Práticas recomendadas para proteção contra ameaças automatizadas

Neste documento, descrevemos as implementações recomendadas do reCAPTCHA Enterprise e as estratégias de mitigação para se proteger contra as ameaças críticas (OWASP Automate Threats (OAT) to to Web Applications). Os arquitetos corporativos e as partes interessadas em tecnologia podem revisar essas informações para tomar uma decisão informada sobre a implementação de reCAPTCHA e a estratégia de mitigação de fraudes para o caso de uso.

Este documento contém as seguintes informações para cada tipo de ameaça:

  • Implementação ideal do reCAPTCHA Enterprise. Essa implementação é projetada com os recursos relevantes do reCAPTCHA Enterprise para ter a melhor proteção contra fraudes.

  • Implementação mínima do reCAPTCHA Enterprise Essa implementação é projetada para um mínimo de proteção contra fraudes.

  • Estratégias recomendadas de mitigação de fraude.

Escolha a estratégia de mitigação e implementação mais adequada ao seu caso. Os fatores a seguir podem influenciar a implementação e a estratégia de mitigação de fraude escolhida:

  • Necessidades e recursos antifraude da organização.
  • Ambiente atual da organização.

Para informações sobre a implementação geral recomendada do reCAPTCHA Enterprise, consulte Práticas recomendadas para usar o reCAPTCHA Enterprise.

Para mais informações sobre as estratégias de mitigação de casos de uso, entre em contato com nossa equipe de vendas.

Cartão

O cartão é uma ameaça automatizada em que os invasores fazem várias tentativas de autorização de pagamento para verificar a validade dos dados do cartão de pagamento roubados em massa.

Implementação mínima

  1. Instale as chaves do site da caixa de seleção em todas as páginas em que os usuários finais precisam inserir informações de cartão de crédito. Para saber como instalar chaves de caixa de seleção no site, consulte Instalar chaves de site de caixa de seleção (desafio da caixa de seleção) em sites.

  2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

  1. Instale chaves de sites com base em pontuação em todas as páginas em que os usuários finais precisam inserir informações de cartão de crédito. Especifique uma ação no parâmetro action, como card_entry. Para saber como instalar chaves de site com base em pontuação, consulte Instalar chaves de site com base em pontuação (sem desafio) em sites).

  2. Instale o reCAPTCHA Enterprise para o fluxo de trabalho de pagamento no seu site. Para saber como proteger seu fluxo de trabalho de pagamentos, consulte Proteger fluxos de trabalho de pagamentos.

  3. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

  4. Salve todos os IDs de avaliação e anote as avaliações que se transformam em compras fraudulentas ou estornos como fraudulent. Para saber como anotar avaliações, consulte Anotar uma avaliação.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA Enterprise, use uma das seguintes estratégias de mitigação de fraude para proteger seu site contra cards:

  • Instale o reCAPTCHA Enterprise para o fluxo de trabalho de pagamento no seu site. Para saber como proteger seu fluxo de trabalho de pagamentos, consulte Proteger fluxos de trabalho de pagamentos.

  • Configure as APIs de gerenciamento de cartão para garantir que os tokens reCAPTCHA sejam válidos e as pontuações sejam maiores que o valor do limite.

    Se as pontuações não atingirem ou excederem o valor do limite especificado, não execute uma autorização de cartão ou permita que o usuário final use o cartão. Sempre que possível, permita que a transação prossiga no momento da compra, mas cancele a transação posteriormente para evitar revelar o invasor.

  • Ao criar avaliações, verifique se elas atendem aos seguintes critérios para concluir a transação:

    • Todos os tokens avaliados são válidos e têm uma pontuação maior que o valor limite especificado.
    • O valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site com base em pontuação nas páginas da Web. Para saber como verificar ações, consulte Verificar ações.

    Se uma transação não atender a esses critérios, não execute uma autorização de cartão nem permita que o usuário final use o cartão. Sempre que possível, permita que a transação prossiga no momento da compra, mas cancele a transação posteriormente para evitar revelar o invasor.

Quebra de cartas

O cracker de cartão é uma ameaça automática em que invasores identificam valores ausentes para a data de início, a data de expiração e os códigos de segurança para dados de cartões de pagamento roubados.

Implementação mínima

  1. Instale as chaves do site da caixa de seleção em todas as páginas em que os usuários finais precisam inserir os detalhes de pagamento, incluindo as funções checkout e add payment method. Para saber como instalar chaves de caixa de seleção no site, consulte Instalar chaves de site de caixa de seleção (desafio da caixa de seleção) em sites.

  2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

  1. Instale as chaves de site com base em pontuação de todas as páginas em que os usuários finais precisam inserir os detalhes de pagamento. Especifique uma ação no parâmetro action, como checkout ou add_pmtmethod. Para saber como instalar chaves de site com base em pontuação, consulte Instalar chaves de site com base em pontuação (sem desafio) em sites).

  2. Instale o reCAPTCHA Enterprise para o fluxo de trabalho de pagamento no seu site. Para saber como proteger seu fluxo de trabalho de pagamentos, consulte Proteger fluxos de trabalho de pagamentos.

  3. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

  4. Salve todos os IDs de avaliação e anote as avaliações que se transformam em compras fraudulentas ou estornos como fraudulent. Para saber como anotar avaliações, consulte Anotar uma avaliação.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA Enterprise, use uma das seguintes estratégias de mitigação de fraude para proteger seu site contra crackes de cartão:

  • Instale o reCAPTCHA Enterprise para o fluxo de trabalho de pagamento no seu site. Para saber como proteger seu fluxo de trabalho de pagamentos, consulte Proteger fluxos de trabalho de pagamentos.

  • Implemente um modelo de resposta e crie avaliações:

    1. Crie e implemente um modelo de resposta ajustado para riscos com base em pontuação.

      O exemplo a seguir mostra um modelo de resposta de resposta:

      • Para um limite de pontuação baixo a intermediário (0,0-0,5), use o gerenciamento de risco baseado em contexto, como limitar o número de tentativas e bloquear compras em um valor especificado.
      • Para o limite de pontuação mais alto (> 0.5), permita que o usuário final continue sem nenhum desafio.

    2. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves do site com base em pontuação nas páginas da Web. Se eles não forem correspondentes, não execute uma autorização de cartão nem permita que o usuário final use o cartão. Sempre que possível, permita que a transação prossiga no momento da compra, mas cancele a transação posteriormente para evitar revelar o invasor.

Quebra de credenciais

O cracker de credenciais é uma ameaça automática em que invasores identificam credenciais de login válidas testando valores diferentes para nomes de usuário e senhas.

Implementação mínima

  1. Instale as chaves do site da caixa de seleção em todas as páginas onde os usuários finais precisam inserir as credenciais, incluindo as funções login e forgot my password. Para saber como instalar chaves de caixa de seleção no site, consulte Instalar chaves de site de caixa de seleção (desafio da caixa de seleção) em sites.

  2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

  1. Instale chaves de site com base em pontuação em todas as páginas em que os usuários finais precisam inserir as credenciais. Especifique uma ação no parâmetro action, como login ou authenticate. Para saber como instalar chaves de site com base em pontuação, consulte Instalar chaves de site com base em pontuação (sem desafio) em sites).
  2. Recomendado: implemente a detecção de vazamento de senhas do reCAPTCHA Enterprise para todas as tentativas de autenticação. Para saber como usar a detecção de vazamento de senhas, consulte Detectar vazamentos de senhas e credenciais violadas.
  3. Opcional: para ativar o bloqueio de interações com pontuação de alto volume e baixa reCAPTCHA, integre o reCAPTCHA Enterprise a um firewall de aplicativos da Web (WAF). Por exemplo, você pode usar a integração do reCAPTCHA Enterprise para WAF e a integração com o Cloud Armor.
  4. Implemente o defensor da conta do reCAPTCHA Enterprise para identificar tendências de comportamento do usuário final nos logins e receber sinais adicionais que podem indicar um ATO. Para saber como usar o defensor da conta do reCAPTCHA Enterprise, consulte Detectar e impedir atividades fraudulentas relacionadas à conta.
  5. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
  6. Salve todos os IDs de avaliação e anote a avaliação que parece ser fraudulenta, como Takeovers de conta (ATOs, na sigla em inglês) ou qualquer outra atividade fraudulenta. Para saber como anotar avaliações, consulte Anotar uma avaliação.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA Enterprise, use a seguinte estratégia de mitigação de fraude para proteger seu site contra a cracker de credenciais:

  1. Crie e implemente um modelo de resposta ajustado para riscos com base em pontuação.

    O exemplo a seguir mostra um modelo de resposta de resposta:

    • Para um limite de pontuação baixo a intermediário (0,0 a 0,5), solicite o usuário final com autenticação multifator por e-mail ou SMS.
    • Para o limite de pontuação mais alto (> 0.5), permita que o usuário final continue sem nenhum desafio.
  2. Encerre ou interrompa sessões para usuários finais que autenticam, mas recebem uma resposta credentialsLeaked: true da detecção de vazamento de senha do reCAPTCHA Enterprise e enviam um e-mail aos usuários finais para alterar a senha.
  3. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves do site com base em pontuação nas páginas da Web. Se eles não corresponderem, não permita a autenticação.

Excesso de credenciais

O preenchimento de credenciais é uma ameaça automática em que invasores usam tentativas de login em massa para verificar a validade de pares de nome de usuário/senha roubados.

Implementação mínima

  1. Instale as chaves do site da caixa de seleção em todas as páginas onde os usuários finais precisam inserir as credenciais, incluindo as funções login e forgot my password. Para saber como instalar chaves de caixa de seleção no site, consulte Instalar chaves de site de caixa de seleção (desafio da caixa de seleção) em sites.

  2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

  1. Instale chaves de site com base em pontuação em todas as páginas em que os usuários finais precisam inserir as credenciais. Especifique uma ação no parâmetro action, como login ou authenticate. Para saber como instalar chaves de site com base em pontuação, consulte Instalar chaves de site com base em pontuação (sem desafio) em sites).
  2. Recomendado: implemente a detecção de vazamento de senhas do reCAPTCHA Enterprise para todas as tentativas de autenticação. Para saber como usar a detecção de vazamento de senhas, consulte Detectar vazamentos de senhas e credenciais violadas.
  3. Implemente o defensor da conta do reCAPTCHA Enterprise para identificar tendências de comportamento do usuário final nos logins e receber sinais adicionais que podem indicar um ATO. Para saber como usar o defensor da conta do reCAPTCHA Enterprise, consulte Detectar e impedir atividades fraudulentas relacionadas à conta.
  4. Opcional: para ativar o bloqueio de interações com pontuação de alto volume e baixa reCAPTCHA, integre o reCAPTCHA Enterprise a um firewall de aplicativos da Web (WAF). Por exemplo, você pode usar a integração do reCAPTCHA Enterprise para WAF e a integração com o Cloud Armor.

  5. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

  6. Salve todos os IDs de avaliação e anote as avaliações que se transformam em compras fraudulentas ou estornos como fraudulent. Para saber como anotar avaliações, consulte Anotar uma avaliação.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA Enterprise, use a seguinte estratégia de mitigação de fraude para proteger seu site contra o preenchimento de credenciais:

  1. Crie e implemente um modelo de resposta ajustado para riscos com base em pontuação.

    O exemplo a seguir mostra um modelo de resposta de resposta:

    • Para o menor limite da pontuação reCAPTCHA (0.0), informe ao usuário final que a senha está incorreta.
    • Para o limite de pontuação intermediária (0,1 a 0,5), solicite o usuário final com autenticação multifator por e-mail ou SMS.
    • Para o limite de pontuação mais alto (> 0.5), permita que o usuário final continue sem nenhum desafio.
  2. Encerre ou interrompa sessões para usuários finais que autenticam, mas recebem uma resposta credentialsLeaked: true da detecção de vazamento de senha do reCAPTCHA Enterprise e enviam um e-mail aos usuários finais para alterar a senha.
  3. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves do site com base em pontuação nas páginas da Web. Se eles não corresponderem, não permita a autenticação.
  4. Na avaliação, se accountDefenderAssessment=PROFILE_MATCH, permitir que o usuário final prossiga sem desafios.

Saque

O saque é uma ameaça automática em que invasores acessam moedas ou itens de alto valor usando cartões de pagamento roubados e validados.

Implementação mínima

  1. Instale chaves de site com base em pontuação em todas as páginas em que é possível finalizar a compra. Para saber como instalar chaves de site com base em pontuação, consulte Instalar chaves de site com base em pontuação (sem desafio) em sites).
  2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

  1. Instale chaves de site com base em pontuação em todas as páginas em que os usuários finais inserem as informações do vale-presente. Especifique uma ação como add_gift_card. Para saber como instalar chaves de site com base em pontuação, consulte Instalar chaves de site com base em pontuação (sem desafio) em sites).
  2. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

  3. Salve todos os IDs de avaliação e anote as transações fraudulentas.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA Enterprise, use a seguinte estratégia de mitigação de fraude para proteger seu site contra saques:

  • Instale o reCAPTCHA Enterprise para o fluxo de trabalho de pagamento no seu site. Para saber como proteger seu fluxo de trabalho de pagamentos, consulte Proteger fluxos de trabalho de pagamentos.

  • Implemente um modelo de resposta e crie avaliações:

    1. Crie e implemente um modelo de resposta ajustado para riscos com base em pontuação.

      O exemplo a seguir mostra um modelo de resposta de resposta:

      • Para um limite de pontuação baixo a intermediário (0,0-0,5), use o gerenciamento de risco baseado em contexto, como limitar o número de tentativas e bloquear compras em um valor especificado.
      • Para o limite de pontuação mais alto (> 0.5), permita que o usuário final continue sem nenhum desafio.
    2. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves do site com base em pontuação nas páginas da Web. Se eles não corresponderem, não permita a autenticação. Sempre que possível, permita que a transação prossiga no momento da compra, mas cancele a transação posteriormente para evitar revelar o invasor.

Criação de conta

A criação de contas é uma ameaça automática em que invasores criam várias contas para uso indevido posterior.

Implementação mínima

  1. Instale as chaves do site da caixa de seleção em todas as páginas onde os usuários finais precisam inserir as credenciais, incluindo as funções login e forgot my password. Para saber como instalar chaves de caixa de seleção no site, consulte Instalar chaves de site de caixa de seleção (desafio da caixa de seleção) em sites.

  2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

  1. Instale chaves de sites com base em pontuação em todas as páginas em que as contas são criadas. Especifique uma ação no parâmetro action, como register. Para saber como instalar chaves de site com base em pontuação, consulte Instalar chaves de site com base em pontuação (sem desafio) em sites).
  2. Recomendado: implemente a detecção de vazamento de senhas do reCAPTCHA Enterprise para todas as tentativas de autenticação. Para saber como usar a detecção de vazamento de senhas, consulte Detectar vazamentos de senhas e credenciais violadas.
  3. Implemente o defensor da conta do reCAPTCHA Enterprise para receber outros sinais que indicam criações de conta falsas. Para saber como usar o defensor da conta do reCAPTCHA Enterprise, consulte Detectar e impedir atividades fraudulentas relacionadas à conta.
  4. Opcional: para ativar o bloqueio de interações com pontuação de alto volume e baixa reCAPTCHA, integre o reCAPTCHA Enterprise a um firewall de aplicativos da Web (WAF). Por exemplo, você pode usar a integração do reCAPTCHA Enterprise para WAF e a integração com o Cloud Armor.

  5. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

  6. Salve todos os IDs de avaliação e anote as transações fraudulentas.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA Enterprise, use a seguinte estratégia de mitigação de fraude para proteger seu site contra a criação de contas:

  1. Crie e implemente um modelo de resposta ajustado para riscos com base em pontuação.

    O exemplo a seguir mostra um modelo de resposta de resposta:

    • Para o limite mínimo de pontuação reCAPTCHA (0,0), limite as ações da conta até que ela passe por mais verificações de fraude.
    • Para o limite de pontuação intermediária (0,1 a 0,5), solicite o usuário final com autenticação multifator por e-mail ou SMS.
    • Para o limite de pontuação mais alto (> 0.5), permita que o usuário final continue sem nenhum desafio.
  2. Encerre ou interrompa sessões para usuários finais que autenticam, mas recebem uma resposta credentialsLeaked: true da detecção de vazamento de senha do reCAPTCHA Enterprise e solicitam que o usuário selecione uma nova senha.
  3. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves do site com base em pontuação nas páginas da Web. Se eles não corresponderem, não permita o registro da conta ou a criação dela.
  4. Na avaliação, se accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, restrinja o acesso da conta até que mais validação possa ser realizada.

Alterações fraudulentas na conta e no endereço

Os invasores podem tentar alterar os detalhes da conta, incluindo endereços de e-mail, números de telefone ou endereços de correspondência, como parte de atividades fraudulentas ou invasões de conta.

Implementação mínima

  1. Instale as chaves do site da caixa de seleção em todas as páginas onde os usuários finais precisam inserir as credenciais, incluindo as funções login e forgot my password. Para saber como instalar chaves de caixa de seleção no site, consulte Instalar chaves de site de caixa de seleção (desafio da caixa de seleção) em sites.

  2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

  1. Instale chaves de sites com base em pontuação em todas as páginas em que as contas são criadas. Especifique uma ação no parâmetro action, como change_telephone ou change_physicalmail. Para saber como instalar chaves de site com base em pontuação, consulte Instalar chaves de site com base em pontuação (sem desafio) em sites).

  2. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

  3. Implemente o defensor da conta do reCAPTCHA Enterprise para identificar tendências de comportamento do usuário final nos logins e receber sinais adicionais que podem indicar um ATO. Para saber como usar o defensor da conta do reCAPTCHA Enterprise, consulte Detectar e impedir atividades fraudulentas relacionadas à conta.

  4. Salve todos os IDs de avaliação e anote as transações fraudulentas.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA Enterprise, use a estratégia de mitigação de fraudes a seguir para proteger seu site contra contas fraudulenas e lidar com mudanças:

  1. Crie e implemente um modelo de resposta ajustado para riscos com base em pontuação.

    O exemplo a seguir mostra um modelo de resposta de resposta:

    • Para um limite de pontuação baixo a intermediário (0,0 a 0,5), solicite o usuário final com autenticação multifator por e-mail ou SMS.
    • Para o limite de pontuação mais alto (> 0.5), permita que o usuário final continue sem nenhum desafio.

  2. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves do site com base em pontuação nas páginas da Web. Se eles não corresponderem, não permita alterações de conta.

  3. Na avaliação, se accountDefenderAssessment não tiver o rótulo PROFILE_MATCH, desafie o usuário final com autenticação multifator por e-mail ou SMS.

Quebra de token

O cracking de tokens é uma ameaça automatizada em que os invasores fazem uma enumeração em massa de números de cupom, códigos de cupom e tokens de desconto.

Implementação mínima

  1. Instale as chaves do site da caixa de seleção em todas as páginas em que os usuários finais precisarem inserir as informações do vale-presente. Para saber como instalar chaves de caixa de seleção no site, consulte Instalar chaves de site de caixa de seleção (desafio da caixa de seleção) em sites.

  2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

  1. Instale chaves de site com base em pontuação em todas as páginas em que os usuários finais precisam inserir as informações do vale-presente. Especifique uma ação como gift_card_entry. Para saber como instalar chaves de site com base em pontuação, consulte Instalar chaves de site com base em pontuação (sem desafio) em sites).

  2. Opcional: para ativar o bloqueio de interações com pontuação de alto volume e baixa reCAPTCHA, integre o reCAPTCHA Enterprise a um firewall de aplicativos da Web (WAF). Por exemplo, você pode usar a integração do reCAPTCHA Enterprise para WAF e a integração com o Cloud Armor.

  3. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

  4. Salve todos os IDs de avaliação e anote as avaliações que se transformam em vales-presente ou cupons fraudulentos.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA Enterprise, use uma das seguintes estratégias de mitigação de fraude para proteger seu site contra cracking de tokens:

  • Configure as APIs de gerenciamento de cartão para garantir que os tokens reCAPTCHA sejam válidos e as pontuações sejam maiores que o valor do limite.

    Se as pontuações não atingirem ou excederem o limite especificado, não execute uma autorização de vale-presente ou cartão de crédito nem permita que o usuário final use o cupom, o vale-presente. Sempre que possível, permita que a transação prossiga no momento da compra, mas cancele a transação posteriormente para evitar revelar o invasor.

  • Ao criar avaliações, verifique se elas atendem aos seguintes critérios para concluir a transação:

    • Todos os tokens avaliados são válidos e têm uma pontuação maior que o valor limite especificado.
    • O valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site com base em pontuação nas páginas da Web. Para saber como verificar ações, consulte Verificar ações.

    Se uma transação não atender a esses critérios, não execute uma autorização de vale-presente ou cartão de crédito nem permita que o usuário final use o cupom ou o vale-presente. Sempre que possível, permita que a transação prossiga no momento da compra, mas cancele a transação posteriormente para evitar revelar o invasor.

Cabeludo

O scalping é uma ameaça automatizada em que os invasores têm disponibilidade ou bens limitados por meio de métodos injustos.

Implementação mínima

  1. Instale chaves de site com base em pontuação em todas as páginas em que os usuários finais precisam inserir as informações do vale-presente. Especifique uma ação no parâmetro action, como add_to_cart. Para saber como instalar chaves de site com base em pontuação, consulte Instalar chaves de site com base em pontuação (sem desafio) em sites).
  2. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

  1. Instale chaves de site com base em pontuação em todas as páginas em que os usuários finais precisam inserir as informações do vale-presente. Especifique uma ação no parâmetro action, como add_to_cart. Para saber como instalar chaves de site com base em pontuação, consulte Instalar chaves de site com base em pontuação (sem desafio) em sites).

  2. Opcional: para ativar o bloqueio de interações com pontuação de alto volume e baixa reCAPTCHA, integre o reCAPTCHA Enterprise a um firewall de aplicativos da Web (WAF). Por exemplo, você pode usar a integração do reCAPTCHA Enterprise para WAF e a integração com o Cloud Armor.

  3. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

  4. Salve todos os IDs de avaliação e anote as transações fraudulentas.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA Enterprise, use a seguinte estratégia de mitigação de fraude para proteger o site contra escalonamento:

  1. Crie e implemente um modelo de resposta ajustado para riscos com base em pontuação.

    O exemplo a seguir mostra um modelo de resposta de resposta:

    • Para um limite de pontuação baixo a intermediário (0,0-0,5), use o gerenciamento de risco baseado em contexto, como limitar o número de tentativas e bloquear compras em um valor especificado.
    • Para o limite de pontuação mais alto (> 0.5), permita que o usuário final continue sem nenhum desafio.

  2. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves do site com base em pontuação nas páginas da Web. Caso contrário, não execute a autorização do vale-presente.

Desvio

O skewing é uma ameaça automática em que invasores usam cliques em links repetidos, solicitações de página ou envios de formulário para alterar alguma métrica.

Implementação mínima

  1. Instale chaves de site com base em pontuação em todas as páginas em que a distorção de métrica é possível. Para saber como instalar chaves de site com base em pontuação, consulte Instalar chaves de site com base em pontuação (sem desafio) em sites).
  2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

  1. Instale chaves de site com base em pontuação em todas as páginas em que a distorção de métrica é possível. Para saber como instalar chaves de site com base em pontuação, consulte Instalar chaves de site com base em pontuação (sem desafio) em sites).

  2. Opcional: para ativar o bloqueio de interações com pontuação de alto volume e baixa reCAPTCHA, integre o reCAPTCHA Enterprise a um firewall de aplicativos da Web (WAF). Por exemplo, você pode usar a integração do reCAPTCHA Enterprise para WAF e a integração com o Cloud Armor.

  3. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

  4. Salve todos os IDs de avaliação e anote as transações fraudulentas.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA Enterprise, use a seguinte estratégia de mitigação de fraude para proteger o site contra desvios:

Crie e implemente um modelo de resposta ajustado para riscos com base em pontuação.

O exemplo a seguir mostra um modelo de resposta de resposta:

  • Para um limite de pontuação baixo a intermediário (0,0-0,5), use o gerenciamento de risco baseado no contexto, como acompanhar o número de vezes que um usuário clicou em um anúncio ou o número de vezes que uma página foi atualizada. Use esses dados para determinar se a métrica será contabilizada.
  • Para o limite de pontuação mais alto (> 0.5), permita que o usuário final continue sem nenhum desafio.

Cópia

A invasão é uma ameaça automatizada em que invasores coletam dados ou artefatos do site de maneira automatizada.

Implementação mínima

  1. Instale chaves de sites com base em pontuação em todas as páginas em que residem informações importantes e em páginas importantes de interação comum do usuário final. Para saber como instalar chaves de site com base em pontuação, consulte Instalar chaves de site com base em pontuação (sem desafio) em sites).
  2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

  1. Instale chaves de sites com base em pontuação em todas as páginas em que residem informações importantes e em páginas importantes de interação comum do usuário final. Para saber como instalar chaves de site com base em pontuação, consulte Instalar chaves de site com base em pontuação (sem desafio) em sites).

  2. Opcional: para ativar o bloqueio de interações com pontuação de alto volume e baixa reCAPTCHA, integre o reCAPTCHA Enterprise a um firewall de aplicativos da Web (WAF). Por exemplo, você pode usar a integração do reCAPTCHA Enterprise para WAF e a integração com o Cloud Armor.

  3. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

  4. Salve todos os IDs de avaliação e anote as transações fraudulentas.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA Enterprise, use as seguintes estratégias de mitigação de fraude para proteger seu site contra fraudes:

Devolução do CAPTCHA

A derrota CAPTCHA é uma ameaça automática em que invasores usam a automação em uma tentativa para analisar e determinar a resposta a testes visuais e/ou a CAPTCHA e quebra-cabeças relacionados.

Implementação mínima

  1. Instale chaves de sites com base em pontuação em todas as páginas que envolvem entrada de usuário final, criação de conta, informações de pagamento ou interações do usuário final com o potencial de fraude. Especifique uma ação descritiva no parâmetro action. Para saber como instalar chaves de site com base em pontuação, consulte Instalar chaves de site com base em pontuação (sem desafio) em sites).

  2. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

  1. Instale chaves de sites com base em pontuação em todas as páginas que envolvem entrada de usuário final, criação de conta, informações de pagamento ou interações do usuário final com o potencial de fraude. Especifique uma ação descritiva no parâmetro action. Para saber como instalar chaves de site com base em pontuação, consulte Instalar chaves de site com base em pontuação (sem desafio) em sites).
  2. Opcional: para ativar o bloqueio de interações com pontuação de alto volume e baixa reCAPTCHA, integre o reCAPTCHA Enterprise a um firewall de aplicativos da Web (WAF). Por exemplo, você pode usar a integração do reCAPTCHA Enterprise para WAF e a integração com o Cloud Armor.

  3. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

  4. Salve todos os IDs de avaliação e anote as avaliações que se transformam em compras fraudulentas ou estornos como fraudulent. Para saber como anotar avaliações, consulte Anotar uma avaliação.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA Enterprise, use uma das seguintes estratégias de mitigação de fraude para proteger seu site contra a derrota CAPTCHA:

  • Implemente um modelo de resposta e crie avaliações:

    1. Crie e implemente um modelo de resposta ajustado para riscos com base em pontuação.

      O exemplo a seguir mostra um modelo de resposta de resposta:

      • Para um limite de pontuação baixo a intermediário (0,0 a 0,5), solicite o usuário final com autenticação multifator por e-mail ou SMS.
      • Para o limite de pontuação mais alto (> 0.5), permita que o usuário final continue sem nenhum desafio.
    2. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves do site com base em pontuação nas páginas da Web. Se eles não corresponderem, não permita a autenticação.
  • Se os usuários finais usarem navegadores da Web com JavaScript desativado, faça o seguinte:

    1. Bloqueie esses usuários finais.
    2. Informe aos usuários finais que seu site precisa do JavaScript para continuar.
  • Verifique se a promessa grecaptcha.enterprise.ready é atendida para evitar que os navegadores dos usuários finais bloqueiem o carregamento do script do Google. Isso indica que o reCAPTCHA Enterprise está totalmente carregado e não encontrou um erro.

  • Para APIs somente para a Web, recomendamos transmitir o token reCAPTCHA ou o resultado da avaliação reCAPTCHA para a API de back-end e, em seguida, permitir a ação da API somente se o token reCAPTCHA for válido e atender a um valor de limite de pontuação. Isso garante que o usuário final não use a API sem passar pelo site.

A seguir