Best Practices zum Schutz vor automatisierten Bedrohungen

In diesem Dokument werden die empfohlenen Implementierungen von reCAPTCHA Enterprise und Strategien zur Betrugsbekämpfung zum Schutz vor kritischen automatisierten Bedrohungen (OWASP Automated Threats (OAT) to Web Applications) beschrieben. Unternehmensarchitekten und Technologie-Stakeholder können diese Informationen prüfen, um eine fundierte Entscheidung zur Implementierung von reCAPTCHA Enterprise und zur Betrugsbekämpfung für ihren Anwendungsfall zu treffen.

Dieses Dokument enthält die folgenden Informationen für jede Art von Bedrohung:

• Optimale Implementierung von reCAPTCHA Enterprise. Diese Implementierung wurde mit den relevanten Funktionen von reCAPTCHA Enterprise für den besten Betrugsschutz entwickelt.

• Minimale Implementierung von reCAPTCHA Enterprise. Diese Implementierung ist auf ein Minimum an Betrugsschutz ausgelegt.

• Empfohlene Strategien zur Betrugsbekämpfung.

Wählen Sie die Implementierungs- und Betrugsschutzstrategie aus, die am besten zu Ihrem Anwendungsfall passt. Die folgenden Faktoren können sich auf die von Ihnen gewählte Implementierungsstrategie und Strategie zur Betrugsbekämpfung auswirken:

• Anforderungen und Möglichkeiten des Unternehmens zum Schutz vor Betrug.
• Vorhandene Umgebung der Organisation.

Informationen zur empfohlenen allgemeinen Implementierung von reCAPTCHA Enterprise finden Sie unter Best Practices für die Verwendung von reCAPTCHA Enterprise.

Weitere Informationen zu den Betrugsbekämpfungsstrategien für Ihren Anwendungsfall erhalten Sie von unserem Vertriebsteam.

Kariert

Carding ist eine automatisierte Bedrohung, bei der Angreifer mehrere Zahlungsautorisierungen durchführen, um die Gültigkeit von im Bulk gestohlenen Zahlungskartendaten zu überprüfen.

Minimale Implementierung

1. Installieren Sie Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Kreditkarteninformationen eingeben müssen. Informationen zum Installieren von Kästchen-Websiteschlüsseln finden Sie unter Kästchen-Websiteschlüssel auf Websites installieren (Kästchen-Herausforderung).

2. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

Optimale Implementierung

1. Installieren Sie ergebnisbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Kreditkarteninformationen eingeben müssen. Geben Sie im Parameter action eine Aktion an, z. B. card_entry. Informationen zum Installieren wertbezogener Websiteschlüssel finden Sie unter Wertungsbasierte Websiteschlüssel (keine Herausforderung) auf Websites installieren.

2. Installieren Sie reCAPTCHA Enterprise für den Zahlungsworkflow auf Ihrer Website. Informationen zum Schutz deines Zahlungsworkflows findest du unter Zahlungsworkflows schützen.

3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

4. Speichern Sie alle Bewertungs-IDs und vermerken Sie die Bewertungen, die zu betrügerischen Käufen oder Rückbuchungen führen, als fraudulent. Informationen zum Annotieren von Bewertungen finden Sie unter Bewertung annotieren.

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA Enterprise implementiert haben, verwenden Sie eine der folgenden Strategien zur Betrugsminderung, um Ihre Website vor Carding zu schützen:

• Installieren Sie reCAPTCHA Enterprise für den Zahlungsworkflow auf Ihrer Website. Informationen zum Schutz deines Zahlungsworkflows findest du unter Zahlungsworkflows schützen.

• Konfigurieren Sie die Kartenverwaltungs-APIs, um sicherzustellen, dass die reCAPTCHA-Tokens gültig sind und die Punktzahlen größer als ihr Grenzwert sind.

  Wenn die Punktzahlen den angegebenen Schwellenwert nicht erreichen oder überschreiten, führe keine Kartenautorisierung aus und erlaube dem Endnutzer nicht, die Karte zu verwenden. Lassen Sie die Transaktion nach Möglichkeit zum Zeitpunkt des Kaufs fortgesetzt, brechen Sie sie jedoch später ab, um zu verhindern, dass der Angreifer abgefangen wird.

• Achten Sie beim Erstellen von Bewertungen darauf, dass Ihre Bewertungen die folgenden Kriterien für eine erfolgreiche Transaktion erfüllen:

  • Alle geprüften Tokens sind gültig und haben einen Wert, der über einem bestimmten Grenzwert liegt.
  • Der Wert von expectedAction entspricht dem Wert von action, den du beim Installieren der auf Punktzahlen basierenden Websiteschlüssel auf deinen Webseiten angegeben hast. Informationen zum Überprüfen von Aktionen finden Sie unter Aktionen überprüfen.

  Wenn eine Transaktion diese Kriterien nicht erfüllt, führen Sie keine Kartenautorisierung aus und erlauben Sie dem Endnutzer nicht, die Karte zu verwenden. Lassen Sie die Transaktion nach Möglichkeit zum Zeitpunkt des Kaufs fortgesetzt, brechen Sie sie jedoch später ab, um zu verhindern, dass der Angreifer abgefangen wird.

Knacken bei Karten

Karten-Cracking ist eine automatisierte Bedrohung, bei der Angreifer fehlende Werte für das Start- und das Ablaufdatum sowie Sicherheitscodes für gestohlene Zahlungskartendaten identifizieren, indem sie verschiedene Werte ausprobieren.

Minimale Implementierung

1. Installieren Sie Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Zahlungsdetails eingeben müssen, einschließlich der Funktionen Kasse und Zahlungsmethode hinzufügen. Informationen zum Installieren von Kästchen-Websiteschlüsseln finden Sie unter Kästchen-Websiteschlüssel auf Websites installieren (Kästchen-Herausforderung).

2. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

Optimale Implementierung

1. Installieren Sie ergebnisbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Zahlungsdetails eingeben müssen. Geben Sie im Parameter action eine Aktion an, z. B. checkout oder add_pmtmethod. Informationen zum Installieren wertbezogener Websiteschlüssel finden Sie unter Wertungsbasierte Websiteschlüssel (keine Herausforderung) auf Websites installieren.

2. Installieren Sie reCAPTCHA Enterprise für den Zahlungsworkflow auf Ihrer Website. Informationen zum Schutz deines Zahlungsworkflows findest du unter Zahlungsworkflows schützen.

3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

4. Speichern Sie alle Bewertungs-IDs und vermerken Sie die Bewertungen, die zu betrügerischen Käufen oder Rückbuchungen führen, als fraudulent. Informationen zum Annotieren von Bewertungen finden Sie unter Bewertung annotieren.

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA Enterprise implementiert haben, verwenden Sie eine der folgenden Strategien zur Betrugsbekämpfung, um Ihre Website vor Karten-Cracking zu schützen:

• Installieren Sie reCAPTCHA Enterprise für den Zahlungsworkflow auf Ihrer Website. Informationen zum Schutz deines Zahlungsworkflows findest du unter Zahlungsworkflows schützen.

• Implementieren Sie ein Antwortmodell und erstellen Sie Bewertungen:

  1. Ein Antwortmodell erstellen und implementieren, das an punktzahlbasierte Risiken angepasst ist.

     Das folgende Beispiel zeigt ein Antwortmodell:

     • Für einen niedrigen bis mittleren Schwellenwert (0,0–0, 5) sollten Sie kontextbasiertes Risikomanagement verwenden, z.B.die Anzahl der Versuche begrenzen und Käufe über einen bestimmten Wert hinweg blockieren.
     • Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Identitätsbestätigung fortfahren können.

  2. Achte beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den du bei der Installation der auf Punktzahlen basierenden Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, führe keine Kartenautorisierung aus oder erlaube dem Endnutzer, die Karte zu verwenden. Lassen Sie die Transaktion nach Möglichkeit zum Zeitpunkt des Kaufs fortgesetzt, brechen Sie sie jedoch später ab, um zu verhindern, dass der Angreifer abgefangen wird.

Cracking von Anmeldedaten

Das Cracking von Anmeldedaten ist eine automatisierte Bedrohung, bei der Angreifer gültige Anmeldedaten identifizieren, indem sie verschiedene Werte für Nutzernamen und Passwörter ausprobieren.

Minimale Implementierung

1. Installieren Sie Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen, einschließlich der Funktionen login und forgot my password. Informationen zum Installieren von Kästchen-Websiteschlüsseln finden Sie unter Kästchen-Websiteschlüssel auf Websites installieren (Kästchen-Herausforderung).

2. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

Optimale Implementierung

1. Installieren Sie ergebnisbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen. Geben Sie im Parameter action eine Aktion an, z. B. login oder authenticate. Informationen zum Installieren wertbezogener Websiteschlüssel finden Sie unter Wertungsbasierte Websiteschlüssel (keine Herausforderung) auf Websites installieren.
2. Empfohlen: Implementieren Sie die reCAPTCHA Enterprise-Passwortleckerkennung für alle Authentifizierungsversuche. Weitere Informationen zur Erkennung von Passwortlecks finden Sie unter Passwortlecks und gehackte Anmeldedaten erkennen.
3. Optional: Binden Sie reCAPTCHA Enterprise in eine Web Application Firewall (WAF) ein, um Interaktionen mit hohem Volumen und mit geringem reCAPTCHA-Wert zu blockieren. Sie können beispielsweise die Einbindung von reCAPTCHA Enterprise for WAF in Google Cloud Armor verwenden.
4. Implementieren Sie reCAPTCHA Enterprise Account Defender, um Endnutzerverhalten bei Anmeldungen zu verfolgen und zusätzliche Signale zu erhalten, die auf ein ATO hindeuten können. Informationen zum Verwenden von reCAPTCHA Enterprise Account Defender finden Sie unter Betrügerische Aktivitäten im Zusammenhang mit Konten erkennen und verhindern.
5. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.
6. Speichern Sie alle Bewertungs-IDs und annotieren Sie die betrügerische Bewertung, z. B. Kontoübernahmen (ATOs) oder andere betrügerische Aktivitäten. Informationen zum Annotieren von Bewertungen finden Sie unter Bewertung annotieren.

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA Enterprise implementiert haben, verwenden Sie die folgende Strategie zur Betrugsbekämpfung, um Ihre Website vor Cracking von Anmeldedaten zu schützen:

1. Ein Antwortmodell erstellen und implementieren, das an punktzahlbasierte Risiken angepasst ist.

   Das folgende Beispiel zeigt ein Antwortmodell:

   • Fordern Sie für einen niedrigen bis mittleren Schwellenwert (0,0–0,5) den Endnutzer per E-Mail oder SMS mit einer Multi-Faktor-Authentifizierung auf.
   • Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Identitätsbestätigung fortfahren können.
2. Sitzungen für Endnutzer beenden oder unterbrechen, die sich erfolgreich authentifizieren, aber von der reCAPTCHA Enterprise-Passwortleckerkennung eine credentialsLeaked: true-Antwort erhalten, und eine E-Mail an die Endnutzer senden, um ihr Passwort zu ändern.
3. Achte beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den du bei der Installation der auf Punktzahlen basierenden Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, lassen Sie die Authentifizierung nicht zu.

Credential Stuffing

Credential Stuffing ist eine automatisierte Bedrohung, bei der Angreifer mithilfe von Massenanmeldungen versuchen, die Gültigkeit gestohlener Nutzername/Passwort-Paare zu überprüfen.

Minimale Implementierung

1. Installieren Sie Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen, einschließlich der Funktionen login und forgot my password. Informationen zum Installieren von Kästchen-Websiteschlüsseln finden Sie unter Kästchen-Websiteschlüssel auf Websites installieren (Kästchen-Herausforderung).

2. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

Optimale Implementierung

1. Installieren Sie ergebnisbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen. Geben Sie im Parameter action eine Aktion an, z. B. login oder authenticate. Informationen zum Installieren wertbezogener Websiteschlüssel finden Sie unter Wertungsbasierte Websiteschlüssel (keine Herausforderung) auf Websites installieren.
2. Empfohlen: Implementieren Sie die reCAPTCHA Enterprise-Passwortleckerkennung für alle Authentifizierungsversuche. Weitere Informationen zur Erkennung von Passwortlecks finden Sie unter Passwortlecks und gehackte Anmeldedaten erkennen.
3. Implementieren Sie reCAPTCHA Enterprise Account Defender, um Endnutzerverhalten bei Anmeldungen zu verfolgen und zusätzliche Signale zu erhalten, die auf ein ATO hindeuten können. Informationen zum Verwenden von reCAPTCHA Enterprise Account Defender finden Sie unter Betrügerische Aktivitäten im Zusammenhang mit Konten erkennen und verhindern.

4. Optional: Binden Sie reCAPTCHA Enterprise in eine Web Application Firewall (WAF) ein, um Interaktionen mit hohem Volumen und mit geringem reCAPTCHA-Wert zu blockieren. Sie können beispielsweise die Einbindung von reCAPTCHA Enterprise for WAF in Google Cloud Armor verwenden.

5. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

6. Speichern Sie alle Bewertungs-IDs und vermerken Sie die Bewertungen, die zu betrügerischen Käufen oder Rückbuchungen führen, als fraudulent. Informationen zum Annotieren von Bewertungen finden Sie unter Bewertung annotieren.

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA Enterprise implementiert haben, verwenden Sie die folgende Strategie zur Betrugsbekämpfung, um Ihre Website vor Credential Stuffing zu schützen:

1. Ein Antwortmodell erstellen und implementieren, das an punktzahlbasierte Risiken angepasst ist.

   Das folgende Beispiel zeigt ein Antwortmodell:

   • Teilen Sie dem Endnutzer mit, dass sein Passwort falsch ist, um den niedrigsten reCAPTCHA-Punktzahl-Schwellenwert (0,0) zu erreichen.
   • Fordern Sie für den mittleren Punktzahl-Schwellenwert (0,1–0,5) den Endnutzer per E-Mail oder SMS mit einer Multi-Faktor-Authentifizierung auf.
   • Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Identitätsbestätigung fortfahren können.
2. Sitzungen für Endnutzer beenden oder unterbrechen, die sich erfolgreich authentifizieren, aber von der reCAPTCHA Enterprise-Passwortleckerkennung eine credentialsLeaked: true-Antwort erhalten, und eine E-Mail an die Endnutzer senden, um ihr Passwort zu ändern.
3. Achte beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den du bei der Installation der auf Punktzahlen basierenden Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, lassen Sie die Authentifizierung nicht zu.
4. Wenn accountDefenderAssessment=PROFILE_MATCH in Ihrer Bewertung ist, muss der Endnutzer problemlos fortfahren können.

Überweisen

Die Auszahlung ist eine automatisierte Bedrohung, bei der Angreifer durch die Nutzung gestohlener, zuvor bestätigter Zahlungskarten Geld oder hochwertige Artikel erhalten.

Minimale Implementierung

1. Installieren Sie ergebnisbasierte Websiteschlüssel auf allen Seiten, auf denen eine Bezahlung möglich ist. Informationen zum Installieren wertbezogener Websiteschlüssel finden Sie unter Wertungsbasierte Websiteschlüssel (keine Herausforderung) auf Websites installieren.
2. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

Optimale Implementierung

1. Installieren Sie ergebnisbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkarteninformationen eingeben. Geben Sie eine Aktion an, z. B. add_gift_card. Informationen zum Installieren wertbezogener Websiteschlüssel finden Sie unter Wertungsbasierte Websiteschlüssel (keine Herausforderung) auf Websites installieren.

2. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

3. Speichern Sie alle Bewertungs-IDs und annotieren Sie die Transaktionen, die betrügerisch sind.

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA Enterprise implementiert haben, verwenden Sie die folgende Strategie zur Betrugsbekämpfung, um Ihre Website vor Geldzahlungen zu schützen:

• Installieren Sie reCAPTCHA Enterprise für den Zahlungsworkflow auf Ihrer Website. Informationen zum Schutz deines Zahlungsworkflows findest du unter Zahlungsworkflows schützen.

• Implementieren Sie ein Antwortmodell und erstellen Sie Bewertungen:

  1. Ein Antwortmodell erstellen und implementieren, das an punktzahlbasierte Risiken angepasst ist.

     Das folgende Beispiel zeigt ein Antwortmodell:

     • Für einen niedrigen bis mittleren Schwellenwert (0,0–0, 5) sollten Sie kontextbasiertes Risikomanagement verwenden, z.B.die Anzahl der Versuche begrenzen und Käufe über einen bestimmten Wert hinweg blockieren.
     • Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Identitätsbestätigung fortfahren können.
  2. Achte beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den du bei der Installation der auf Punktzahlen basierenden Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, lassen Sie die Authentifizierung nicht zu. Lassen Sie die Transaktion nach Möglichkeit zum Zeitpunkt des Kaufs fortgesetzt, brechen Sie sie jedoch später ab, um zu verhindern, dass der Angreifer abgefangen wird.

Kontoerstellung

Die Kontoerstellung ist eine automatisierte Bedrohung, bei der Angreifer mehrere Konten für einen späteren Missbrauch erstellen.

Minimale Implementierung

1. Installieren Sie Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen, einschließlich der Funktionen login und forgot my password. Informationen zum Installieren von Kästchen-Websiteschlüsseln finden Sie unter Kästchen-Websiteschlüssel auf Websites installieren (Kästchen-Herausforderung).

2. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

Optimale Implementierung

1. Installieren Sie ergebnisbasierte Websiteschlüssel auf allen Seiten, auf denen Konten erstellt werden. Geben Sie im Parameter action eine Aktion an, z. B. register. Informationen zum Installieren wertbezogener Websiteschlüssel finden Sie unter Wertungsbasierte Websiteschlüssel (keine Herausforderung) auf Websites installieren.
2. Empfohlen: Implementieren Sie die reCAPTCHA Enterprise-Passwortleckerkennung für alle Authentifizierungsversuche. Weitere Informationen zur Erkennung von Passwortlecks finden Sie unter Passwortlecks und gehackte Anmeldedaten erkennen.
3. Implementieren Sie reCAPTCHA Enterprise Account Defender, um zusätzliche Signale zu erhalten, die auf gefälschte Kontoerstellungen hinweisen. Informationen zum Verwenden von reCAPTCHA Enterprise Account Defender finden Sie unter Betrügerische Aktivitäten im Zusammenhang mit Konten erkennen und verhindern.

4. Optional: Binden Sie reCAPTCHA Enterprise in eine Web Application Firewall (WAF) ein, um Interaktionen mit hohem Volumen und mit geringem reCAPTCHA-Wert zu blockieren. Sie können beispielsweise die Einbindung von reCAPTCHA Enterprise for WAF in Google Cloud Armor verwenden.

5. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

6. Speichern Sie alle Bewertungs-IDs und annotieren Sie die Transaktionen, die betrügerisch sind.

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA Enterprise implementiert haben, verwenden Sie die folgende Strategie zur Betrugsbekämpfung, um Ihre Website vor der Kontoerstellung zu schützen:

1. Ein Antwortmodell erstellen und implementieren, das an punktzahlbasierte Risiken angepasst ist.

   Das folgende Beispiel zeigt ein Antwortmodell:

   • Für den niedrigsten reCAPTCHA-Punktzahl-Schwellenwert (0,0) sollten Sie die Aktionen des Kontos einschränken, bis weitere Betrugsprüfungen durchgeführt werden.
   • Fordern Sie für den mittleren Schwellenwert (0,1–0,5) den Endnutzer per E-Mail oder SMS mit einer Multi-Faktor-Authentifizierung auf.
   • Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Identitätsbestätigung fortfahren können.
2. Sitzungen für Endnutzer beenden oder unterbrechen, die sich erfolgreich authentifizieren, aber von der reCAPTCHA Enterprise-Passwortleckerkennung eine credentialsLeaked: true-Antwort erhalten, und den Nutzer zur Auswahl eines neuen Passworts auffordern.
3. Achte beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den du bei der Installation der auf Punktzahlen basierenden Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, dürfen Sie weder die Kontoregistrierung noch die Kontoerstellung erlauben.
4. Wenn accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION in Ihrer Bewertung ist, schränken Sie den Kontozugriff ein, bis eine weitere Validierung durchgeführt werden kann.

Betrügerische Änderungen von Konten und Adressen

Angreifer könnten versuchen, im Rahmen von betrügerischen Aktivitäten oder Kontoübernahmen Kontodetails wie E-Mail-Adressen, Telefonnummern oder Postanschriften zu ändern.

Minimale Implementierung

1. Installieren Sie Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen, einschließlich der Funktionen login und forgot my password. Informationen zum Installieren von Kästchen-Websiteschlüsseln finden Sie unter Kästchen-Websiteschlüssel auf Websites installieren (Kästchen-Herausforderung).

2. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

Optimale Implementierung

1. Installieren Sie ergebnisbasierte Websiteschlüssel auf allen Seiten, auf denen Konten erstellt werden. Geben Sie im Parameter action eine Aktion an, z. B. change_telephone oder change_physicalmail. Informationen zum Installieren wertbezogener Websiteschlüssel finden Sie unter Wertungsbasierte Websiteschlüssel (keine Herausforderung) auf Websites installieren.

2. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

3. Implementieren Sie reCAPTCHA Enterprise Account Defender, um Endnutzerverhalten bei Anmeldungen zu verfolgen und zusätzliche Signale zu erhalten, die auf ein ATO hindeuten können. Informationen zum Verwenden von reCAPTCHA Enterprise Account Defender finden Sie unter Betrügerische Aktivitäten im Zusammenhang mit Konten erkennen und verhindern.

4. Speichern Sie alle Bewertungs-IDs und annotieren Sie die Transaktionen, die betrügerisch sind.

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA Enterprise implementiert haben, verwenden Sie die folgende Strategie zur Betrugsbekämpfung, um Ihre Website vor betrügerischen Konto- und Adressänderungen zu schützen:

1. Ein Antwortmodell erstellen und implementieren, das an punktzahlbasierte Risiken angepasst ist.

   Das folgende Beispiel zeigt ein Antwortmodell:

   • Fordern Sie für einen niedrigen bis mittleren Schwellenwert (0,0–0,5) den Endnutzer per E-Mail oder SMS mit einer Multi-Faktor-Authentifizierung auf.
   • Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Identitätsbestätigung fortfahren können.

2. Achte beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den du bei der Installation der auf Punktzahlen basierenden Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, lassen Sie keine Kontoänderungen zu.

3. Wenn accountDefenderAssessment bei Ihrer Bewertung nicht das Label PROFILE_MATCH hat, fordern Sie den Endnutzer per E-Mail oder SMS mit einer Multi-Faktor-Authentifizierung auf.

Token-Cracking

Das Cracking von Tokens ist eine automatisierte Bedrohung, bei der Angreifer eine Massenauflistung von Gutscheinnummern, Gutscheincodes und Rabatttokens durchführen.

Minimale Implementierung

1. Installieren Sie Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkarteninformationen eingeben müssen. Informationen zum Installieren von Kästchen-Websiteschlüsseln finden Sie unter Kästchen-Websiteschlüssel auf Websites installieren (Kästchen-Herausforderung).

2. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

Optimale Implementierung

1. Installieren Sie punktzahlbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkarteninformationen eingeben müssen. Geben Sie eine Aktion an, z. B. gift_card_entry. Informationen zum Installieren wertbezogener Websiteschlüssel finden Sie unter Wertungsbasierte Websiteschlüssel (keine Herausforderung) auf Websites installieren.

2. Optional: Binden Sie reCAPTCHA Enterprise in eine Web Application Firewall (WAF) ein, um Interaktionen mit hohem Volumen und mit geringem reCAPTCHA-Wert zu blockieren. Sie können beispielsweise die Einbindung von reCAPTCHA Enterprise for WAF in Google Cloud Armor verwenden.

3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

4. Speichern Sie alle Bewertungs-IDs und vermerken Sie die Bewertungen, die zu betrügerischen Geschenkkarten oder Gutscheinen führen.

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA Enterprise implementiert haben, verwenden Sie eine der folgenden Strategien zur Betrugsbekämpfung, um Ihre Website vor Token-Cracking zu schützen:

• Konfigurieren Sie die Kartenverwaltungs-APIs, um sicherzustellen, dass die reCAPTCHA-Tokens gültig sind und die Punktzahlen größer als ihr Grenzwert sind.

  Wenn die Punktzahlen den angegebenen Schwellenwert nicht erreichen oder überschreiten, führen Sie keine Geschenkkarten- oder Kreditkartenautorisierung aus und erlauben Sie dem Endnutzer nicht, den Gutschein oder die Geschenkkarte zu verwenden. Lassen Sie die Transaktion nach Möglichkeit zum Zeitpunkt des Kaufs fortgesetzt, brechen Sie sie jedoch später ab, um zu verhindern, dass der Angreifer abgefangen wird.

• Achten Sie beim Erstellen von Bewertungen darauf, dass Ihre Bewertungen die folgenden Kriterien für eine erfolgreiche Transaktion erfüllen:

  • Alle geprüften Tokens sind gültig und haben einen Wert, der über einem bestimmten Grenzwert liegt.
  • Der Wert von expectedAction entspricht dem Wert von action, den du beim Installieren der auf Punktzahlen basierenden Websiteschlüssel auf deinen Webseiten angegeben hast. Informationen zum Überprüfen von Aktionen finden Sie unter Aktionen überprüfen.

  Wenn eine Transaktion diese Kriterien nicht erfüllt, führen Sie keine Geschenkkarte oder Kreditkartenautorisierung aus und erlauben Sie dem Endnutzer nicht, den Gutschein oder die Geschenkkarte zu verwenden. Lassen Sie die Transaktion nach Möglichkeit zum Zeitpunkt des Kaufs fortgesetzt, brechen Sie sie jedoch später ab, um zu verhindern, dass der Angreifer abgefangen wird.

Skalieren

Scalping ist eine automatisierte Bedrohung, bei der Angreifer auf unfaire Weise eine begrenzte Verfügbarkeit und bevorzugte Waren oder Dienstleistungen erhalten.

Minimale Implementierung

1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkarteninformationen eingeben müssen. Geben Sie im Parameter action eine Aktion an, z. B. add_to_cart. Informationen zum Installieren wertbezogener Websiteschlüssel finden Sie unter Wertungsbasierte Websiteschlüssel (keine Herausforderung) auf Websites installieren.
2. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

Optimale Implementierung

1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkarteninformationen eingeben müssen. Geben Sie im Parameter action eine Aktion an, z. B. add_to_cart. Informationen zum Installieren wertbezogener Websiteschlüssel finden Sie unter Wertungsbasierte Websiteschlüssel (keine Herausforderung) auf Websites installieren.

2. Optional: Binden Sie reCAPTCHA Enterprise in eine Web Application Firewall (WAF) ein, um Interaktionen mit hohem Volumen und mit geringem reCAPTCHA-Wert zu blockieren. Sie können beispielsweise die Einbindung von reCAPTCHA Enterprise for WAF in Google Cloud Armor verwenden.

3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

4. Speichern Sie alle Bewertungs-IDs und annotieren Sie die Transaktionen, die betrügerisch sind.

Strategie zur Betrugsbekämpfung

Verwenden Sie nach der Implementierung von reCAPTCHA Enterprise die folgende Strategie zur Betrugsbekämpfung, um Ihre Website vor dem Scalping zu schützen:

1. Ein Antwortmodell erstellen und implementieren, das an punktzahlbasierte Risiken angepasst ist.

   Das folgende Beispiel zeigt ein Antwortmodell:

   • Für einen niedrigen bis mittleren Schwellenwert (0,0–0, 5) sollten Sie kontextbasiertes Risikomanagement verwenden, z.B.die Anzahl der Versuche begrenzen und Käufe über einen bestimmten Wert hinweg blockieren.
   • Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Identitätsbestätigung fortfahren können.

2. Achte beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den du bei der Installation der auf Punktzahlen basierenden Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, führen Sie die Autorisierung der Geschenkkarte nicht aus.

Verzerren

Skewing ist eine automatisierte Bedrohung, bei der Angreifer wiederholte Linkklicks, Seitenanfragen oder Formularübermittlungen verwenden, um einen Messwert zu verändern.

Minimale Implementierung

1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen eine Messwertverzerrung möglich ist. Informationen zum Installieren wertbezogener Websiteschlüssel finden Sie unter Wertungsbasierte Websiteschlüssel (keine Herausforderung) auf Websites installieren.
2. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

Optimale Implementierung

1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen eine Messwertverzerrung möglich ist. Informationen zum Installieren wertbezogener Websiteschlüssel finden Sie unter Wertungsbasierte Websiteschlüssel (keine Herausforderung) auf Websites installieren.

2. Optional: Binden Sie reCAPTCHA Enterprise in eine Web Application Firewall (WAF) ein, um Interaktionen mit hohem Volumen und mit geringem reCAPTCHA-Wert zu blockieren. Sie können beispielsweise die Einbindung von reCAPTCHA Enterprise for WAF in Google Cloud Armor verwenden.

3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

4. Speichern Sie alle Bewertungs-IDs und annotieren Sie die Transaktionen, die betrügerisch sind.

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA Enterprise implementiert haben, verwenden Sie die folgende Strategie zur Betrugsbekämpfung, um Ihre Website vor Verzerrungen zu schützen:

Ein Antwortmodell erstellen und implementieren, das an punktzahlbasierte Risiken angepasst ist.

Das folgende Beispiel zeigt ein Antwortmodell:

• Für einen niedrigen bis mittleren Schwellenwert (0,0–0,5) sollten Sie kontextbasiertes Risikomanagement verwenden, z.B.erfassen, wie oft ein Nutzer auf eine Anzeige geklickt oder die Seite neu geladen hat. Bestimmen Sie anhand dieser Daten, ob der Messwert gezählt werden soll.
• Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Identitätsbestätigung fortfahren können.

Schaben

Scraping ist eine automatisierte Bedrohung, bei der Angreifer Websitedaten oder -artefakte automatisiert erfassen.

Minimale Implementierung

1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen sich wichtige Informationen befinden, sowie auf wichtigen Seiten für Endnutzerinteraktionen. Informationen zum Installieren wertbezogener Websiteschlüssel finden Sie unter Wertungsbasierte Websiteschlüssel (keine Herausforderung) auf Websites installieren.
2. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

Optimale Implementierung

1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen sich wichtige Informationen befinden, sowie auf wichtigen Seiten für Endnutzerinteraktionen. Informationen zum Installieren wertbezogener Websiteschlüssel finden Sie unter Wertungsbasierte Websiteschlüssel (keine Herausforderung) auf Websites installieren.

2. Optional: Binden Sie reCAPTCHA Enterprise in eine Web Application Firewall (WAF) ein, um Interaktionen mit hohem Volumen und mit geringem reCAPTCHA-Wert zu blockieren. Sie können beispielsweise die Einbindung von reCAPTCHA Enterprise for WAF in Google Cloud Armor verwenden.

3. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

4. Speichern Sie alle Bewertungs-IDs und annotieren Sie die Transaktionen, die betrügerisch sind.

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA Enterprise implementiert haben, verwenden Sie die folgenden Strategien zur Betrugsbekämpfung, um Ihre Website vor Scraping zu schützen:

• Durch die Einbindung von reCAPTCHA Enterprise in eine Web Application Firewall (WAF) können Interaktionen mit hohem Volumen und mit geringem reCAPTCHA-Wert blockiert werden. Sie können beispielsweise die Einbindung von reCAPTCHA Enterprise for WAF in Google Cloud Armor verwenden.
• Wenn Scraping APIs beinhaltet, verwenden Sie als weitere Abhilfe die Apigee Management APIs.

CAPTCHA besiegen

Die Abwehr von CAPTCHA ist eine automatisierte Bedrohung, bei der Angreifer mithilfe von Automatisierung versuchen, visuelle und/oder akustische CAPTCHA-Tests und verwandte Rätsel zu analysieren und die Antwort darauf zu bestimmen.

Minimale Implementierung

1. Installieren Sie auf Punktzahlen basierende Websiteschlüssel auf allen Seiten, die Endnutzereingaben, Kontoerstellung, Zahlungsinformationen oder Endnutzerinteraktionen mit dem Potenzial für Betrug beinhalten. Geben Sie für den Parameter action eine beschreibende Aktion an. Informationen zum Installieren wertbezogener Websiteschlüssel finden Sie unter Wertungsbasierte Websiteschlüssel (keine Herausforderung) auf Websites installieren.

2. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

Optimale Implementierung

1. Installieren Sie auf Punktzahlen basierende Websiteschlüssel auf allen Seiten, die Endnutzereingaben, Kontoerstellung, Zahlungsinformationen oder Endnutzerinteraktionen mit dem Potenzial für Betrug beinhalten. Geben Sie für den Parameter action eine beschreibende Aktion an. Informationen zum Installieren wertbezogener Websiteschlüssel finden Sie unter Wertungsbasierte Websiteschlüssel (keine Herausforderung) auf Websites installieren.

2. Optional: Binden Sie reCAPTCHA Enterprise in eine Web Application Firewall (WAF) ein, um Interaktionen mit hohem Volumen und mit geringem reCAPTCHA-Wert zu blockieren. Sie können beispielsweise die Einbindung von reCAPTCHA Enterprise for WAF in Google Cloud Armor verwenden.

3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

4. Speichern Sie alle Bewertungs-IDs und vermerken Sie die Bewertungen, die zu betrügerischen Käufen oder Rückbuchungen führen, als fraudulent. Informationen zum Annotieren von Bewertungen finden Sie unter Bewertung annotieren.

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA Enterprise implementiert haben, verwenden Sie eine der folgenden Strategien zur Betrugsbekämpfung, um Ihre Website vor CAPTCHA zu schützen:

• Implementieren Sie ein Antwortmodell und erstellen Sie Bewertungen:

  1. Ein Antwortmodell erstellen und implementieren, das an punktzahlbasierte Risiken angepasst ist.

     Das folgende Beispiel zeigt ein Antwortmodell:

     • Fordern Sie für einen niedrigen bis mittleren Schwellenwert (0,0–0,5) den Endnutzer per E-Mail oder SMS mit einer Multi-Faktor-Authentifizierung auf.
     • Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Identitätsbestätigung fortfahren können.
  2. Achte beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den du bei der Installation der auf Punktzahlen basierenden Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, lassen Sie die Authentifizierung nicht zu.

• Wenn Endnutzer einen Webbrowser verwenden, bei dem JavaScript deaktiviert ist, gehen Sie folgendermaßen vor:

  1. Blockieren Sie diese Endnutzer.
  2. Weisen Sie die Endnutzer darauf hin, dass auf Ihrer Website JavaScript erforderlich ist, damit sie fortfahren können.

• Achten Sie darauf, dass das Versprechen grecaptcha.enterprise.ready erfüllt ist, um zu verhindern, dass Browser von Endnutzern, die das Laden des Google-Skripts blockieren, geladen werden. Dies weist darauf hin, dass reCAPTCHA Enterprise vollständig geladen wurde und kein Fehler aufgetreten ist.

• Bei reinen Web-APIs empfehlen wir, das reCAPTCHA-Token oder das reCAPTCHA-Bewertungsergebnis an die Back-End-API zu übergeben und dann die API-Aktion nur zuzulassen, wenn das reCAPTCHA-Token gültig ist und einen Punktzahl-Schwellenwert erreicht. Dadurch wird sichergestellt, dass der Endnutzer die API nicht verwendet, ohne die Website zu besuchen.

Nächste Schritte

• Auf Punktzahlen basierende Websiteschlüssel für Installationen.
• Websiteschlüssel für das Kästchen für die Installation.
• Bewertungen erstellen
• Bewertungen annotieren.
• Implementieren Sie die Erkennung von Passwortlecks.
• Implementieren Sie Account Defender.