwert gezählt werden soll.
  • Lassen Sie den Endnutzer den höchsten Punktzahl-Schwellenwert (> 0,5) zu, ohne fortzufahren.

Schaben

Scraping ist eine automatisierte Bedrohung, bei der Angreifer Websitedaten oder Artefakte auf automatisierte Weise erheben.

Mindestimplementierung

  1. Installieren Sie wertbezogene Websiteschlüssel auf allen Seiten, auf denen sich wichtige Informationen befinden, und auf allen wichtigen Seiten mit Endnutzerinteraktionen. Informationen zum Installieren von Punktzahlen basierend auf Websiteschlüsseln finden Sie unter Auf Punktzahlen basierte Websiteschlüssel installieren.
  2. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Prüfungen

Optimale Implementierung

  1. Installieren Sie wertbezogene Websiteschlüssel auf allen Seiten, auf denen sich wichtige Informationen befinden, und auf allen wichtigen Seiten mit Endnutzerinteraktionen. Informationen zum Installieren von Punktzahlen basierend auf Websiteschlüsseln finden Sie unter Auf Punktzahlen basierte Websiteschlüssel installieren.

  2. Optional: Binden Sie reCAPTCHA Enterprise in eine Firewall für Webanwendungen ein (WAF), um die Blockierung von Interaktionen mit hohem Volumen und einem niedrigen reCAPTCHA-Wert zu ermöglichen. Sie können beispielsweise reCAPTCHA Enterprise für WAF und die Google Cloud Armor-Integration verwenden.

  3. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Prüfungen

  4. Speichern Sie alle Prüfungs-IDs und vermerken Sie die Transaktionen, die betrügerisch sind.

Strategie zur Betrugsminderung

Verwenden Sie nach der Implementierung von reCAPTCHA Enterprise die folgenden Strategien zur Betrugsbekämpfung, um Ihre Website vor Scraping zu schützen:

CAPTCHA

CAPTCHA-Abwehr ist eine automatisierte Bedrohung, bei der Angreifer mithilfe von Automatisierung versuchen, visuelle und/oder akustische CAPTCHA-Tests und damit verbundene Puzzles zu beantworten.

Mindestimplementierung

  1. Installieren Sie wertbezogene Websiteschlüssel auf allen Seiten, die Endnutzereingaben, Kontoerstellung, Zahlungsinformationen oder Interaktionen von Endnutzern mit potenziell Betrugspotenzial enthalten. Geben Sie eine Beschreibungsaktion im Parameter action an. Informationen zum Installieren von Punktzahlen basierend auf Websiteschlüsseln finden Sie unter Auf Punktzahlen basierte Websiteschlüssel installieren.

  2. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass sie mit dem Wert von action übereinstimmen, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Prüfungen

Optimale Implementierung

  1. Installieren Sie wertbezogene Websiteschlüssel auf allen Seiten, die Endnutzereingaben, Kontoerstellung, Zahlungsinformationen oder Interaktionen von Endnutzern mit potenziell Betrugspotenzial enthalten. Geben Sie eine Beschreibungsaktion im Parameter action an. Informationen zum Installieren von Punktzahlen basierend auf Websiteschlüsseln finden Sie unter Auf Punktzahlen basierte Websiteschlüssel installieren.
  2. Optional: Binden Sie reCAPTCHA Enterprise in eine Firewall für Webanwendungen ein (WAF), um die Blockierung von Interaktionen mit hohem Volumen und einem niedrigen reCAPTCHA-Wert zu ermöglichen. Sie können beispielsweise reCAPTCHA Enterprise für WAF und die Google Cloud Armor-Integration verwenden.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass sie mit dem Wert von action übereinstimmen, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Prüfungen

  4. Speichern Sie alle Bewertungs-IDs und vermerken Sie die Bewertungen, die zu betrügerischen Käufen oder Rückbuchungen führen, als fraudulent. Weitere Informationen zum Kommentieren von Bewertungen

Strategie zur Betrugsminderung

Nachdem Sie reCAPTCHA Enterprise implementiert haben, können Sie eine der folgenden Strategien zur Betrugsbekämpfung verwenden, um Ihre Website vor CAPTCHA-Abwehren zu schützen:

  • Antwortmodell implementieren und Bewertungen erstellen:

    1. Erstellen und implementieren Sie ein Antwortmodell, das auf das ergebnisbasierte Risiko angepasst ist.

      Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

      • Für einen niedrigen bis mittleren Punktzahl-Schwellenwert (0,0 bis 0,5) ist die Endnutzerprüfung per Multi-Faktor-Authentifizierung per E-Mail oder SMS erforderlich.
      • Lassen Sie den Endnutzer den höchsten Punktzahl-Schwellenwert (> 0,5) zu, ohne fortzufahren.
    2. Achte beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den du bei der Installation der ergebnisbasierten Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, lassen Sie die Authentifizierung nicht zu.
  • Wenn Endnutzer JavaScript verwenden, gehen Sie so vor:

    1. Blockieren Sie diese Endnutzer.
    2. Informieren Sie die Endnutzer, dass zum Fortfahren auf Ihrer Website JavaScript erforderlich ist.
  • Achten Sie darauf, dass das Promise grecaptcha.enterprise.ready erfüllt ist und verhindert wird, dass Endnutzer das Laden von Google-Skripts blockieren. Dies bedeutet, dass reCAPTCHA Enterprise vollständig geladen ist und kein Fehler aufgetreten ist.

  • Bei Web-APIs wird empfohlen, das reCAPTCHA-Token oder das Ergebnis der reCAPTCHA-Prüfung an die Back-End-API zu übergeben und dann die API-Aktion nur dann zuzulassen, wenn das reCAPTCHA-Token gültig ist und den Punktzahl-Schwellenwert erreicht. So kann dafür gesorgt werden, dass der Endnutzer die API nicht verwendet, ohne die Website zu besuchen.

Weitere Informationen