防范自动威胁的最佳做法

本文档介绍了 reCAPTCHA Enterprise 的推荐实现方式以及欺诈防护措施,以防范重要的自动威胁(针对 Web 应用的 OWASP 自动威胁 (OAT))。企业架构师和技术利益相关方可以查看此信息,就其使用场景的 reCAPTCHA Enterprise 实现和欺诈缓解策略做出明智决策。

本文档包含各类威胁的以下信息:

  • reCAPTCHA Enterprise 的最佳实现方式。此实现使用 reCAPTCHA Enterprise 的相关功能进行设计,以获得最佳的欺诈防护。

  • reCAPTCHA Enterprise 最少实现。此实现旨在实现最低限度的欺诈防护。

  • 推荐的欺诈缓解策略。

选择最适合您的使用场景的实施和欺诈缓解策略。以下因素可能会影响您选择的实现和欺诈缓解策略:

  • 组织的反欺诈需求和功能。
  • 组织的现有环境。

如需了解建议的 reCAPTCHA Enterprise 常规实现,请参阅使用 reCAPTCHA Enterprise 的最佳做法

如需详细了解针对用例的欺诈缓解策略,请与我们的销售团队联系

卡片纸

卡片防范机制是一种自动威胁,攻击者会利用该机制尝试进行多次付款授权,以验证批量被盗的支付卡数据的有效性。

最低实现要求

  1. 在最终用户需要输入信用卡信息的所有网页上安装复选框网站密钥。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(进行复选框验证)

  2. 为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估

最佳实现

  1. 在最终用户需要输入信用卡信息的所有网页上安装基于分数的网站密钥。在 action 参数中指定一项操作,例如 card_entry。 如需了解如何安装基于分数的网站密钥,请参阅在网站上安装基于分数的网站密钥(无需挑战)

  2. 在您的网站上安装 reCAPTCHA Enterprise,以处理付款工作流。如需了解如何保护付款工作流,请参阅保护付款工作流

  3. 为所有令牌创建评估,并将 expectedAction 设置为您在安装基于分数的网站密钥时指定的 action 值。如需了解如何创建评估,请参阅创建评估

  4. 将所有评估 ID 保存下来,并为要转换成欺诈性购买或退款的评估添加 fraudulent 注解。如需了解如何为评估添加注解,请参阅为评估添加注解

欺诈缓解策略

实现 reCAPTCHA Enterprise 后,请使用以下欺诈缓解策略之一来防止您的网站遭受卡片处理:

  • 在您的网站上安装 reCAPTCHA Enterprise,以处理付款工作流。如需了解如何保护付款工作流,请参阅保护付款工作流

  • 配置卡片管理 API 以确保 reCAPTCHA 令牌有效且得分高于其阈值。

    如果得分未达到或超过指定的阈值,请勿运行卡授权或允许最终用户使用该卡。如有可能,请允许交易在购买交易发生时继续,但稍后应取消交易,以免给攻击者造成干扰。

  • 创建评估时,请确保您的评估满足以下条件才能成功进行交易:

    • 所有评估令牌均有效,其得分高于指定的阈值。
    • expectedAction 的值与您在网页上安装基于分数的网站密钥时指定的 action 值一致。如需了解如何验证操作,请参阅验证操作

    如果交易不符合这些条件,请勿运行银行卡授权或允许最终用户使用银行卡。如有可能,请允许交易在购买交易发生时继续,但稍后应取消交易,以免给攻击者造成干扰。

卡片破解

银行卡破解是自动威胁,攻击者会尝试通过尝试不同的值来找出开始日期、失效日期和安全代码被盗数据缺少的值。

最低实现要求

  1. 在最终用户需要输入付款详细信息的所有页面上安装复选框网站密钥,包括结算添加付款方式功能。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(进行复选框验证)

  2. 为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估

最佳实现

  1. 在最终用户需要输入付款明细的所有网页上安装基于分数的网站密钥。在 action 参数中指定一项操作,例如 checkoutadd_pmtmethod。 如需了解如何安装基于分数的网站密钥,请参阅在网站上安装基于分数的网站密钥(无需挑战)

  2. 在您的网站上安装 reCAPTCHA Enterprise,以处理付款工作流。如需了解如何保护付款工作流,请参阅保护付款工作流

  3. 为所有令牌创建评估,并将 expectedAction 设置为您在安装基于分数的网站密钥时指定的 action 值。如需了解如何创建评估,请参阅创建评估

  4. 将所有评估 ID 保存下来,并为要转换成欺诈性购买或退款的评估添加 fraudulent 注解。如需了解如何为评估添加注解,请参阅为评估添加注解

欺诈缓解策略

实现 reCAPTCHA Enterprise 后,请使用以下某种欺诈缓解策略,防止您的网站遭到卡片破解:

  • 在您的网站上安装 reCAPTCHA Enterprise,以处理付款工作流。如需了解如何保护付款工作流,请参阅保护付款工作流

  • 实现响应模型并创建评估:

    1. 创建并实施根据得分调整的风险响应模型。

      以下示例展示了示例响应模型:

      • 对于中低得分阈值 (0.0-0.5),请使用基于上下文的风险管理,例如限制尝试次数和阻止购买交易超过指定的值。
      • 为获得最高分数阈值 (> 0.5),请允许最终用户继续操作,而不进行任何验证。

    2. 创建评估时,请确保 expectedAction 的值与您在网页上安装基于分数的网站密钥时指定的 action 值一致。 如果不匹配,请勿运行银行卡授权或允许最终用户使用银行卡。如有可能,请允许交易在购买交易发生时继续,但稍后应取消交易,以免给攻击者造成干扰。

凭据破解

凭据破解是一种自动威胁,攻击者可通过尝试不同的用户名和密码来找出有效的登录凭据。

最低实现要求

  1. 在最终用户需要输入凭据的所有网页上安装复选框网站密钥,包括登录忘记了密码功能。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(进行复选框验证)

  2. 为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估

最佳实现

  1. 在最终用户需要输入凭据的所有网页上安装基于分数的网站密钥。 在 action 参数中指定一项操作,例如 loginauthenticate。 如需了解如何安装基于分数的网站密钥,请参阅在网站上安装基于分数的网站密钥(无需挑战)
  2. 建议:为所有身份验证尝试实现 reCAPTCHA Enterprise 密码泄露检测。 要了解如何使用密码泄露检测功能,请参阅检测密码泄露和遭破解的凭据
  3. 可选:要启用大量和低容量的 reCAPTCHA 分数交互,请将 reCAPTCHA Enterprise 与 Web 应用防火墙 (WAF) 集成。例如,您可以使用 reCAPTCHA Enterprise 进行 WAF 和 Google Cloud Armor 集成
  4. 实现 reCAPTCHA Enterprise 帐号卫士,通过各种最终用户行为追踪最终用户行为,并接收可表明 ATO 的额外信号。如需了解如何使用 reCAPTCHA Enterprise 帐号卫士,请参阅检测和防范与帐号相关的欺诈活动
  5. 为所有令牌创建评估,并将 expectedAction 设置为您在安装基于分数的网站密钥时指定的 action 值。如需了解如何创建评估,请参阅创建评估
  6. 保存所有评估 ID 并为疑似欺诈性的评估添加注解,例如帐号接管 (ATO) 或任何其他欺诈性活动。 如需了解如何为评估添加注解,请参阅为评估添加注解

欺诈缓解策略

实现 reCAPTCHA Enterprise 后,请使用以下欺诈缓解策略,保护您的网站免受凭据破解:

  1. 创建并实施根据得分调整的风险响应模型。

    以下示例展示了示例响应模型:

    • 对于中低分数阈值 (0.0-0.5),请通过电子邮件或短信向最终用户进行多重身份验证。
    • 为获得最高分数阈值 (> 0.5),请允许最终用户继续操作,而不进行任何验证。
  2. 结束或中断会话:最终用户成功通过了身份验证,但收到了 reCAPTCHA Enterprise 密码泄露检测的 credentialsLeaked: true 响应,并向最终用户发送一封电子邮件,要求其更改密码。
  3. 创建评估时,请确保 expectedAction 的值与您在网页上安装基于分数的网站密钥时指定的 action 值一致。 如果不匹配,则不允许使用身份验证。

凭据填充

凭据填充是自动威胁,攻击者利用该机制尝试大量登录,以验证被盗用户名/密码对的有效性。

最低实现要求

  1. 在最终用户需要输入凭据的所有网页上安装复选框网站密钥,包括登录忘记了密码功能。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(进行复选框验证)

  2. 为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估

最佳实现

  1. 在最终用户需要输入凭据的所有网页上安装基于分数的网站密钥。 在 action 参数中指定一项操作,例如 loginauthenticate。 如需了解如何安装基于分数的网站密钥,请参阅在网站上安装基于分数的网站密钥(无需挑战)
  2. 建议:为所有身份验证尝试实现 reCAPTCHA Enterprise 密码泄露检测。 要了解如何使用密码泄露检测功能,请参阅检测密码泄露和遭破解的凭据
  3. 实现 reCAPTCHA Enterprise 帐号卫士,通过各种最终用户行为追踪最终用户行为,并接收可表明 ATO 的额外信号。如需了解如何使用 reCAPTCHA Enterprise 帐号卫士,请参阅检测和防范与帐号相关的欺诈活动
  4. 可选:要启用大量和低容量的 reCAPTCHA 分数交互,请将 reCAPTCHA Enterprise 与 Web 应用防火墙 (WAF) 集成。例如,您可以使用 reCAPTCHA Enterprise 进行 WAF 和 Google Cloud Armor 集成

  5. 为所有令牌创建评估,并将 expectedAction 设置为您在安装基于分数的网站密钥时指定的 action 值。如需了解如何创建评估,请参阅创建评估

  6. 将所有评估 ID 保存下来,并为要转换成欺诈性购买或退款的评估添加 fraudulent 注解。如需了解如何为评估添加注解,请参阅为评估添加注解

欺诈缓解策略

实现 reCAPTCHA Enterprise 后,请使用以下欺诈缓解策略,保护您的网站免受凭据填充的侵害:

  1. 创建并实施根据得分调整的风险响应模型。

    以下示例展示了示例响应模型:

    • 对于最低的 reCAPTCHA 分数阈值 (0.0),请告知最终用户其密码不正确。
    • 对于中间分数阈值 (0.1-0.5),请通过电子邮件或短信向最终用户进行多重身份验证。
    • 为获得最高分数阈值 (> 0.5),请允许最终用户继续操作,而不进行任何验证。
  2. 结束或中断会话:最终用户成功通过了身份验证,但收到了 reCAPTCHA Enterprise 密码泄露检测的 credentialsLeaked: true 响应,并向最终用户发送一封电子邮件,要求其更改密码。
  3. 创建评估时,请确保 expectedAction 的值与您在网页上安装基于分数的网站密钥时指定的 action 值一致。 如果不匹配,则不允许使用身份验证。
  4. 在评估中,如果 accountDefenderAssessment=PROFILE_MATCH,则允许最终用户在没有任何质询的情况下继续操作。

正在提现

变现是一种自动威胁,攻击者利用以下被盗的、经过验证的支付卡来窃取货币或高价值商品。

最低实现要求

  1. 在所有可以结算的网页上安装基于得分的网站密钥。 如需了解如何安装基于分数的网站密钥,请参阅在网站上安装基于分数的网站密钥(无需挑战)
  2. 为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估

最佳实现

  1. 在最终用户输入其礼品卡信息的所有网页上安装基于分数的网站密钥。指定 add_gift_card 等操作。 如需了解如何安装基于分数的网站密钥,请参阅在网站上安装基于分数的网站密钥(无需挑战)
  2. 为所有令牌创建评估,并将 expectedAction 设置为您在安装基于分数的网站密钥时指定的 action 值。如需了解如何创建评估,请参阅创建评估

  3. 保存所有评估 ID 并标注欺诈性交易。

欺诈缓解策略

实现 reCAPTCHA Enterprise 后,请使用以下欺诈缓解策略来保护您的网站免遭提现:

  • 在您的网站上安装 reCAPTCHA Enterprise,以处理付款工作流。如需了解如何保护付款工作流,请参阅保护付款工作流

  • 实现响应模型并创建评估:

    1. 创建并实施根据得分调整的风险响应模型。

      以下示例展示了示例响应模型:

      • 对于中低得分阈值 (0.0-0.5),请使用基于上下文的风险管理,例如限制尝试次数和阻止购买交易超过指定的值。
      • 为获得最高分数阈值 (> 0.5),请允许最终用户继续操作,而不进行任何验证。
    2. 创建评估时,请确保 expectedAction 的值与您在网页上安装基于分数的网站密钥时指定的 action 值一致。 如果不匹配,则不允许使用身份验证。 如有可能,请允许交易在购买交易发生时继续,但稍后应取消交易,以免给攻击者造成干扰。

帐号创建

帐号创建是一项自动威胁,攻击者会利用该威胁创建多个帐号以便随后滥用。

最低实现要求

  1. 在最终用户需要输入凭据的所有网页上安装复选框网站密钥,包括登录忘记了密码功能。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(进行复选框验证)

  2. 为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估

最佳实现

  1. 在创建帐号的所有网页上安装基于分数的网站密钥。 在 action 参数中指定一项操作,例如 register。 如需了解如何安装基于分数的网站密钥,请参阅在网站上安装基于分数的网站密钥(无需挑战)
  2. 建议:为所有身份验证尝试实现 reCAPTCHA Enterprise 密码泄露检测。 要了解如何使用密码泄露检测功能,请参阅检测密码泄露和遭破解的凭据
  3. 实现 reCAPTCHA Enterprise 帐号卫士,以接收表明创建虚假帐号的额外信号。 如需了解如何使用 reCAPTCHA Enterprise 帐号卫士,请参阅检测和防范与帐号相关的欺诈活动
  4. 可选:要启用大量和低容量的 reCAPTCHA 分数交互,请将 reCAPTCHA Enterprise 与 Web 应用防火墙 (WAF) 集成。例如,您可以使用 reCAPTCHA Enterprise 进行 WAF 和 Google Cloud Armor 集成

  5. 为所有令牌创建评估,并将 expectedAction 设置为您在安装基于分数的网站密钥时指定的 action 值。如需了解如何创建评估,请参阅创建评估

  6. 保存所有评估 ID 并标注欺诈性交易。

欺诈缓解策略

实现 reCAPTCHA Enterprise 后,请使用以下欺诈缓解策略来保护您的网站免受帐号创建的影响:

  1. 创建并实施根据得分调整的风险响应模型。

    以下示例展示了示例响应模型:

    • 对于最低的 reCAPTCHA 分数阈值 (0.0),请限制帐号执行的操作,直到其进一步接受欺诈检查。
    • 对于中间分数阈值 (0.1-0.5),请通过电子邮件或短信向最终用户进行多重身份验证。
    • 为获得最高分数阈值 (> 0.5),请允许最终用户继续操作,而不进行任何验证。
  2. 结束或中断会话:最终用户成功通过了身份验证,但收到了 reCAPTCHA Enterprise 密码泄露检测的 credentialsLeaked: true 响应,并会提示用户选择新密码。
  3. 创建评估时,请确保 expectedAction 的值与您在网页上安装基于分数的网站密钥时指定的 action 值一致。 如果不匹配,则不允许注册或创建帐号。
  4. 在您的评估中,如果 accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION,请限制帐号的访问权限,直到可以执行进一步验证为止。

欺诈性的帐号和地址更改

攻击者可能会尝试更改帐号详细信息,包括电子邮件地址、电话号码或邮寄地址,这属于欺诈活动或帐号盗用的一部分。

最低实现要求

  1. 在最终用户需要输入凭据的所有网页上安装复选框网站密钥,包括登录忘记了密码功能。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(进行复选框验证)

  2. 为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估

最佳实现

  1. 在创建帐号的所有网页上安装基于分数的网站密钥。 在 action 参数中指定一项操作,例如 change_telephonechange_physicalmail。 如需了解如何安装基于分数的网站密钥,请参阅在网站上安装基于分数的网站密钥(无需挑战)

  2. 为所有令牌创建评估,并将 expectedAction 设置为您在安装基于分数的网站密钥时指定的 action 值。如需了解如何创建评估,请参阅创建评估

  3. 实现 reCAPTCHA Enterprise 帐号卫士,通过各种最终用户行为追踪最终用户行为,并接收可表明 ATO 的额外信号。如需了解如何使用 reCAPTCHA Enterprise 帐号卫士,请参阅检测和防范与帐号相关的欺诈活动

  4. 保存所有评估 ID 并为欺诈性交易添加注释。

欺诈缓解策略

实现 reCAPTCHA Enterprise 后,请使用以下欺诈缓解策略,保护您的网站免受欺诈性帐号和地址更改的影响:

  1. 创建并实施根据得分调整的风险响应模型。

    以下示例展示了示例响应模型:

    • 对于中低分数阈值 (0.0-0.5),请通过电子邮件或短信向最终用户进行多重身份验证。
    • 为获得最高分数阈值 (> 0.5),请允许最终用户继续操作,而不进行任何验证。

  2. 创建评估时,请确保 expectedAction 的值与您在网页上安装基于分数的网站密钥时指定的 action 值一致。 如果不匹配,则不允许更改帐号。

  3. 在评估中,如果 accountDefenderAssessment 没有 PROFILE_MATCH 标签,请通过电子邮件或短信向最终用户进行多重身份验证。

令牌破解

令牌破解是一种自动的威胁,攻击者可以通过该威胁大规模枚举优惠券编号、代金券代码、折扣令牌。

最低实现要求

  1. 在最终用户需要输入礼品卡信息的所有页面上安装复选框网站密钥。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(进行复选框验证)

  2. 为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估

最佳实现

  1. 在最终用户需要输入礼品卡信息的所有网页上安装基于分数的网站密钥。指定 gift_card_entry 等操作。 如需了解如何安装基于分数的网站密钥,请参阅在网站上安装基于分数的网站密钥(无需挑战)

  2. 可选:要启用大量和低容量的 reCAPTCHA 分数交互,请将 reCAPTCHA Enterprise 与 Web 应用防火墙 (WAF) 集成。例如,您可以使用 reCAPTCHA Enterprise 进行 WAF 和 Google Cloud Armor 集成

  3. 为所有令牌创建评估,并将 expectedAction 设置为您在安装基于分数的网站密钥时指定的 action 值。如需了解如何创建评估,请参阅创建评估

  4. 保存所有评估 ID 并注解为欺诈性礼品卡或优惠券的评估。

欺诈缓解策略

实现 reCAPTCHA Enterprise 后,请使用以下某种欺诈缓解策略,保护您的网站免受令牌破解:

  • 配置卡片管理 API 以确保 reCAPTCHA 令牌有效且得分高于其阈值。

    如果得分未达到或超过指定的阈值,请勿运行礼品卡或信用卡授权,也不允许最终用户使用优惠券和礼品卡。 如有可能,请允许交易在购买交易发生时继续,但稍后应取消交易,以免给攻击者造成干扰。

  • 创建评估时,请确保您的评估满足以下条件才能成功进行交易:

    • 所有评估令牌均有效,其得分高于指定的阈值。
    • expectedAction 的值与您在网页上安装基于分数的网站密钥时指定的 action 值一致。如需了解如何验证操作,请参阅验证操作

    如果交易不符合这些条件,请勿运行礼品卡或信用卡授权,也不允许最终用户使用优惠券或礼品卡。 如有可能,请允许交易在购买交易发生时继续,但稍后应取消交易,以免给攻击者造成干扰。

伸缩

扩张是一种自动威胁,攻击者会利用不合理的方法获得可用性有限且首选的商品或服务。

最低实现要求

  1. 在最终用户需要输入礼品卡信息的所有网页上安装基于分数的网站密钥。在 action 参数中指定一项操作,例如 add_to_cart。 如需了解如何安装基于分数的网站密钥,请参阅在网站上安装基于分数的网站密钥(无需挑战)
  2. 为所有令牌创建评估,并将 expectedAction 设置为您在安装基于分数的网站密钥时指定的 action 值。如需了解如何创建评估,请参阅创建评估

最佳实现

  1. 在最终用户需要输入礼品卡信息的所有网页上安装基于分数的网站密钥。在 action 参数中指定一项操作,例如 add_to_cart。 如需了解如何安装基于分数的网站密钥,请参阅在网站上安装基于分数的网站密钥(无需挑战)

  2. 可选:要启用大量和低容量的 reCAPTCHA 分数交互,请将 reCAPTCHA Enterprise 与 Web 应用防火墙 (WAF) 集成。例如,您可以使用 reCAPTCHA Enterprise 进行 WAF 和 Google Cloud Armor 集成

  3. 为所有令牌创建评估,并将 expectedAction 设置为您在安装基于分数的网站密钥时指定的 action 值。如需了解如何创建评估,请参阅创建评估

  4. 保存所有评估 ID 并标注欺诈性交易。

欺诈缓解策略

实现 reCAPTCHA Enterprise 后,请使用以下欺诈缓解策略来保护您的网站,以避免扩大范围:

  1. 创建并实施根据得分调整的风险响应模型。

    以下示例展示了示例响应模型:

    • 对于中低得分阈值 (0.0-0.5),请使用基于上下文的风险管理,例如限制尝试次数和阻止购买交易超过指定的值。
    • 为获得最高分数阈值 (> 0.5),请允许最终用户继续操作,而不进行任何验证。

  2. 创建评估时,请确保 expectedAction 的值与您在网页上安装基于分数的网站密钥时指定的 action 值一致。 如果不匹配,请勿运行礼品卡授权。

偏差

“偏差”是一种自动威胁,攻击者利用该漏洞通过反复点击链接、提交网页请求或提交表单来更改某些指标。

最低实现要求

  1. 在可能出现指标偏差的所有网页上安装基于分数的网站密钥。 如需了解如何安装基于分数的网站密钥,请参阅在网站上安装基于分数的网站密钥(无需挑战)
  2. 为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估

最佳实现

  1. 在可能出现指标偏差的所有网页上安装基于分数的网站密钥。 如需了解如何安装基于分数的网站密钥,请参阅在网站上安装基于分数的网站密钥(无需挑战)

  2. 可选:要启用大量和低容量的 reCAPTCHA 分数交互,请将 reCAPTCHA Enterprise 与 Web 应用防火墙 (WAF) 集成。例如,您可以使用 reCAPTCHA Enterprise 进行 WAF 和 Google Cloud Armor 集成

  3. 为所有令牌创建评估,并将 expectedAction 设置为您在安装基于分数的网站密钥时指定的 action 值。如需了解如何创建评估,请参阅创建评估

  4. 保存所有评估 ID 并为欺诈性交易添加注释。

欺诈缓解策略

实现 reCAPTCHA Enterprise 后,请使用以下欺诈缓解策略来保护您的网站免遭偏差:

创建并实施根据得分调整的风险响应模型。

以下示例展示了示例响应模型:

  • 对于中低得分阈值 (0.0-0.5),请使用基于上下文的风险管理,例如跟踪用户点击广告的次数或用户重新加载网页的次数。您可参考此数据来确定是否对指标进行计数。
  • 为获得最高分数阈值 (> 0.5),请允许最终用户继续操作,而不进行任何验证。

刮削

抄袭是自动威胁,攻击者会利用此方式自动收集网站数据或工件。

最低实现要求

  1. 在包含重要信息的所有网页上和常见的最终用户互动页面上安装基于得分的网站密钥。 如需了解如何安装基于分数的网站密钥,请参阅在网站上安装基于分数的网站密钥(无需挑战)
  2. 为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估

最佳实现

  1. 在包含重要信息的所有网页上和常见的最终用户互动页面上安装基于得分的网站密钥。 如需了解如何安装基于分数的网站密钥,请参阅在网站上安装基于分数的网站密钥(无需挑战)

  2. 可选:要启用大量和低容量的 reCAPTCHA 分数交互,请将 reCAPTCHA Enterprise 与 Web 应用防火墙 (WAF) 集成。例如,您可以使用 reCAPTCHA Enterprise 进行 WAF 和 Google Cloud Armor 集成

  3. 为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估

  4. 保存所有评估 ID 并为欺诈性交易添加注释。

欺诈缓解策略

实现 reCAPTCHA Enterprise 后,请使用以下欺诈缓解策略,保护您的网站不会被抓取:

人机识别系统验证失败

人机识别系统失败是一项自动威胁,攻击者利用这种机制尝试分析并确定视觉和/或人机识别系统测试以及相关谜题的答案。

最低实现要求

  1. 在涉及最终用户输入、帐号创建、付款信息或最终用户与潜在欺诈互动的所有网页上安装基于得分的网站密钥。在 action 参数中指定描述性操作。 如需了解如何安装基于分数的网站密钥,请参阅在网站上安装基于分数的网站密钥(无需挑战)

  2. 为所有令牌创建评估,并将 expectedAction 设置为您在安装基于分数的网站密钥时指定的 action 值。如需了解如何创建评估,请参阅创建评估

最佳实现

  1. 在涉及最终用户输入、帐号创建、付款信息或最终用户与潜在欺诈互动的所有网页上安装基于得分的网站密钥。在 action 参数中指定描述性操作。 如需了解如何安装基于分数的网站密钥,请参阅在网站上安装基于分数的网站密钥(无需挑战)
  2. 可选:要启用大量和低容量的 reCAPTCHA 分数交互,请将 reCAPTCHA Enterprise 与 Web 应用防火墙 (WAF) 集成。例如,您可以使用 reCAPTCHA Enterprise 进行 WAF 和 Google Cloud Armor 集成

  3. 为所有令牌创建评估,并将 expectedAction 设置为您在安装基于分数的网站密钥时指定的 action 值。如需了解如何创建评估,请参阅创建评估

  4. 将所有评估 ID 保存下来,并为要转换成欺诈性购买或退款的评估添加 fraudulent 注解。如需了解如何为评估添加注解,请参阅为评估添加注解

欺诈缓解策略

实现 reCAPTCHA Enterprise 后,请使用以下欺诈缓解策略之一保护您的网站免受人机识别系统攻击:

  • 实现响应模型并创建评估:

    1. 创建并实施根据得分调整的风险响应模型。

      以下示例展示了示例响应模型:

      • 对于中低分数阈值 (0.0-0.5),请通过电子邮件或短信向最终用户进行多重身份验证。
      • 为获得最高分数阈值 (> 0.5),请允许最终用户继续操作,而不进行任何验证。
    2. 创建评估时,请确保 expectedAction 的值与您在网页上安装基于分数的网站密钥时指定的 action 值一致。 如果不匹配,则不允许使用身份验证。
  • 如果最终用户使用的网络浏览器已停用 JavaScript,请执行以下操作:

    1. 屏蔽这些最终用户。
    2. 通知最终用户您的网站需要启用 JavaScript 才能继续操作。
  • 确保满足 grecaptcha.enterprise.ready promise,以防止最终用户浏览器阻止加载 Google 的脚本。这表明 reCAPTCHA Enterprise 已完全加载且未遇到错误。

  • 对于仅限 Web 的 API,我们建议您将 reCAPTCHA 令牌或 reCAPTCHA 评估结果传递给后端 API,然后仅在 reCAPTCHA 令牌有效且满足分数阈值时允许 API 操作。这可确保最终用户在浏览网站时不使用 API。

后续步骤