Práticas recomendadas de proteção contra ameaças automatizadas

Neste documento, descrevemos as implementações recomendadas do reCAPTCHA Enterprise e as estratégias de mitigação de fraudes para se defender contra ameaças críticas automatizadas (Ameaças automatizadas do OWASP (OAT) para aplicativos da Web (link em inglês). Os arquitetos corporativos e as partes interessadas de tecnologia podem analisar essas informações para tomar uma decisão informada sobre a implementação do reCAPTCHA Enterprise e a estratégia de mitigação de fraudes para o caso de uso.

Este documento contém as seguintes informações sobre cada tipo de ameaça:

Implementação ideal do reCAPTCHA Enterprise. Essa implementação foi projetada com os recursos relevantes do reCAPTCHA Enterprise para a melhor proteção contra fraudes.
Implementação mínima do reCAPTCHA Enterprise. Essa implementação foi projetada para oferecer o mínimo de proteção contra fraudes.
Estratégias recomendadas de mitigação de fraudes

Escolha a estratégia de implementação e mitigação de fraudes mais adequada ao seu caso de uso. Os fatores a seguir podem influenciar a estratégia de implementação e mitigação de fraudes escolhida:

As necessidades e recursos da organização contra fraudes.
Ambiente atual da organização.

Para informações sobre a implementação geral recomendada do reCAPTCHA Enterprise, consulte Práticas recomendadas para usar o reCAPTCHA Enterprise.

Para mais informações sobre as estratégias de mitigação de fraudes para seu caso de uso, entre em contato com nossa equipe de vendas.

Carding

A carding é uma ameaça automatizada em que os invasores fazem várias tentativas de autorização de pagamento para verificar a validade dos dados do cartão de pagamento roubados em massa.

Implementação mínima

Instale as chaves de site com caixa de seleção em todas as páginas em que os usuários finais precisam inserir as informações de cartão de crédito. Para saber como instalar chaves de sites com caixas de seleção, consulte Instalar chaves de sites com caixas de seleção (desafio de caixa de seleção) em sites.

Observação:as chaves do site da caixa de seleção aumentam o atrito do usuário e podem afetar as taxas de conversão.
Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

Instale chaves de site com base em pontuação em todas as páginas em que os usuários finais precisam inserir as informações do cartão de crédito. Especifique uma ação no parâmetro action, como card_entry. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.
Instale o reCAPTCHA Enterprise para o fluxo de trabalho de pagamento no seu site. Para saber como proteger o fluxo de trabalho de pagamento, consulte Proteger fluxos de trabalho de pagamento.
Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action que você especificou ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
Salve todos os IDs de avaliação e anote as avaliações que se transformam em compras ou estornos fraudulentos como fraudulent. Para saber como anotar avaliações, consulte Anotar uma avaliação.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA Enterprise, use uma das seguintes estratégias de mitigação de fraudes para proteger seu site contra carding:

Instale o reCAPTCHA Enterprise para o fluxo de trabalho de pagamento no seu site. Para saber como proteger o fluxo de trabalho de pagamento, consulte Proteger fluxos de trabalho de pagamento.
Configure as APIs de gerenciamento de cartões para garantir que os tokens reCAPTCHA sejam válidos e as pontuações sejam maiores que o valor limite.

Se as pontuações não atingirem ou excederem o valor limite especificado, não execute uma autorização do cartão nem permita que o usuário final use o cartão. Quando possível, permita que a transação prossiga no momento da compra, mas cancele-a mais tarde para evitar dar um golpe no invasor.
Ao criar avaliações, verifique se elas atendem aos seguintes critérios para uma transação bem-sucedida:
- Todos os tokens avaliados são válidos e têm uma pontuação maior do que o limite especificado.
- O valor de expectedAction corresponde ao valor de action, que você especificou ao instalar as chaves do site baseadas em pontuação nas suas páginas da Web. Para saber como verificar ações, consulte Verificar ações.
Se uma transação não atender a esses critérios, não execute uma autorização de cartão nem permita que o usuário final use o cartão. Quando possível, permita que a transação prossiga no momento da compra, mas cancele-a mais tarde para evitar dar um golpe no invasor.

Quebra de cartão

O cracking do cartão é uma ameaça automatizada em que os invasores identificam valores ausentes para data de início, data de validade e códigos de segurança para dados de cartão de pagamento roubados, tentando valores diferentes.

Implementação mínima

Instale chaves de site com caixa de seleção em todas as páginas em que os usuários finais precisam inserir detalhes de pagamento, incluindo as funções checkout e adicionar forma de pagamento. Para saber como instalar chaves de sites com caixas de seleção, consulte Instalar chaves de sites com caixas de seleção (desafio de caixa de seleção) em sites.

Observação:as chaves do site da caixa de seleção aumentam o atrito do usuário e podem afetar as taxas de conversão.
Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

Instale chaves de site baseadas em pontuação em todas as páginas em que os usuários finais precisam inserir os detalhes da forma de pagamento. Especifique uma ação no parâmetro action, como checkout ou add_pmtmethod. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.
Instale o reCAPTCHA Enterprise para o fluxo de trabalho de pagamento no seu site. Para saber como proteger o fluxo de trabalho de pagamento, consulte Proteger fluxos de trabalho de pagamento.
Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action que você especificou ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
Salve todos os IDs de avaliação e anote as avaliações que se transformam em compras ou estornos fraudulentos como fraudulent. Para saber como anotar avaliações, consulte Anotar uma avaliação.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA Enterprise, use uma das seguintes estratégias de mitigação de fraudes para proteger seu site contra rachaduras de cartões:

Instale o reCAPTCHA Enterprise para o fluxo de trabalho de pagamento no seu site. Para saber como proteger o fluxo de trabalho de pagamento, consulte Proteger fluxos de trabalho de pagamento.
Implemente um modelo de resposta e crie avaliações:
1. Criar e implementar um modelo de resposta ajustado para o risco baseado em pontuação.
  
  No exemplo a seguir, mostramos um exemplo de modelo de resposta:
  - Para o limite de pontuação baixo a intermediário (0,0 a 0,5), use o gerenciamento de riscos com base no contexto, como limitar o número de tentativas e bloquear compras acima de um valor especificado.
  - Para o limite de pontuação mais alto (> 0,5), permita que o usuário final prossiga sem nenhum desafio.
  Observação:seus limites de pontuação podem variar de acordo com os usuários e invasores. Recomendamos usar o painel de análise do reCAPTCHA Enterprise para determinar as melhores pontuações para agir.
2. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site com base em pontuação nas suas páginas da Web. Se eles não forem iguais, não execute uma autorização de cartão nem permita que o usuário final use o cartão. Quando possível, permita que a transação prossiga no momento da compra, mas cancele-a mais tarde para evitar dar um golpe no invasor.

Quebra de credenciais

A quebra de credenciais é uma ameaça automatizada em que os invasores identificam credenciais de login válidas testando valores diferentes para nomes de usuário e senhas.

Implementação mínima

Instale as chaves de site com caixa de seleção em todas as páginas em que os usuários finais precisam inserir as credenciais, incluindo as funções login e forgot my password. Para saber como instalar chaves de sites com caixas de seleção, consulte Instalar chaves de sites com caixas de seleção (desafio de caixa de seleção) em sites.

Observação:as chaves do site da caixa de seleção aumentam o atrito do usuário e podem afetar as taxas de conversão.
Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

Instale chaves de site baseadas em pontuação em todas as páginas em que os usuários finais precisam inserir as credenciais. Especifique uma ação no parâmetro action, como login ou authenticate. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.
Recomendado: implemente a detecção de vazamento de senha do reCAPTCHA Enterprise em todas as tentativas de autenticação. Para saber como usar a detecção de vazamento de senhas, consulte Detectar vazamentos de senha e credenciais violadas.
Opcional: para ativar o bloqueio de interações de alto volume e baixa pontuação de reCAPTCHA, integre o reCAPTCHA Enterprise a um firewall de aplicativos da Web (WAF). Por exemplo, você pode usar a integração do reCAPTCHA Enterprise para WAF e do Google Cloud Armor.
Implemente o defensor da conta do reCAPTCHA Enterprise para identificar tendências do comportamento do usuário final em todos os logins e receber outros indicadores que possam indicar um ATO. Para saber como usar o defensor de conta do reCAPTCHA Enterprise, consulte Detectar e impedir atividades fraudulentas relacionadas à conta.
Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action que você especificou ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
Salve todos os IDs de avaliação e anote a avaliação que parece fraudulenta, como aquisições de conta (ATOs, na sigla em inglês) ou qualquer outra atividade fraudulenta. Para saber como anotar avaliações, consulte Anotar uma avaliação.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA Enterprise, use a seguinte estratégia de mitigação de fraudes para proteger seu site contra a quebra de credenciais:

Criar e implementar um modelo de resposta ajustado para o risco baseado em pontuação.

No exemplo a seguir, mostramos um exemplo de modelo de resposta:
- Para o limite de pontuação de nível baixo a intermediário (0,0 a 0,5), desafie o usuário final com a autenticação multifator por e-mail ou SMS.
- Para o limite de pontuação mais alto (> 0,5), permita que o usuário final prossiga sem nenhum desafio.
Observação:seus limites de pontuação podem variar de acordo com os usuários e invasores. Recomendamos usar o painel de análise do reCAPTCHA Enterprise para determinar as melhores pontuações para agir.
Encerre ou interrompa as sessões de usuários finais que autenticam, mas recebem uma resposta credentialsLeaked: true da detecção de vazamento de senha do reCAPTCHA Enterprise, e enviam um e-mail aos usuários finais para alterar a senha.
Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site com base em pontuação nas suas páginas da Web. Se eles não corresponderem, não permita a autenticação.

Preenchimento de credenciais

O preenchimento de credenciais é uma ameaça automatizada em que os invasores usam tentativas de login em massa para verificar a validade de pares de nome de usuário/senha roubados.

Implementação mínima

Instale as chaves de site com caixa de seleção em todas as páginas em que os usuários finais precisam inserir as credenciais, incluindo as funções login e forgot my password. Para saber como instalar chaves de sites com caixas de seleção, consulte Instalar chaves de sites com caixas de seleção (desafio de caixa de seleção) em sites.

Observação:as chaves do site da caixa de seleção aumentam o atrito do usuário e podem afetar as taxas de conversão.
Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

Instale chaves de site baseadas em pontuação em todas as páginas em que os usuários finais precisam inserir as credenciais. Especifique uma ação no parâmetro action, como login ou authenticate. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.
Recomendado: implemente a detecção de vazamento de senha do reCAPTCHA Enterprise em todas as tentativas de autenticação. Para saber como usar a detecção de vazamento de senhas, consulte Detectar vazamentos de senha e credenciais violadas.
Implemente o defensor da conta do reCAPTCHA Enterprise para identificar tendências do comportamento do usuário final em todos os logins e receber outros indicadores que possam indicar um ATO. Para saber como usar o defensor de conta do reCAPTCHA Enterprise, consulte Detectar e impedir atividades fraudulentas relacionadas à conta.
Opcional: para ativar o bloqueio de interações de alto volume e baixa pontuação de reCAPTCHA, integre o reCAPTCHA Enterprise a um firewall de aplicativos da Web (WAF). Por exemplo, você pode usar a integração do reCAPTCHA Enterprise para WAF e do Google Cloud Armor.
Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action que você especificou ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
Salve todos os IDs de avaliação e anote as avaliações que se transformam em compras ou estornos fraudulentos como fraudulent. Para saber como anotar avaliações, consulte Anotar uma avaliação.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA Enterprise, use a seguinte estratégia de mitigação de fraudes para proteger seu site contra o preenchimento de credenciais:

Criar e implementar um modelo de resposta ajustado para o risco baseado em pontuação.

No exemplo a seguir, mostramos um exemplo de modelo de resposta:
- Para o menor limite de pontuação reCAPTCHA (0,0), informe ao usuário final que a senha está incorreta.
- Para o limite de pontuação intermediário (0,1-0,5), desafie o usuário final com a autenticação multifator por e-mail ou SMS.
- Para o limite de pontuação mais alto (> 0,5), permita que o usuário final prossiga sem nenhum desafio.
Observação:seus limites de pontuação podem variar de acordo com os usuários e invasores. Recomendamos usar o painel de análise do reCAPTCHA Enterprise para determinar as melhores pontuações para agir.
Encerre ou interrompa as sessões de usuários finais que autenticam, mas recebem uma resposta credentialsLeaked: true da detecção de vazamento de senha do reCAPTCHA Enterprise, e enviam um e-mail aos usuários finais para alterar a senha.
Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site com base em pontuação nas suas páginas da Web. Se eles não corresponderem, não permita a autenticação.
Na sua avaliação, se accountDefenderAssessment=PROFILE_MATCH, permita que o usuário final prossiga sem desafios.

Saque

O saque é uma ameaça automatizada em que os invasores conseguem moedas ou itens de alto valor por meio da utilização de cartões de pagamento roubados e validados.

Implementação mínima

Instale chaves de site com base em pontuação em todas as páginas em que a finalização da compra é possível. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.
Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

Instale chaves de site com base em pontuação em todas as páginas em que os usuários finais inserem as informações do vale-presente. Especifique uma ação como add_gift_card. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.
Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action que você especificou ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
Salve todos os IDs de avaliação e anote as transações que foram fraudulentas.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA Enterprise, use a seguinte estratégia de mitigação de fraudes para proteger seu site contra saques:

Instale o reCAPTCHA Enterprise para o fluxo de trabalho de pagamento no seu site. Para saber como proteger o fluxo de trabalho de pagamento, consulte Proteger fluxos de trabalho de pagamento.
Implemente um modelo de resposta e crie avaliações:
1. Criar e implementar um modelo de resposta ajustado para o risco baseado em pontuação.
  
  No exemplo a seguir, mostramos um exemplo de modelo de resposta:
  - Para o limite de pontuação baixo a intermediário (0,0 a 0,5), use o gerenciamento de riscos com base no contexto, como limitar o número de tentativas e bloquear compras acima de um valor especificado.
  - Para o limite de pontuação mais alto (> 0,5), permita que o usuário final prossiga sem nenhum desafio.
  Observação:seus limites de pontuação podem variar de acordo com os usuários e invasores. Recomendamos usar o painel de análise do reCAPTCHA Enterprise para determinar as melhores pontuações para agir.
2. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site com base em pontuação nas suas páginas da Web. Se eles não corresponderem, não permita a autenticação. Quando possível, permita que a transação prossiga no momento da compra, mas cancele-a mais tarde para evitar dar um golpe no invasor.

Criação da conta

A criação de contas é uma ameaça automatizada em que os invasores criam várias contas para uso indevido posterior.

Implementação mínima

Instale as chaves de site com caixa de seleção em todas as páginas em que os usuários finais precisam inserir as credenciais, incluindo as funções login e forgot my password. Para saber como instalar chaves de sites com caixas de seleção, consulte Instalar chaves de sites com caixas de seleção (desafio de caixa de seleção) em sites.

Observação:as chaves do site da caixa de seleção aumentam o atrito do usuário e podem afetar as taxas de conversão.
Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

Instale chaves de site com base em pontuação em todas as páginas em que as contas foram criadas. Especifique uma ação no parâmetro action, como register. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.
Recomendado: implemente a detecção de vazamento de senha do reCAPTCHA Enterprise em todas as tentativas de autenticação. Para saber como usar a detecção de vazamento de senhas, consulte Detectar vazamentos de senha e credenciais violadas.
Implemente o defensor de conta do reCAPTCHA Enterprise para receber outros indicadores que indiquem criações de contas falsas. Para saber como usar o defensor de conta do reCAPTCHA Enterprise, consulte Detectar e impedir atividades fraudulentas relacionadas à conta.
Opcional: para ativar o bloqueio de interações de alto volume e baixa pontuação de reCAPTCHA, integre o reCAPTCHA Enterprise a um firewall de aplicativos da Web (WAF). Por exemplo, você pode usar a integração do reCAPTCHA Enterprise para WAF e do Google Cloud Armor.
Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action que você especificou ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
Salve todos os IDs de avaliação e anote as transações que foram fraudulentas.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA Enterprise, use a seguinte estratégia de mitigação de fraudes para proteger seu site contra a criação de contas:

Criar e implementar um modelo de resposta ajustado para o risco baseado em pontuação.

No exemplo a seguir, mostramos um exemplo de modelo de resposta:
- Para o menor limite de pontuação reCAPTCHA (0,0), limite as ações da conta até que ela passe por mais verificações de fraudes.
- Para o limite de pontuação intermediário (0,1-0,5), desafie o usuário final com a autenticação multifator por e-mail ou SMS.
- Para o limite de pontuação mais alto (> 0,5), permita que o usuário final prossiga sem nenhum desafio.
Observação:seus limites de pontuação podem variar de acordo com os usuários e invasores. Recomendamos usar o painel de análise do reCAPTCHA Enterprise para determinar as melhores pontuações para agir.
Encerre ou interrompa sessões para usuários finais que autenticam, mas recebem uma resposta credentialsLeaked: true da detecção de vazamento de senha do reCAPTCHA Enterprise, e solicitem que o usuário selecione uma nova senha.
Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site com base em pontuação nas suas páginas da Web. Se eles não corresponderem, não permita o registro ou a criação de contas.
Na sua avaliação, se accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, restrinja o acesso à conta até que outra validação possa ser realizada.

Alterações fraudulentas de conta e endereço

Os invasores podem tentar alterar detalhes da conta, incluindo endereços de e-mail, números de telefone ou endereços de correspondência, como parte de atividades fraudulentas ou invasões de contas.

Implementação mínima

Instale as chaves de site com caixa de seleção em todas as páginas em que os usuários finais precisam inserir as credenciais, incluindo as funções login e forgot my password. Para saber como instalar chaves de sites com caixas de seleção, consulte Instalar chaves de sites com caixas de seleção (desafio de caixa de seleção) em sites.

Observação:as chaves do site da caixa de seleção aumentam o atrito do usuário e podem afetar as taxas de conversão.
Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

Instale chaves de site com base em pontuação em todas as páginas em que as contas foram criadas. Especifique uma ação no parâmetro action, como change_telephone ou change_physicalmail. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.
Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action que você especificou ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
Implemente o defensor da conta do reCAPTCHA Enterprise para identificar tendências do comportamento do usuário final em todos os logins e receber outros indicadores que possam indicar um ATO. Para saber como usar o defensor de conta do reCAPTCHA Enterprise, consulte Detectar e impedir atividades fraudulentas relacionadas à conta.
Salve todos os IDs de avaliação e anote as transações que foram fraudulentas.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA Enterprise, use a estratégia de mitigação de fraudes abaixo para proteger seu site contra mudanças de endereço e de conta fraudulenta:

Criar e implementar um modelo de resposta ajustado para o risco baseado em pontuação.

No exemplo a seguir, mostramos um exemplo de modelo de resposta:
- Para o limite de pontuação de nível baixo a intermediário (0,0 a 0,5), desafie o usuário final com a autenticação multifator por e-mail ou SMS.
- Para o limite de pontuação mais alto (> 0,5), permita que o usuário final prossiga sem nenhum desafio.
Observação:seus limites de pontuação podem variar de acordo com os usuários e invasores. Recomendamos usar o painel de análise do reCAPTCHA Enterprise para determinar as melhores pontuações para agir.
Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site com base em pontuação nas suas páginas da Web. Se eles não forem iguais, não permita alterações na conta.
Na sua avaliação, se accountDefenderAssessment não tiver o rótulo PROFILE_MATCH, desafie o usuário final com a autenticação multifator por e-mail ou SMS.

Quebra de token

O cracking de token é uma ameaça automatizada em que os invasores fazem uma enumeração em massa de números de cupom, códigos de cupons e tokens de desconto.

Implementação mínima

Instale as chaves do site com caixa de seleção em todas as páginas em que os usuários finais precisam inserir as informações do vale-presente. Para saber como instalar chaves de sites com caixas de seleção, consulte Instalar chaves de sites com caixas de seleção (desafio de caixa de seleção) em sites.

Observação:as chaves do site da caixa de seleção aumentam o atrito do usuário e podem afetar as taxas de conversão.
Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

Instale chaves de site com base em pontuação em todas as páginas em que os usuários finais precisam inserir as informações do vale-presente. Especifique uma ação como gift_card_entry. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.
Opcional: para ativar o bloqueio de interações de alto volume e baixa pontuação de reCAPTCHA, integre o reCAPTCHA Enterprise a um firewall de aplicativos da Web (WAF). Por exemplo, você pode usar a integração do reCAPTCHA Enterprise para WAF e do Google Cloud Armor.
Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action que você especificou ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
Salve todos os IDs de avaliação e anote as avaliações que se transformam em vales-presente ou cupons fraudulentos.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA Enterprise, use uma das seguintes estratégias de mitigação de fraudes para proteger seu site contra a quebra de tokens:

Configure as APIs de gerenciamento de cartões para garantir que os tokens reCAPTCHA sejam válidos e as pontuações sejam maiores que o valor limite.

Se as pontuações não atingirem ou ultrapassarem o limite especificado, não execute uma autorização de vale-presente ou cartão de crédito nem permita que o usuário final use o cupom ou vale-presente. Quando possível, permita que a transação prossiga no momento da compra, mas cancele-a mais tarde para evitar dar um golpe no invasor.
Ao criar avaliações, verifique se elas atendem aos seguintes critérios para uma transação bem-sucedida:
- Todos os tokens avaliados são válidos e têm uma pontuação maior do que o limite especificado.
- O valor de expectedAction corresponde ao valor de action, que você especificou ao instalar as chaves do site baseadas em pontuação nas suas páginas da Web. Para saber como verificar ações, consulte Verificar ações.
Se uma transação não atender a esses critérios, não execute uma autorização de vale-presente ou cartão de crédito nem permita que o usuário final use o cupom ou vale-presente. Quando possível, permita que a transação prossiga no momento da compra, mas cancele-a mais tarde para evitar dar um golpe no invasor.

Escalpamento

Scalping é uma ameaça automatizada em que os invasores conseguem disponibilidade limitada e produtos ou serviços preferidos por métodos não imparciais.

Implementação mínima

Instale chaves de site com base em pontuação em todas as páginas em que os usuários finais precisam inserir as informações do vale-presente. Especifique uma ação no parâmetro action, como add_to_cart. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.
Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action que você especificou ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

Instale chaves de site com base em pontuação em todas as páginas em que os usuários finais precisam inserir as informações do vale-presente. Especifique uma ação no parâmetro action, como add_to_cart. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.
Opcional: para ativar o bloqueio de interações de alto volume e baixa pontuação de reCAPTCHA, integre o reCAPTCHA Enterprise a um firewall de aplicativos da Web (WAF). Por exemplo, você pode usar a integração do reCAPTCHA Enterprise para WAF e do Google Cloud Armor.
Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action que você especificou ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
Salve todos os IDs de avaliação e anote as transações que foram fraudulentas.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA Enterprise, use a seguinte estratégia de mitigação de fraudes para proteger seu site contra scalping:

Criar e implementar um modelo de resposta ajustado para o risco baseado em pontuação.

No exemplo a seguir, mostramos um exemplo de modelo de resposta:
- Para o limite de pontuação baixo a intermediário (0,0 a 0,5), use o gerenciamento de riscos com base no contexto, como limitar o número de tentativas e bloquear compras acima de um valor especificado.
- Para o limite de pontuação mais alto (> 0,5), permita que o usuário final prossiga sem nenhum desafio.
Observação:seus limites de pontuação podem variar de acordo com os usuários e invasores. Recomendamos usar o painel de análise do reCAPTCHA Enterprise para determinar as melhores pontuações para agir.
Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site com base em pontuação nas suas páginas da Web. Se eles não forem iguais, não execute a autorização do vale-presente.

Oscilação

O desvio é uma ameaça automatizada em que os invasores usam cliques repetidos em links, solicitações de páginas ou envios de formulário para alterar alguma métrica.

Implementação mínima

Instale chaves de site com base em pontuação em todas as páginas em que a distorção de métricas for possível. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.
Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

Instale chaves de site com base em pontuação em todas as páginas em que a distorção de métricas for possível. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.
Opcional: para ativar o bloqueio de interações de alto volume e baixa pontuação de reCAPTCHA, integre o reCAPTCHA Enterprise a um firewall de aplicativos da Web (WAF). Por exemplo, você pode usar a integração do reCAPTCHA Enterprise para WAF e do Google Cloud Armor.
Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action que você especificou ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
Salve todos os IDs de avaliação e anote as transações que foram fraudulentas.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA Enterprise, use a estratégia de mitigação de fraudes a seguir para proteger seu site contra distorções:

Criar e implementar um modelo de resposta ajustado para o risco baseado em pontuação.

No exemplo a seguir, mostramos um exemplo de modelo de resposta:

Para o limite de pontuação baixo a intermediário (0,0 a 0,5), use o gerenciamento de riscos com base no contexto, como acompanhar o número de vezes que um usuário clicou em um anúncio ou o número de vezes que um usuário recarregou a página. Use esses dados para determinar se conta a métrica.
Para o limite de pontuação mais alto (> 0,5), permita que o usuário final prossiga sem nenhum desafio.

Raspagem

O raspagem de dados é uma ameaça automatizada em que os invasores coletam dados ou artefatos de sites de maneira automatizada.

Implementação mínima

Instale chaves de site baseadas em pontuação em todas as páginas com informações importantes e nas principais páginas comuns de interação do usuário final. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.
Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

Instale chaves de site baseadas em pontuação em todas as páginas com informações importantes e nas principais páginas comuns de interação do usuário final. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.
Opcional: para ativar o bloqueio de interações de alto volume e baixa pontuação de reCAPTCHA, integre o reCAPTCHA Enterprise a um firewall de aplicativos da Web (WAF). Por exemplo, você pode usar a integração do reCAPTCHA Enterprise para WAF e do Google Cloud Armor.
Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.
Salve todos os IDs de avaliação e anote as transações que foram fraudulentas.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA Enterprise, use as seguintes estratégias de mitigação de fraudes para proteger seu site contra raspagem de dados:

Ative o bloqueio de interações de alto volume e baixa pontuação de reCAPTCHA integrando o reCAPTCHA Enterprise a um firewall de aplicativos da Web (WAF). Por exemplo, você pode usar a integração do reCAPTCHA Enterprise para WAF e do Google Cloud Armor.
Se a raspagem de dados envolver APIs, use as APIs Apigee Management para mitigação adicional.

Devolução do CAPTCHA

A derrota do captcha é uma ameaça automatizada em que os invasores usam a automação na tentativa de analisar e determinar a resposta a testes CAPTCHA visuais e/ou auditivos e quebra-cabeças relacionados.

Implementação mínima

Instale chaves de site com base em pontuação em todas as páginas que envolvem entrada do usuário final, criação de conta, informações de pagamento ou interações do usuário final com potencial de fraude. Especifique uma ação descritiva no parâmetro action. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.
Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action que você especificou ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

Instale chaves de site com base em pontuação em todas as páginas que envolvem entrada do usuário final, criação de conta, informações de pagamento ou interações do usuário final com potencial de fraude. Especifique uma ação descritiva no parâmetro action. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.
Opcional: para ativar o bloqueio de interações de alto volume e baixa pontuação de reCAPTCHA, integre o reCAPTCHA Enterprise a um firewall de aplicativos da Web (WAF). Por exemplo, você pode usar a integração do reCAPTCHA Enterprise para WAF e do Google Cloud Armor.
Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action que você especificou ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
Salve todos os IDs de avaliação e anote as avaliações que se transformam em compras ou estornos fraudulentos como fraudulent. Para saber como anotar avaliações, consulte Anotar uma avaliação.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA Enterprise, use uma das seguintes estratégias de mitigação de fraudes para proteger seu site contra a perda do CAPTCHA:

Implemente um modelo de resposta e crie avaliações:
1. Criar e implementar um modelo de resposta ajustado para o risco baseado em pontuação.
  
  No exemplo a seguir, mostramos um exemplo de modelo de resposta:
  - Para o limite de pontuação de nível baixo a intermediário (0,0 a 0,5), desafie o usuário final com a autenticação multifator por e-mail ou SMS.
  - Para o limite de pontuação mais alto (> 0,5), permita que o usuário final prossiga sem nenhum desafio.
  Observação:seus limites de pontuação podem variar de acordo com os usuários e invasores. Recomendamos usar o painel de análise do reCAPTCHA Enterprise para determinar as melhores pontuações para agir.
2. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site com base em pontuação nas suas páginas da Web. Se eles não corresponderem, não permita a autenticação.
Se os usuários finais usarem navegadores da Web com o JavaScript desativado, faça o seguinte:
1. Bloqueie esses usuários finais.
2. Informe aos usuários finais que seu site exige JavaScript para prosseguir.
Verifique se a promessa grecaptcha.enterprise.ready foi cumprida para evitar o carregamento dos navegadores dos usuários finais que bloqueiam o script do Google. Isso indica que o reCAPTCHA Enterprise está totalmente carregado e não encontrou um erro.
Para APIs somente da Web, recomendamos transmitir o token reCAPTCHA ou o resultado da teste reCAPTCHA para a API de back-end e só permitir a ação da API se o token reCAPTCHA for válido e atender a um valor limite de pontuação. Isso garante que o usuário final não esteja usando a API sem passar pelo site.

Práticas recomendadas de proteção contra ameaças automatizadas

Carding

Implementação mínima

Implementação ideal

Estratégia de mitigação de fraudes

Quebra de cartão

Implementação mínima

Implementação ideal

Estratégia de mitigação de fraudes

Quebra de credenciais

Implementação mínima

Implementação ideal

Estratégia de mitigação de fraudes

Preenchimento de credenciais

Implementação mínima

Implementação ideal

Estratégia de mitigação de fraudes

Saque

Implementação mínima

Implementação ideal

Estratégia de mitigação de fraudes

Criação da conta

Implementação mínima

Implementação ideal

Estratégia de mitigação de fraudes

Alterações fraudulentas de conta e endereço

Implementação mínima

Implementação ideal

Estratégia de mitigação de fraudes

Quebra de token

Implementação mínima

Implementação ideal

Estratégia de mitigação de fraudes

Escalpamento

Implementação mínima

Implementação ideal

Estratégia de mitigação de fraudes

Oscilação

Implementação mínima

Implementação ideal

Estratégia de mitigação de fraudes

Raspagem

Implementação mínima

Implementação ideal

Estratégia de mitigação de fraudes

Devolução do CAPTCHA

Implementação mínima

Implementação ideal

Estratégia de mitigação de fraudes

A seguir