Bonnes pratiques de protection contre les menaces automatisées

Ce document décrit les implémentations recommandées de reCAPTCHA Enterprise et les stratégies d'atténuation de la fraude pour se protéger contre les menaces automatisées critiques (OWASP Automated Threats (OAT) to Web Applications). Les architectes d'entreprise et les acteurs technologiques peuvent examiner ces informations afin de prendre des décisions éclairées concernant la mise en œuvre et la stratégie d'atténuation des fraudes de reCAPTCHA Enterprise pour leur cas d'utilisation.

Ce document contient les informations suivantes pour chaque type de menace:

Implémentation optimale de reCAPTCHA Enterprise. Cette implémentation est conçue avec les fonctionnalités pertinentes de reCAPTCHA Enterprise pour une protection optimale contre la fraude.
Implémentation minimale de reCAPTCHA Enterprise. Cette implémentation est conçue pour offrir un niveau minimal de protection contre la fraude.
Stratégies recommandées d'atténuation de la fraude

Choisissez la stratégie d'implémentation et d'atténuation des fraudes qui convient le mieux à votre cas d'utilisation. Les facteurs suivants peuvent influencer votre choix de mise en œuvre et de stratégie d'atténuation des fraudes:

Besoins et capacités de lutte contre la fraude de l'organisation.
Environnement existant de l'organisation.

Pour en savoir plus sur la mise en œuvre générale recommandée de reCAPTCHA Enterprise, consultez les bonnes pratiques d'utilisation de reCAPTCHA Enterprise.

Pour en savoir plus sur les stratégies d'atténuation des fraudes pour votre cas d'utilisation, contactez notre équipe commerciale.

Carding

Le carding est une menace automatisée qui permet à des pirates informatiques d'effectuer plusieurs autorisations de paiement pour tenter de vérifier la validité des données de cartes de paiement volées en masse.

Implémentation minimale

Installez des clés de site à cases à cocher sur toutes les pages sur lesquelles les utilisateurs finaux doivent saisir leurs informations de carte de crédit. Pour savoir comment installer des clés de site à cases à cocher, consultez Installer des clés de site à cases à cocher (question d'authentification à cocher) sur des sites Web.

Remarque:Les clés de site comportant des cases à cocher augmentent les frictions des utilisateurs et peuvent affecter les taux de conversion.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez la page Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages où les utilisateurs finaux doivent saisir leurs informations de carte de crédit. Spécifiez une action dans le paramètre action (card_entry, par exemple). Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans défi) sur des sites Web.
Installez reCAPTCHA Enterprise pour le workflow de paiement sur votre site Web. Pour découvrir comment protéger votre workflow de paiement, consultez Protéger les workflows de paiement.
Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'elle corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez la page Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les évaluations qui donnent lieu à des achats frauduleux ou à des rejets de débit sous le nom fraudulent. Pour savoir comment annoter des évaluations, consultez Annoter une évaluation.

Stratégie d'atténuation de la fraude

Après avoir implémenté reCAPTCHA Enterprise, utilisez l'une des stratégies d'atténuation des fraudes suivantes pour protéger votre site Web contre le carding:

Installez reCAPTCHA Enterprise pour le workflow de paiement sur votre site Web. Pour découvrir comment protéger votre workflow de paiement, consultez Protéger les workflows de paiement.
Configurez des API de gestion des cartes pour vous assurer que les jetons reCAPTCHA sont valides et que les scores sont supérieurs à la valeur de leur seuil.

Si les scores ne atteignent ou ne dépassent pas la valeur de seuil spécifiée, n'exécutez pas d'autorisation de carte et n'autorisez pas l'utilisateur final à utiliser la carte. Si possible, autorisez la transaction au moment de l'achat, mais annulez-la plus tard pour éviter de faire basculer l'attaquant.
Lorsque vous créez des évaluations, assurez-vous qu'elles répondent aux critères suivants afin de garantir la réussite de la transaction:
- Tous les jetons évalués sont valides et ont un score supérieur à une valeur de seuil spécifiée.
- La valeur de expectedAction correspond à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Pour savoir comment valider des actions, consultez Valider des actions.
Si une transaction ne répond pas à ces critères, n'exécutez pas d'autorisation par carte et n'autorisez pas l'utilisateur final à utiliser la carte. Si possible, autorisez la transaction au moment de l'achat, mais annulez-la plus tard pour éviter de faire basculer l'attaquant.

Le craquage de cartes

Le craquage de cartes est une menace automatisée qui permet aux pirates informatiques d'identifier les valeurs manquantes pour la date de début, la date d'expiration et les codes de sécurité pour les données de carte de paiement volées en essayant différentes valeurs.

Implémentation minimale

Installez des clés de site pour les cases à cocher sur toutes les pages sur lesquelles les utilisateurs finaux doivent saisir leurs informations de paiement, y compris les fonctions de paiement et d'ajout de mode de paiement. Pour savoir comment installer des clés de site à cases à cocher, consultez Installer des clés de site à cases à cocher (question d'authentification à cocher) sur des sites Web.

Remarque:Les clés de site comportant des cases à cocher augmentent les frictions des utilisateurs et peuvent affecter les taux de conversion.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez la page Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages sur lesquelles les utilisateurs finaux doivent saisir leurs détails de paiement. Spécifiez une action dans le paramètre action (checkout ou add_pmtmethod, par exemple). Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans défi) sur des sites Web.
Installez reCAPTCHA Enterprise pour le workflow de paiement sur votre site Web. Pour découvrir comment protéger votre workflow de paiement, consultez Protéger les workflows de paiement.
Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'elle corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez la page Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les évaluations qui donnent lieu à des achats frauduleux ou à des rejets de débit sous le nom fraudulent. Pour savoir comment annoter des évaluations, consultez Annoter une évaluation.

Stratégie d'atténuation de la fraude

Après avoir implémenté reCAPTCHA Enterprise, utilisez l'une des stratégies d'atténuation des fraudes suivantes pour protéger votre site Web contre le craquage de cartes:

Installez reCAPTCHA Enterprise pour le workflow de paiement sur votre site Web. Pour découvrir comment protéger votre workflow de paiement, consultez Protéger les workflows de paiement.
Implémentez un modèle de réponse et créez des évaluations:
1. Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur des scores.
  
  Voici un exemple de modèle de réponse:
  - Pour le seuil de score bas à intermédiaire (0,0-0,5), utilisez la gestion des risques basée sur le contexte, par exemple en limitant le nombre de tentatives et en bloquant les achats au-delà d'une valeur spécifiée.
  - Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans défi.
  Remarque:Vos seuils de score peuvent varier en fonction de vos utilisateurs et de vos pirates informatiques. Nous vous recommandons d'utiliser le tableau de bord d'analyse reCAPTCHA Enterprise pour déterminer les meilleurs scores à prendre en compte.
2. Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Si ce n'est pas le cas, n'exécutez pas d'autorisation de carte et n'autorisez pas l'utilisateur final à utiliser la carte. Si possible, autorisez la transaction au moment de l'achat, mais annulez-la plus tard pour éviter de faire basculer l'attaquant.

Cassage d'identifiants

Le craquage des identifiants est une menace automatisée qui permet aux pirates informatiques d'identifier des identifiants de connexion valides en essayant différentes valeurs de noms d'utilisateur et de mots de passe.

Implémentation minimale

Installez des clés de site pour les cases à cocher sur toutes les pages sur lesquelles les utilisateurs finaux doivent saisir leurs identifiants, y compris les fonctions login et forgot my password. Pour savoir comment installer des clés de site à cases à cocher, consultez Installer des clés de site à cases à cocher (question d'authentification à cocher) sur des sites Web.

Remarque:Les clés de site comportant des cases à cocher augmentent les frictions des utilisateurs et peuvent affecter les taux de conversion.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez la page Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages où les utilisateurs finaux doivent saisir leurs identifiants. Spécifiez une action dans le paramètre action (login ou authenticate, par exemple). Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans défi) sur des sites Web.
Recommandation: implémentez la détection des fuites de mots de passe reCAPTCHA Enterprise pour toutes les tentatives d'authentification. Pour savoir comment utiliser la détection des fuites de mots de passe, consultez Détecter les fuites de mots de passe et les identifiants piratés.
Facultatif: Pour activer le blocage des interactions volumineuses avec un score reCAPTCHA faible, intégrez reCAPTCHA Enterprise à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser reCAPTCHA Enterprise pour l'intégration de WAF et de Google Cloud Armor.
Implémentez reCAPTCHA Enterprise Account Defender pour analyser le comportement des utilisateurs finaux lors des connexions et recevoir des signaux supplémentaires pouvant indiquer un ATO. Pour savoir comment utiliser reCAPTCHA Enterprise Account Defender, consultez Détecter et prévenir les activités frauduleuses liées au compte.
Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'elle corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez la page Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les évaluations qui semblent frauduleuses, comme les piratages de compte ou toute autre activité frauduleuse. Pour savoir comment annoter des évaluations, consultez Annoter une évaluation.

Stratégie d'atténuation de la fraude

Après avoir implémenté reCAPTCHA Enterprise, appliquez la stratégie d'atténuation des fraudes suivante pour protéger votre site Web contre le craquage des identifiants:

Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur des scores.

Voici un exemple de modèle de réponse:
- Pour le seuil de score bas à intermédiaire (0,0-0,5), interrogez l'utilisateur final avec l'authentification multifacteur par e-mail ou SMS.
- Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans défi.
Remarque:Vos seuils de score peuvent varier en fonction de vos utilisateurs et de vos pirates informatiques. Nous vous recommandons d'utiliser le tableau de bord d'analyse reCAPTCHA Enterprise pour déterminer les meilleurs scores à prendre en compte.
Arrêtez ou interrompez des sessions pour les utilisateurs finaux qui s'authentifient correctement, mais reçoivent une réponse credentialsLeaked: true de la part de reCAPTCHA Enterprise de détection des fuites de mots de passe, et envoient un e-mail aux utilisateurs finaux pour modifier leur mot de passe.
Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Si ce n'est pas le cas, n'autorisez pas l'authentification.

Bourrage d'identifiants

Le bourrage d'identifiants est une menace automatisée qui permet aux pirates informatiques d'utiliser des connexions en masse pour vérifier la validité des paires nom d'utilisateur/mot de passe volées.

Implémentation minimale

Installez des clés de site pour les cases à cocher sur toutes les pages sur lesquelles les utilisateurs finaux doivent saisir leurs identifiants, y compris les fonctions login et forgot my password. Pour savoir comment installer des clés de site à cases à cocher, consultez Installer des clés de site à cases à cocher (question d'authentification à cocher) sur des sites Web.

Remarque:Les clés de site comportant des cases à cocher augmentent les frictions des utilisateurs et peuvent affecter les taux de conversion.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez la page Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages où les utilisateurs finaux doivent saisir leurs identifiants. Spécifiez une action dans le paramètre action (login ou authenticate, par exemple). Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans défi) sur des sites Web.
Recommandation: implémentez la détection des fuites de mots de passe reCAPTCHA Enterprise pour toutes les tentatives d'authentification. Pour savoir comment utiliser la détection des fuites de mots de passe, consultez Détecter les fuites de mots de passe et les identifiants piratés.
Implémentez reCAPTCHA Enterprise Account Defender pour analyser le comportement des utilisateurs finaux lors des connexions et recevoir des signaux supplémentaires pouvant indiquer un ATO. Pour savoir comment utiliser reCAPTCHA Enterprise Account Defender, consultez Détecter et prévenir les activités frauduleuses liées au compte.
Facultatif: Pour activer le blocage des interactions volumineuses avec un score reCAPTCHA faible, intégrez reCAPTCHA Enterprise à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser reCAPTCHA Enterprise pour l'intégration de WAF et de Google Cloud Armor.
Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'elle corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez la page Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les évaluations qui donnent lieu à des achats frauduleux ou à des rejets de débit sous le nom fraudulent. Pour savoir comment annoter des évaluations, consultez Annoter une évaluation.

Stratégie d'atténuation de la fraude

Après avoir implémenté reCAPTCHA Enterprise, appliquez la stratégie d'atténuation des fraudes suivante pour protéger votre site Web contre le credential stuffing:

Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur des scores.

Voici un exemple de modèle de réponse:
- Pour le seuil de score reCAPTCHA le plus bas (0,0), informez l'utilisateur final que son mot de passe est incorrect.
- Pour le seuil de score intermédiaire (0,1 à 0,5), interrogez l'utilisateur final avec l'authentification multifacteur par e-mail ou SMS.
- Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans défi.
Remarque:Vos seuils de score peuvent varier en fonction de vos utilisateurs et de vos pirates informatiques. Nous vous recommandons d'utiliser le tableau de bord d'analyse reCAPTCHA Enterprise pour déterminer les meilleurs scores à prendre en compte.
Arrêtez ou interrompez des sessions pour les utilisateurs finaux qui s'authentifient correctement, mais reçoivent une réponse credentialsLeaked: true de la part de reCAPTCHA Enterprise de détection des fuites de mots de passe, et envoient un e-mail aux utilisateurs finaux pour modifier leur mot de passe.
Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Si ce n'est pas le cas, n'autorisez pas l'authentification.
Dans votre évaluation, si accountDefenderAssessment=PROFILE_MATCH, permettez à l'utilisateur final de continuer sans défi.

Échange d'argent

L'encaissement est une menace automatisée qui permet aux pirates informatiques d'obtenir de l'argent ou des biens de grande valeur en utilisant des cartes de paiement volées et précédemment validées.

Implémentation minimale

Installez des clés de site basées sur des scores sur toutes les pages où le règlement est possible. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans défi) sur des sites Web.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez la page Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages où les utilisateurs finaux saisissent les informations relatives à leur carte cadeau. Spécifiez une action telle que add_gift_card. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans défi) sur des sites Web.
Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'elle corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez la page Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les transactions frauduleuses.

Stratégie d'atténuation de la fraude

Après avoir implémenté reCAPTCHA Enterprise, appliquez la stratégie d'atténuation des fraudes suivante pour empêcher l'encaissement de votre site Web:

Installez reCAPTCHA Enterprise pour le workflow de paiement sur votre site Web. Pour découvrir comment protéger votre workflow de paiement, consultez Protéger les workflows de paiement.
Implémentez un modèle de réponse et créez des évaluations:
1. Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur des scores.
  
  Voici un exemple de modèle de réponse:
  - Pour le seuil de score bas à intermédiaire (0,0-0,5), utilisez la gestion des risques basée sur le contexte, par exemple en limitant le nombre de tentatives et en bloquant les achats au-delà d'une valeur spécifiée.
  - Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans défi.
  Remarque:Vos seuils de score peuvent varier en fonction de vos utilisateurs et de vos pirates informatiques. Nous vous recommandons d'utiliser le tableau de bord d'analyse reCAPTCHA Enterprise pour déterminer les meilleurs scores à prendre en compte.
2. Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Si ce n'est pas le cas, n'autorisez pas l'authentification. Si possible, autorisez la transaction au moment de l'achat, mais annulez-la plus tard pour éviter de faire basculer l'attaquant.

Création du compte

La création de comptes est une menace automatisée par laquelle les pirates informatiques créent plusieurs comptes en vue d'un usage abusif par la suite.

Implémentation minimale

Installez des clés de site pour les cases à cocher sur toutes les pages sur lesquelles les utilisateurs finaux doivent saisir leurs identifiants, y compris les fonctions login et forgot my password. Pour savoir comment installer des clés de site à cases à cocher, consultez Installer des clés de site à cases à cocher (question d'authentification à cocher) sur des sites Web.

Remarque:Les clés de site comportant des cases à cocher augmentent les frictions des utilisateurs et peuvent affecter les taux de conversion.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez la page Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages où des comptes sont créés. Spécifiez une action dans le paramètre action (register, par exemple). Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans défi) sur des sites Web.
Recommandation: implémentez la détection des fuites de mots de passe reCAPTCHA Enterprise pour toutes les tentatives d'authentification. Pour savoir comment utiliser la détection des fuites de mots de passe, consultez Détecter les fuites de mots de passe et les identifiants piratés.
Implémentez reCAPTCHA Enterprise Account Defender pour recevoir des signaux supplémentaires indiquant les créations de comptes fictives. Pour savoir comment utiliser reCAPTCHA Enterprise Account Defender, consultez Détecter et prévenir les activités frauduleuses liées au compte.
Facultatif: Pour activer le blocage des interactions volumineuses avec un score reCAPTCHA faible, intégrez reCAPTCHA Enterprise à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser reCAPTCHA Enterprise pour l'intégration de WAF et de Google Cloud Armor.
Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'elle corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez la page Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les transactions frauduleuses.

Stratégie d'atténuation de la fraude

Après avoir implémenté reCAPTCHA Enterprise, appliquez la stratégie d'atténuation des fraudes suivante pour protéger votre site Web contre la création de compte:

Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur des scores.

Voici un exemple de modèle de réponse:
- Pour le seuil le plus bas du score reCAPTCHA (0,0), limitez les actions du compte jusqu'à ce qu'il soit soumis à d'autres vérifications contre la fraude.
- Pour le seuil de score intermédiaire (0,1 à 0,5), interrogez l'utilisateur final avec l'authentification multifacteur par e-mail ou SMS.
- Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans défi.
Remarque:Vos seuils de score peuvent varier en fonction de vos utilisateurs et de vos pirates informatiques. Nous vous recommandons d'utiliser le tableau de bord d'analyse reCAPTCHA Enterprise pour déterminer les meilleurs scores à prendre en compte.
Arrêtez ou interrompez des sessions pour les utilisateurs finaux qui s'authentifient correctement, mais reçoivent une réponse credentialsLeaked: true de la part de reCAPTCHA Enterprise de détection de fuite de mots de passe, et invitent l'utilisateur à sélectionner un nouveau mot de passe.
Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Si ce n'est pas le cas, n'autorisez pas l'enregistrement ni la création de compte.
Lors de votre évaluation, si accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, limitez l'accès au compte jusqu'à ce qu'une validation supplémentaire puisse être effectuée.

Changements d'adresse et de compte frauduleux

Les pirates informatiques peuvent tenter de modifier les détails d'un compte, y compris les adresses e-mail, les numéros de téléphone ou les adresses postales dans le cadre d'activités frauduleuses ou de piratages de compte.

Implémentation minimale

Installez des clés de site pour les cases à cocher sur toutes les pages sur lesquelles les utilisateurs finaux doivent saisir leurs identifiants, y compris les fonctions login et forgot my password. Pour savoir comment installer des clés de site à cases à cocher, consultez Installer des clés de site à cases à cocher (question d'authentification à cocher) sur des sites Web.

Remarque:Les clés de site comportant des cases à cocher augmentent les frictions des utilisateurs et peuvent affecter les taux de conversion.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez la page Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages où des comptes sont créés. Spécifiez une action dans le paramètre action, telle que change_telephone ou change_physicalmail. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans défi) sur des sites Web.
Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'elle corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez la page Créer une évaluation.
Implémentez reCAPTCHA Enterprise Account Defender pour analyser le comportement des utilisateurs finaux lors des connexions et recevoir des signaux supplémentaires pouvant indiquer un ATO. Pour savoir comment utiliser reCAPTCHA Enterprise Account Defender, consultez Détecter et prévenir les activités frauduleuses liées au compte.
Enregistrez tous les ID d'évaluation et annotez les transactions frauduleuses.

Stratégie d'atténuation de la fraude

Après avoir implémenté reCAPTCHA Enterprise, utilisez la stratégie d'atténuation des fraudes suivante pour protéger votre site Web contre les modifications de compte et d'adresse frauduleuses:

Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur des scores.

Voici un exemple de modèle de réponse:
- Pour le seuil de score bas à intermédiaire (0,0-0,5), interrogez l'utilisateur final avec l'authentification multifacteur par e-mail ou SMS.
- Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans défi.
Remarque:Vos seuils de score peuvent varier en fonction de vos utilisateurs et de vos pirates informatiques. Nous vous recommandons d'utiliser le tableau de bord d'analyse reCAPTCHA Enterprise pour déterminer les meilleurs scores à prendre en compte.
Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Si ce n'est pas le cas, n'autorisez pas les modifications du compte.
Lors de votre évaluation, si accountDefenderAssessment ne comporte pas le libellé PROFILE_MATCH, interrogez l'utilisateur final via l'authentification multifacteur par e-mail ou SMS.

Le craquage de jetons

Le craquage de jetons est une menace automatisée qui consiste à énumérer en masse les numéros de coupons, les codes promotionnels et les jetons de remise.

Implémentation minimale

Installez des clés de site à cases à cocher sur toutes les pages sur lesquelles les utilisateurs finaux doivent saisir les informations de leur carte cadeau. Pour savoir comment installer des clés de site à cases à cocher, consultez Installer des clés de site à cases à cocher (question d'authentification à cocher) sur des sites Web.

Remarque:Les clés de site comportant des cases à cocher augmentent les frictions des utilisateurs et peuvent affecter les taux de conversion.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez la page Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages où les utilisateurs finaux doivent saisir les informations de leur carte cadeau. Spécifiez une action telle que gift_card_entry. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans défi) sur des sites Web.
Facultatif: Pour activer le blocage des interactions volumineuses avec un score reCAPTCHA faible, intégrez reCAPTCHA Enterprise à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser reCAPTCHA Enterprise pour l'intégration de WAF et de Google Cloud Armor.
Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'elle corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez la page Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les évaluations qui se transforment en cartes cadeaux ou en bons de réduction.

Stratégie d'atténuation de la fraude

Après avoir implémenté reCAPTCHA Enterprise, appliquez l'une des stratégies suivantes pour protéger votre site Web contre le craquage des jetons:

Configurez des API de gestion des cartes pour vous assurer que les jetons reCAPTCHA sont valides et que les scores sont supérieurs à la valeur de leur seuil.

Si les scores n'atteignent pas ou ne dépassent pas le seuil spécifié, n'accordez pas d'autorisation de carte cadeau ou de carte de crédit, et n'autorisez pas l'utilisateur final à utiliser le coupon ou la carte cadeau. Si possible, autorisez la transaction au moment de l'achat, mais annulez-la plus tard pour éviter de faire basculer l'attaquant.
Lorsque vous créez des évaluations, assurez-vous qu'elles répondent aux critères suivants afin de garantir la réussite de la transaction:
- Tous les jetons évalués sont valides et ont un score supérieur à une valeur de seuil spécifiée.
- La valeur de expectedAction correspond à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Pour savoir comment valider des actions, consultez Valider des actions.
Si une transaction ne répond pas à ces critères, n'accordez pas d'autorisation de carte cadeau ou de carte de crédit, et n'autorisez pas l'utilisateur final à utiliser le bon de réduction ou la carte cadeau. Si possible, autorisez la transaction au moment de l'achat, mais annulez-la plus tard pour éviter de faire basculer l'attaquant.

Scalping

Le scalping est une menace automatisée qui permet aux pirates informatiques d'obtenir une disponibilité limitée et des biens ou services préférés par des méthodes déloyales.

Implémentation minimale

Installez des clés de site basées sur des scores sur toutes les pages où les utilisateurs finaux doivent saisir les informations de leur carte cadeau. Spécifiez une action dans le paramètre action (add_to_cart, par exemple). Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans défi) sur des sites Web.
Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'elle corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez la page Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages où les utilisateurs finaux doivent saisir les informations de leur carte cadeau. Spécifiez une action dans le paramètre action (add_to_cart, par exemple). Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans défi) sur des sites Web.
Facultatif: Pour activer le blocage des interactions volumineuses avec un score reCAPTCHA faible, intégrez reCAPTCHA Enterprise à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser reCAPTCHA Enterprise pour l'intégration de WAF et de Google Cloud Armor.
Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'elle corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez la page Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les transactions frauduleuses.

Stratégie d'atténuation de la fraude

Après avoir implémenté reCAPTCHA Enterprise, appliquez la stratégie d'atténuation des fraudes suivante pour protéger votre site Web contre le scalping:

Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur des scores.

Voici un exemple de modèle de réponse:
- Pour le seuil de score bas à intermédiaire (0,0-0,5), utilisez la gestion des risques basée sur le contexte, par exemple en limitant le nombre de tentatives et en bloquant les achats au-delà d'une valeur spécifiée.
- Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans défi.
Remarque:Vos seuils de score peuvent varier en fonction de vos utilisateurs et de vos pirates informatiques. Nous vous recommandons d'utiliser le tableau de bord d'analyse reCAPTCHA Enterprise pour déterminer les meilleurs scores à prendre en compte.
Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Si ce n'est pas le cas, n'exécutez pas l'autorisation de carte cadeau.

Asymétrie

Skewing est une menace automatisée dans laquelle les pirates informatiques utilisent de façon répétée des clics sur des liens, des demandes de page ou des envois de formulaire pour modifier certaines métriques.

Implémentation minimale

Installez des clés de site basées sur des scores sur toutes les pages où les métriques peuvent fausser les données. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans défi) sur des sites Web.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez la page Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages où les métriques peuvent fausser les données. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans défi) sur des sites Web.
Facultatif: Pour activer le blocage des interactions volumineuses avec un score reCAPTCHA faible, intégrez reCAPTCHA Enterprise à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser reCAPTCHA Enterprise pour l'intégration de WAF et de Google Cloud Armor.
Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'elle corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez la page Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les transactions frauduleuses.

Stratégie d'atténuation de la fraude

Après avoir implémenté reCAPTCHA Enterprise, appliquez la stratégie d'atténuation de la fraude suivante pour protéger votre site Web contre les biais:

Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur des scores.

Voici un exemple de modèle de réponse:

Pour le seuil de score faible à intermédiaire (de 0,0 à 0,5), utilisez la gestion des risques basée sur le contexte, telle que le suivi du nombre de fois qu'un utilisateur a cliqué sur une annonce ou du nombre de fois où un utilisateur a rechargé la page. Utilisez ces données pour déterminer si la métrique doit être comptabilisée.
Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans défi.

Grattage

Le détournement de contenu est une menace automatisée qui permet aux pirates informatiques de collecter des données ou des artefacts de sites Web de manière automatisée.

Implémentation minimale

Installez des clés de site basées sur des scores sur toutes les pages contenant des informations importantes et sur les principales pages d'interaction courantes des utilisateurs finaux. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans défi) sur des sites Web.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez la page Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages contenant des informations importantes et sur les principales pages d'interaction courantes des utilisateurs finaux. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans défi) sur des sites Web.
Facultatif: Pour activer le blocage des interactions volumineuses avec un score reCAPTCHA faible, intégrez reCAPTCHA Enterprise à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser reCAPTCHA Enterprise pour l'intégration de WAF et de Google Cloud Armor.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez la page Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les transactions frauduleuses.

Stratégie d'atténuation de la fraude

Après avoir implémenté reCAPTCHA Enterprise, appliquez les stratégies d'atténuation des fraudes suivantes pour protéger votre site Web contre le scraping:

Activez le blocage des interactions volumineuses avec un score reCAPTCHA faible en intégrant reCAPTCHA Enterprise à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser reCAPTCHA Enterprise pour l'intégration de WAF et de Google Cloud Armor.
Si le scraping implique des API, utilisez les API Apigee Management pour limiter les risques.

Défaite CAPTCHA

La défaite CAPTCHA est une menace automatisée dans laquelle les pirates informatiques utilisent l'automatisation pour tenter d'analyser et de déterminer la réponse à des tests CAPTCHA visuels et/ou sonores et à des énigmes associées.

Implémentation minimale

Installez des clés de site basées sur des scores sur toutes les pages qui impliquent des entrées utilisateur, la création d'un compte, des informations de paiement ou des interactions avec des utilisateurs finaux présentant un risque de fraude. Spécifiez une action descriptive dans le paramètre action. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans défi) sur des sites Web.
Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'elle corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez la page Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages qui impliquent des entrées utilisateur, la création d'un compte, des informations de paiement ou des interactions avec des utilisateurs finaux présentant un risque de fraude. Spécifiez une action descriptive dans le paramètre action. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans défi) sur des sites Web.
Facultatif: Pour activer le blocage des interactions volumineuses avec un score reCAPTCHA faible, intégrez reCAPTCHA Enterprise à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser reCAPTCHA Enterprise pour l'intégration de WAF et de Google Cloud Armor.
Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'elle corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez la page Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les évaluations qui donnent lieu à des achats frauduleux ou à des rejets de débit sous le nom fraudulent. Pour savoir comment annoter des évaluations, consultez Annoter une évaluation.

Stratégie d'atténuation de la fraude

Après avoir implémenté reCAPTCHA Enterprise, utilisez l'une des stratégies suivantes pour protéger votre site Web contre la défaite CAPTCHA:

Implémentez un modèle de réponse et créez des évaluations:
1. Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur des scores.
  
  Voici un exemple de modèle de réponse:
  - Pour le seuil de score bas à intermédiaire (0,0-0,5), interrogez l'utilisateur final avec l'authentification multifacteur par e-mail ou SMS.
  - Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans défi.
  Remarque:Vos seuils de score peuvent varier en fonction de vos utilisateurs et de vos pirates informatiques. Nous vous recommandons d'utiliser le tableau de bord d'analyse reCAPTCHA Enterprise pour déterminer les meilleurs scores à prendre en compte.
2. Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Si ce n'est pas le cas, n'autorisez pas l'authentification.
Si les utilisateurs finaux utilisent un navigateur Web dans lequel JavaScript est désactivé, procédez comme suit:
1. Bloquez ces utilisateurs finaux.
2. Avertissez les utilisateurs finaux que votre site Web requiert JavaScript pour continuer.
Assurez-vous que la promesse grecaptcha.enterprise.ready est remplie pour empêcher les navigateurs des utilisateurs finaux qui empêchent le chargement du script Google. Cela indique que reCAPTCHA Enterprise est entièrement chargé et n'a pas rencontré d'erreur.
Pour les API Web uniquement, nous vous recommandons de transmettre le jeton reCAPTCHA ou le résultat de l'évaluation reCAPTCHA à l'API backend, puis de n'autoriser l'action d'API que si le jeton reCAPTCHA est valide et atteint une valeur de seuil de score. Cela garantit que l'utilisateur final n'utilise pas l'API sans passer par le site Web.

Bonnes pratiques de protection contre les menaces automatisées

Carding

Implémentation minimale

Implémentation optimale

Stratégie d'atténuation de la fraude

Le craquage de cartes

Implémentation minimale

Implémentation optimale

Stratégie d'atténuation de la fraude

Cassage d'identifiants

Implémentation minimale

Implémentation optimale

Stratégie d'atténuation de la fraude

Bourrage d'identifiants

Implémentation minimale

Implémentation optimale

Stratégie d'atténuation de la fraude

Échange d'argent

Implémentation minimale

Implémentation optimale

Stratégie d'atténuation de la fraude

Création du compte

Implémentation minimale

Implémentation optimale

Stratégie d'atténuation de la fraude

Changements d'adresse et de compte frauduleux

Implémentation minimale

Implémentation optimale

Stratégie d'atténuation de la fraude

Le craquage de jetons

Implémentation minimale

Implémentation optimale

Stratégie d'atténuation de la fraude

Scalping

Implémentation minimale

Implémentation optimale

Stratégie d'atténuation de la fraude

Asymétrie

Implémentation minimale

Implémentation optimale

Stratégie d'atténuation de la fraude

Grattage

Implémentation minimale

Implémentation optimale

Stratégie d'atténuation de la fraude

Défaite CAPTCHA

Implémentation minimale

Implémentation optimale

Stratégie d'atténuation de la fraude

Étapes suivantes