Cette page a été traduite par l'API Cloud Translation.

Bonnes pratiques pour vous protéger des menaces automatisées

Ce document décrit les implémentations recommandées de reCAPTCHA et des stratégies de lutte contre la fraude pour se protéger contre les menaces automatisées critiques (OWASP Automated Threats (OAT) to Web Applications). Les architectes d'entreprise et les personnes concernées par la technologie peuvent consulter ces informations pour prendre une décision éclairée sur l'implémentation de reCAPTCHA et la stratégie de lutte contre la fraude pour leur cas d'utilisation.

Ce document contient les informations suivantes pour chaque type de menace:

Implémentation optimale de reCAPTCHA. Cette implémentation est conçue avec les fonctionnalités pertinentes de reCAPTCHA pour une protection optimale contre la fraude.
Implémentation minimale de reCAPTCHA. Cette implémentation est conçue pour offrir un minimum de protection contre la fraude.
Stratégies de lutte contre la fraude recommandées

Choisissez la stratégie d'implémentation et de lutte contre la fraude qui correspond le mieux à votre cas d'utilisation. Les facteurs suivants peuvent influencer la stratégie d'implémentation et de lutte contre la fraude que vous choisissez:

Les besoins et les capacités de l'entreprise en matière de lutte contre la fraude
Environnement existant de l'organisation.

Pour en savoir plus sur les stratégies de lutte contre la fraude pour votre cas d'utilisation, contactez notre équipe commerciale.

Cardage

Le carding est une menace automatisée qui consiste à effectuer plusieurs tentatives d'autorisation de paiement pour vérifier la validité de données de carte de paiement volées en masse.

Implémentation minimale

Installez des clés de site de case à cocher sur toutes les pages sur lesquelles les utilisateurs finaux doivent saisir les informations de leur carte de crédit. Pour savoir comment installer des clés de site de case à cocher, consultez Installer des clés de site de case à cocher (test par case à cocher) sur des sites Web.

Remarque:Les clés de site de case à cocher augmentent les frictions de l'utilisateur et peuvent affecter les taux de conversion.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages sur lesquelles les utilisateurs finaux doivent saisir les informations de leur carte de crédit. Spécifiez une action dans le paramètre action, par exemple card_entry. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Installez reCAPTCHA pour le workflow de paiement sur votre site Web. Pour savoir comment protéger votre workflow de paiement, consultez Protéger les workflows de paiement.
Créez des évaluations pour tous les jetons et définissez expectedAction sur la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les évaluations qui se transforment en achats frauduleux ou en rejets de débit en tant que fraudulent. Pour savoir comment annoter des évaluations, consultez Annoter une évaluation.

Stratégie de lutte contre la fraude

Après avoir implémenté reCAPTCHA, utilisez l'une des stratégies de lutte contre la fraude suivantes pour protéger votre site Web contre le vol de carte:

Installez reCAPTCHA pour le workflow de paiement sur votre site Web. Pour savoir comment protéger votre workflow de paiement, consultez Protéger les workflows de paiement.
Configurez les API de gestion des cartes pour vous assurer que les jetons reCAPTCHA sont valides et que les scores sont supérieurs à leur valeur seuil.

Si les scores ne répondent pas ou ne dépassent pas la valeur de seuil spécifiée, n'exécutez pas d'autorisation de carte et n'autorisez pas l'utilisateur final à utiliser la carte. Si possible, autorisez la transaction au moment de l'achat, mais annulez-la plus tard pour éviter d'alerter l'attaquant.
Lorsque vous créez des évaluations, assurez-vous qu'elles répondent aux critères suivants pour que la transaction aboutisse:
- Tous les jetons évalués sont valides et ont un score supérieur à une valeur seuil spécifiée.
- La valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Pour savoir comment valider des actions, consultez la section Valider des actions.
Si une transaction ne répond pas à ces critères, n'exécutez pas d'autorisation de carte ni n'autorisez pas l'utilisateur final à utiliser la carte. Si possible, autorisez la transaction au moment de l'achat, mais annulez-la plus tard pour éviter d'alerter l'attaquant.

Card cracking

Le craquage de carte est une menace automatisée qui consiste à identifier les valeurs manquantes pour la date de début, la date d'expiration et les codes de sécurité des données de carte de paiement volées en essayant différentes valeurs.

Implémentation minimale

Installez des clés de site de case à cocher sur toutes les pages où les utilisateurs finaux doivent saisir leurs informations de paiement, y compris les fonctions Règlement et Ajouter un mode de paiement. Pour savoir comment installer des clés de site de case à cocher, consultez Installer des clés de site de case à cocher (test par case à cocher) sur des sites Web.

Remarque:Les clés de site de case à cocher augmentent les frictions de l'utilisateur et peuvent affecter les taux de conversion.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages sur lesquelles les utilisateurs finaux doivent saisir leurs informations de paiement. Spécifiez une action dans le paramètre action, par exemple checkout ou add_pmtmethod. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Installez reCAPTCHA pour le workflow de paiement sur votre site Web. Pour savoir comment protéger votre workflow de paiement, consultez Protéger les workflows de paiement.
Créez des évaluations pour tous les jetons et définissez expectedAction sur la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les évaluations qui se transforment en achats frauduleux ou en rejets de débit comme fraudulent. Pour savoir comment annoter des évaluations, consultez Annoter une évaluation.

Stratégie de lutte contre la fraude

Après avoir implémenté reCAPTCHA, utilisez l'une des stratégies de lutte contre la fraude suivantes pour protéger votre site Web contre le craquage de carte:

Installez reCAPTCHA pour le workflow de paiement sur votre site Web. Pour savoir comment protéger votre workflow de paiement, consultez Protéger les workflows de paiement.
Implémentez un modèle de réponse et créez des évaluations:
1. Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur le score.
  
  L'exemple suivant illustre un modèle de réponse:
  - Pour un seuil de score faible à moyen (0,0 à 0,5), utilisez une gestion des risques basée sur le contexte, par exemple en limitant le nombre de tentatives et en bloquant les achats supérieurs à une valeur spécifiée.
  - Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans défi.
  Remarque:Vos seuils de score peuvent varier en fonction de vos utilisateurs et des pirates informatiques. Nous vous recommandons d'utiliser le tableau de bord d'analyse reCAPTCHA pour déterminer les meilleurs scores à prendre en compte.
2. Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Si ce n'est pas le cas, n'exécutez pas d'autorisation de carte ni n'autorisez pas l'utilisateur final à utiliser la carte. Si possible, autorisez la transaction au moment de l'achat, mais annulez-la plus tard pour éviter d'alerter l'attaquant.

Craquage des identifiants

Le craquage d'identifiants est une menace automatisée qui consiste à identifier des identifiants de connexion valides en essayant différentes valeurs pour les noms d'utilisateurs et les mots de passe.

Implémentation minimale

Installez des clés de site avec case à cocher sur toutes les pages où les utilisateurs finaux doivent saisir leurs identifiants, y compris les fonctions Se connecter et Mot de passe oublié. Pour savoir comment installer des clés de site de case à cocher, consultez Installer des clés de site de case à cocher (test par case à cocher) sur des sites Web.

Remarque:Les clés de site de case à cocher augmentent les frictions de l'utilisateur et peuvent affecter les taux de conversion.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages sur lesquelles les utilisateurs finaux doivent saisir leurs identifiants. Spécifiez une action dans le paramètre action, par exemple login ou authenticate. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Recommandation: Implémentez la détection des fuites de mots de passe reCAPTCHA pour toutes les tentatives d'authentification. Pour savoir comment utiliser la détection des fuites de mots de passe, consultez Déterminer les fuites de mots de passe et les vols d'identifiants.
Facultatif: Pour bloquer les interactions à fort volume et à faible score reCAPTCHA, intégrez reCAPTCHA à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser reCAPTCHA pour l'intégration de WAF et Google Cloud Armor.
Implémentez le défenseur de compte reCAPTCHA pour suivre l'évolution du comportement des utilisateurs finaux lors des connexions et recevoir des signaux supplémentaires pouvant indiquer un piratage de compte. Pour savoir comment utiliser l'outil Account Defender de reCAPTCHA, consultez Détection et prévention des activités frauduleuses liées aux comptes.
Créez des évaluations pour tous les jetons et définissez expectedAction sur la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez l'évaluation qui semble frauduleuse, comme les prises de contrôle de compte (ATO) ou toute autre activité frauduleuse. Pour savoir comment annoter des évaluations, consultez Annoter une évaluation.

Stratégie de lutte contre la fraude

Après avoir implémenté reCAPTCHA, utilisez la stratégie de lutte contre la fraude suivante pour protéger votre site Web contre le craquage d'identifiants:

Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur le score.

L'exemple suivant illustre un modèle de réponse:
- Pour un seuil de score faible à intermédiaire (0,0 à 0,5), demandez à l'utilisateur final de passer par une authentification multifacteur par e-mail ou SMS.
- Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans défi.
Remarque:Vos seuils de score peuvent varier en fonction de vos utilisateurs et des pirates informatiques. Nous vous recommandons d'utiliser le tableau de bord d'analyse reCAPTCHA pour déterminer les meilleurs scores à prendre en compte.
Mettez fin ou interrompez les sessions des utilisateurs finaux qui s'authentifient, mais reçoivent une réponse credentialsLeaked: true de la détection des fuites de mots de passe reCAPTCHA, puis envoyez-leur un e-mail pour qu'ils modifient leur mot de passe.
Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Si ce n'est pas le cas, n'autorisez pas l'authentification.

Bourrage d'identifiants

Le remplissage d'identifiants est une menace automatisée dans laquelle les pirates informatiques effectuent des tentatives de connexion massives pour vérifier la validité des paires nom d'utilisateur/mot de passe volées.

Implémentation minimale

Installez des clés de site avec case à cocher sur toutes les pages où les utilisateurs finaux doivent saisir leurs identifiants, y compris les fonctions Se connecter et Mot de passe oublié. Pour savoir comment installer des clés de site de case à cocher, consultez Installer des clés de site de case à cocher (test par case à cocher) sur des sites Web.

Remarque:Les clés de site de case à cocher augmentent les frictions de l'utilisateur et peuvent affecter les taux de conversion.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages sur lesquelles les utilisateurs finaux doivent saisir leurs identifiants. Spécifiez une action dans le paramètre action, par exemple login ou authenticate. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Recommandation: Implémentez la détection des fuites de mots de passe reCAPTCHA pour toutes les tentatives d'authentification. Pour savoir comment utiliser la détection des fuites de mots de passe, consultez Déterminer les fuites de mots de passe et les vols d'identifiants.
Implémentez le défenseur de compte reCAPTCHA pour suivre l'évolution du comportement des utilisateurs finaux lors des connexions et recevoir des signaux supplémentaires pouvant indiquer un piratage de compte. Pour savoir comment utiliser l'outil Account Defender de reCAPTCHA, consultez Détection et prévention des activités frauduleuses liées aux comptes.
Facultatif: Pour bloquer les interactions à fort volume et à faible score reCAPTCHA, intégrez reCAPTCHA à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser reCAPTCHA pour l'intégration de WAF et Google Cloud Armor.
Créez des évaluations pour tous les jetons et définissez expectedAction sur la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les évaluations qui se transforment en achats frauduleux ou en rejets de débit en tant que fraudulent. Pour savoir comment annoter des évaluations, consultez Annoter une évaluation.

Stratégie de lutte contre la fraude

Après avoir implémenté reCAPTCHA, utilisez la stratégie de lutte contre la fraude suivante pour protéger votre site Web contre le bourrage d'identifiants:

Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur le score.

L'exemple suivant illustre un modèle de réponse:
- Pour le score reCAPTCHA le plus bas (0,0), informez l'utilisateur final que son mot de passe est incorrect.
- Pour le seuil de score intermédiaire (0,1 à 0,5), demandez à l'utilisateur final de s'authentifier avec une authentification multifacteur par e-mail ou SMS.
- Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans défi.
Remarque:Vos seuils de score peuvent varier en fonction de vos utilisateurs et des pirates informatiques. Nous vous recommandons d'utiliser le tableau de bord d'analyse reCAPTCHA pour déterminer les meilleurs scores à prendre en compte.
Mettez fin ou interrompez les sessions des utilisateurs finaux qui s'authentifient, mais reçoivent une réponse credentialsLeaked: true de la détection des fuites de mots de passe reCAPTCHA, puis envoyez-leur un e-mail pour qu'ils modifient leur mot de passe.
Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Si ce n'est pas le cas, n'autorisez pas l'authentification.
Dans votre évaluation, si accountDefenderAssessment=PROFILE_MATCH, autorisez l'utilisateur final à continuer sans défi.

Retirer de l'argent

Le retrait d'argent est une menace automatisée dans laquelle les pirates informatiques obtiennent de la monnaie ou des articles de grande valeur en utilisant des cartes de paiement volées et validées précédemment.

Implémentation minimale

Installez des clés de site basées sur des scores sur toutes les pages sur lesquelles le paiement est possible. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages sur lesquelles les utilisateurs finaux saisissent les informations de leur carte cadeau. Spécifiez une action, par exemple add_gift_card. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Créez des évaluations pour tous les jetons et définissez expectedAction sur la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les transactions frauduleuses.

Stratégie de lutte contre la fraude

Après avoir implémenté reCAPTCHA, utilisez la stratégie de lutte contre la fraude suivante pour protéger votre site Web contre le retrait:

Installez reCAPTCHA pour le workflow de paiement sur votre site Web. Pour savoir comment protéger votre workflow de paiement, consultez Protéger les workflows de paiement.
Implémentez un modèle de réponse et créez des évaluations:
1. Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur le score.
  
  L'exemple suivant illustre un modèle de réponse:
  - Pour un seuil de score faible à moyen (0,0 à 0,5), utilisez une gestion des risques basée sur le contexte, par exemple en limitant le nombre de tentatives et en bloquant les achats supérieurs à une valeur spécifiée.
  - Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans défi.
  Remarque:Vos seuils de score peuvent varier en fonction de vos utilisateurs et des pirates informatiques. Nous vous recommandons d'utiliser le tableau de bord d'analyse reCAPTCHA pour déterminer les meilleurs scores à prendre en compte.
2. Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Si ce n'est pas le cas, n'autorisez pas l'authentification. Si possible, autorisez la transaction au moment de l'achat, mais annulez-la plus tard pour éviter d'alerter l'attaquant.

Création de compte

La création de comptes est une menace automatisée qui consiste à créer plusieurs comptes pour une utilisation ultérieure abusive.

Implémentation minimale

Installez des clés de site avec case à cocher sur toutes les pages où les utilisateurs finaux doivent saisir leurs identifiants, y compris les fonctions Se connecter et Mot de passe oublié. Pour savoir comment installer des clés de site de case à cocher, consultez Installer des clés de site de case à cocher (test par case à cocher) sur des sites Web.

Remarque:Les clés de site de case à cocher augmentent les frictions de l'utilisateur et peuvent affecter les taux de conversion.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages où des comptes sont créés. Spécifiez une action dans le paramètre action, par exemple register. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Recommandation: Implémentez la détection des fuites de mots de passe reCAPTCHA pour toutes les tentatives d'authentification. Pour savoir comment utiliser la détection des fuites de mots de passe, consultez Déterminer les fuites de mots de passe et les vols d'identifiants.
Implémentez l'outil Account Defender de reCAPTCHA pour recevoir des signaux supplémentaires indiquant la création de faux comptes. Pour savoir comment utiliser l'outil Account Defender de reCAPTCHA, consultez Détection et prévention des activités frauduleuses liées aux comptes.
Facultatif: Pour bloquer les interactions à fort volume et à faible score reCAPTCHA, intégrez reCAPTCHA à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser reCAPTCHA pour l'intégration de WAF et Google Cloud Armor.
Créez des évaluations pour tous les jetons et définissez expectedAction sur la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les transactions frauduleuses.

Stratégie de lutte contre la fraude

Après avoir implémenté reCAPTCHA, utilisez la stratégie de lutte contre la fraude suivante pour protéger votre site Web contre la création de comptes:

Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur le score.

L'exemple suivant illustre un modèle de réponse:
- Pour le score reCAPTCHA le plus bas (0,0), limitez les actions du compte jusqu'à ce qu'il soit soumis à d'autres contrôles antifraude.
- Pour le seuil de score intermédiaire (0,1 à 0,5), demandez à l'utilisateur final de passer par l'authentification multifacteur par e-mail ou SMS.
- Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans défi.
Remarque:Vos seuils de score peuvent varier en fonction de vos utilisateurs et des pirates informatiques. Nous vous recommandons d'utiliser le tableau de bord d'analyse reCAPTCHA pour déterminer les meilleurs scores à prendre en compte.
Mettez fin ou interrompez les sessions des utilisateurs finaux qui s'authentifient, mais reçoivent une réponse credentialsLeaked: true de la détection des fuites de mots de passe reCAPTCHA, et invitez l'utilisateur à sélectionner un nouveau mot de passe.
Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Si ce n'est pas le cas, n'autorisez pas l'enregistrement ou la création de compte.
Dans votre évaluation, si accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, limitez l'accès du compte jusqu'à ce qu'une validation supplémentaire puisse être effectuée.

Changements d'adresse et de compte frauduleux

Les pirates informatiques peuvent tenter de modifier les informations du compte, y compris les adresses e-mail, les numéros de téléphone ou les adresses postales, dans le cadre d'activités frauduleuses ou de prises de contrôle de compte.

Implémentation minimale

Installez des clés de site avec case à cocher sur toutes les pages où les utilisateurs finaux doivent saisir leurs identifiants, y compris les fonctions Se connecter et Mot de passe oublié. Pour savoir comment installer des clés de site de case à cocher, consultez Installer des clés de site de case à cocher (test par case à cocher) sur des sites Web.

Remarque:Les clés de site de case à cocher augmentent les frictions de l'utilisateur et peuvent affecter les taux de conversion.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages où des comptes sont créés. Spécifiez une action dans le paramètre action, par exemple change_telephone ou change_physicalmail. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Créez des évaluations pour tous les jetons et définissez expectedAction sur la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.
Implémentez le défenseur de compte reCAPTCHA pour suivre l'évolution du comportement des utilisateurs finaux lors des connexions et recevoir des signaux supplémentaires pouvant indiquer un piratage de compte. Pour savoir comment utiliser l'outil Account Defender de reCAPTCHA, consultez Détection et prévention des activités frauduleuses liées aux comptes.
Enregistrez tous les ID d'évaluation et annotez les transactions frauduleuses.

Stratégie de lutte contre la fraude

Après avoir implémenté reCAPTCHA, utilisez la stratégie de lutte contre la fraude suivante pour protéger votre site Web contre les changements de compte et d'adresse frauduleux:

Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur le score.

L'exemple suivant illustre un modèle de réponse:
- Pour un seuil de score faible à intermédiaire (0,0 à 0,5), demandez à l'utilisateur final de passer par une authentification multifacteur par e-mail ou SMS.
- Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans défi.
Remarque:Vos seuils de score peuvent varier en fonction de vos utilisateurs et des pirates informatiques. Nous vous recommandons d'utiliser le tableau de bord d'analyse reCAPTCHA pour déterminer les meilleurs scores à prendre en compte.
Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Si ce n'est pas le cas, n'autorisez pas les modifications de compte.
Dans votre évaluation, si accountDefenderAssessment ne comporte pas le libellé PROFILE_MATCH, demandez à l'utilisateur final de s'authentifier par authentification multifacteur par e-mail ou par SMS.

Craquage de jetons

Le craquage de jetons est une menace automatisée dans laquelle les pirates informatiques énumèrent de manière massive les numéros de bons de réduction, les codes de bon de réduction et les jetons de remise.

Implémentation minimale

Installez des clés de site de case à cocher sur toutes les pages sur lesquelles les utilisateurs finaux doivent saisir les informations de leur carte de cadeau. Pour savoir comment installer des clés de site de case à cocher, consultez Installer des clés de site de case à cocher (test par case à cocher) sur des sites Web.

Remarque:Les clés de site de case à cocher augmentent les frictions de l'utilisateur et peuvent affecter les taux de conversion.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages sur lesquelles les utilisateurs finaux doivent saisir les informations de leur carte. Spécifiez une action, par exemple gift_card_entry. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Facultatif: Pour bloquer les interactions à fort volume et à faible score reCAPTCHA, intégrez reCAPTCHA à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser reCAPTCHA pour l'intégration de WAF et Google Cloud Armor.
Créez des évaluations pour tous les jetons et définissez expectedAction sur la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les évaluations qui se transforment en cartes ou bons cadeaux frauduleux.

Stratégie de lutte contre la fraude

Après avoir implémenté reCAPTCHA, utilisez l'une des stratégies d'atténuation des fraudes suivantes pour protéger votre site Web contre le craquage de jetons:

Configurez les API de gestion des cartes pour vous assurer que les jetons reCAPTCHA sont valides et que les scores sont supérieurs à leur valeur seuil.

Si les scores ne répondent pas ou ne dépassent pas le seuil spécifié, n'exécutez pas d'autorisation de carte de crédit ou de carte de cadeau, et n'autorisez pas l'utilisateur final à utiliser le bon de réduction ou la carte de cadeau. Si possible, autorisez la transaction au moment de l'achat, mais annulez-la plus tard pour éviter d'alerter l'attaquant.
Lorsque vous créez des évaluations, assurez-vous qu'elles répondent aux critères suivants pour que la transaction aboutisse:
- Tous les jetons évalués sont valides et ont un score supérieur à une valeur seuil spécifiée.
- La valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Pour savoir comment valider des actions, consultez la section Valider des actions.
Si une transaction ne répond pas à ces critères, n'exécutez pas d'autorisation de carte de crédit ou de carte de cadeau, et n'autorisez pas l'utilisateur final à utiliser le bon de réduction ou la carte de cadeau. Si possible, autorisez la transaction au moment de l'achat, mais annulez-la plus tard pour éviter d'alerter l'attaquant.

Scalping

Le scalping est une menace automatisée par laquelle des pirates informatiques obtiennent des produits ou services à disponibilité limitée et privilégiés par des méthodes déloyales.

Implémentation minimale

Installez des clés de site basées sur des scores sur toutes les pages sur lesquelles les utilisateurs finaux doivent saisir les informations de leur carte cadeau. Spécifiez une action dans le paramètre action, par exemple add_to_cart. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Créez des évaluations pour tous les jetons et définissez expectedAction sur la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages sur lesquelles les utilisateurs finaux doivent saisir les informations de leur carte cadeau. Spécifiez une action dans le paramètre action, par exemple add_to_cart. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Facultatif: Pour bloquer les interactions à fort volume et à faible score reCAPTCHA, intégrez reCAPTCHA à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser reCAPTCHA pour l'intégration de WAF et Google Cloud Armor.
Créez des évaluations pour tous les jetons et définissez expectedAction sur la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les transactions frauduleuses.

Stratégie de lutte contre la fraude

Après avoir implémenté reCAPTCHA, utilisez la stratégie de lutte contre la fraude suivante pour protéger votre site Web contre le scalping:

Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur le score.

L'exemple suivant illustre un modèle de réponse:
- Pour un seuil de score faible à moyen (0,0 à 0,5), utilisez une gestion des risques basée sur le contexte, par exemple en limitant le nombre de tentatives et en bloquant les achats supérieurs à une valeur spécifiée.
- Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans défi.
Remarque:Vos seuils de score peuvent varier en fonction de vos utilisateurs et des pirates informatiques. Nous vous recommandons d'utiliser le tableau de bord d'analyse reCAPTCHA pour déterminer les meilleurs scores à prendre en compte.
Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Si ce n'est pas le cas, n'exécutez pas l'autorisation de la carte cadeau.

Skewing

Le biais est une menace automatisée dans laquelle les pirates informatiques utilisent des clics sur des liens, des requêtes de pages ou des envois de formulaires répétés pour modifier une métrique.

Implémentation minimale

Installez des clés de site basées sur des scores sur toutes les pages où un biais de métrique est possible. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages où un biais de métrique est possible. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Facultatif: Pour bloquer les interactions à fort volume et à faible score reCAPTCHA, intégrez reCAPTCHA à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser reCAPTCHA pour l'intégration de WAF et Google Cloud Armor.
Créez des évaluations pour tous les jetons et définissez expectedAction sur la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les transactions frauduleuses.

Stratégie de lutte contre la fraude

Après avoir implémenté reCAPTCHA, utilisez la stratégie de lutte contre la fraude suivante pour protéger votre site Web contre les biais:

Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur le score.

L'exemple suivant illustre un modèle de réponse:

Pour un seuil de score faible à moyen (0,0 à 0,5), utilisez une gestion des risques basée sur le contexte, par exemple en suivant le nombre de fois où un utilisateur a cliqué sur une annonce ou le nombre de fois où il a actualisé la page. Utilisez ces données pour déterminer si vous devez comptabiliser la métrique.
Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans défi.

Scraping

L'exploration est une menace automatisée par laquelle des pirates informatiques collectent des données ou des artefacts de site Web de manière automatisée.

Implémentation minimale

Installez des clés de site basées sur des scores sur toutes les pages contenant des informations importantes et sur les pages d'interaction courantes avec les utilisateurs finaux. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages contenant des informations importantes et sur les pages d'interaction courantes avec l'utilisateur final. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Facultatif: Pour bloquer les interactions à fort volume et à faible score reCAPTCHA, intégrez reCAPTCHA à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser reCAPTCHA pour l'intégration de WAF et Google Cloud Armor.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les transactions frauduleuses.

Stratégie de lutte contre la fraude

Après avoir implémenté reCAPTCHA, utilisez les stratégies de lutte contre la fraude suivantes pour protéger votre site Web contre le scraping:

Activez le blocage des interactions à fort volume et à faible score reCAPTCHA en intégrant reCAPTCHA à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser reCAPTCHA pour l'intégration de WAF et Google Cloud Armor.
Si l'extraction implique des API, utilisez les API de gestion Apigee pour atténuer le problème.

Contournement du CAPTCHA

La défaite du CAPTCHA est une menace automatisée dans laquelle les pirates informatiques utilisent l'automatisation pour tenter d'analyser et de déterminer la réponse aux tests CAPTCHA visuels et/ou auditifs et aux énigmes associées.

Implémentation minimale

Installez des clés de site basées sur un score sur toutes les pages impliquant une saisie par l'utilisateur final, la création de compte, des informations de paiement ou des interactions de l'utilisateur final avec un risque de fraude. Spécifiez une action descriptive dans le paramètre action. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Créez des évaluations pour tous les jetons et définissez expectedAction sur la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur un score sur toutes les pages impliquant une saisie par l'utilisateur final, la création de compte, des informations de paiement ou des interactions de l'utilisateur final avec un risque de fraude. Spécifiez une action descriptive dans le paramètre action. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Facultatif: Pour bloquer les interactions à fort volume et à faible score reCAPTCHA, intégrez reCAPTCHA à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser reCAPTCHA pour l'intégration de WAF et Google Cloud Armor.
Créez des évaluations pour tous les jetons et définissez expectedAction sur la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les évaluations qui se transforment en achats frauduleux ou en rejets de débit comme fraudulent. Pour savoir comment annoter des évaluations, consultez Annoter une évaluation.

Stratégie de lutte contre la fraude

Après avoir implémenté reCAPTCHA, utilisez l'une des stratégies d'atténuation des fraudes suivantes pour protéger votre site Web contre la défaite du CAPTCHA:

Implémentez un modèle de réponse et créez des évaluations:
1. Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur le score.
  
  L'exemple suivant illustre un modèle de réponse:
  - Pour un seuil de score faible à intermédiaire (0,0 à 0,5), demandez à l'utilisateur final de passer par une authentification multifacteur par e-mail ou SMS.
  - Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans défi.
  Remarque:Vos seuils de score peuvent varier en fonction de vos utilisateurs et des pirates informatiques. Nous vous recommandons d'utiliser le tableau de bord d'analyse reCAPTCHA pour déterminer les meilleurs scores à prendre en compte.
2. Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Si ce n'est pas le cas, n'autorisez pas l'authentification.
Si les utilisateurs finaux utilisent des navigateurs Web sur lesquels JavaScript est désactivé, procédez comme suit:
1. Bloquez ces utilisateurs finaux.
2. Informez les utilisateurs finaux que votre site Web nécessite JavaScript pour fonctionner.
Assurez-vous que la promesse grecaptcha.enterprise.ready est remplie pour empêcher le chargement des navigateurs des utilisateurs finaux qui bloquent le script Google. Cela indique que reCAPTCHA est entièrement chargé et qu'aucune erreur n'a été détectée.
Pour les API Web uniquement, nous vous recommandons de transmettre le jeton reCAPTCHA ou le résultat de l'évaluation reCAPTCHA à l'API backend, puis de n'autoriser l'action de l'API que si le jeton reCAPTCHA est valide et atteint un seuil de score. Cela garantit que l'utilisateur final n'utilise pas l'API sans passer par le site Web.

Bonnes pratiques pour vous protéger des menaces automatisées

Cardage

Implémentation minimale

Implémentation optimale

Stratégie de lutte contre la fraude

Card cracking

Implémentation minimale

Implémentation optimale

Stratégie de lutte contre la fraude

Craquage des identifiants

Implémentation minimale

Implémentation optimale

Stratégie de lutte contre la fraude

Bourrage d'identifiants

Implémentation minimale

Implémentation optimale

Stratégie de lutte contre la fraude

Retirer de l'argent

Implémentation minimale

Implémentation optimale

Stratégie de lutte contre la fraude

Création de compte

Implémentation minimale

Implémentation optimale

Stratégie de lutte contre la fraude

Changements d'adresse et de compte frauduleux

Implémentation minimale

Implémentation optimale

Stratégie de lutte contre la fraude

Craquage de jetons

Implémentation minimale

Implémentation optimale

Stratégie de lutte contre la fraude

Scalping

Implémentation minimale

Implémentation optimale

Stratégie de lutte contre la fraude

Skewing

Implémentation minimale

Implémentation optimale

Stratégie de lutte contre la fraude

Scraping

Implémentation minimale

Implémentation optimale

Stratégie de lutte contre la fraude

Contournement du CAPTCHA

Implémentation minimale

Implémentation optimale

Stratégie de lutte contre la fraude

Étape suivante