Questa pagina è stata tradotta dall'API Cloud Translation.

Best practice per la protezione dalle minacce automatizzate

Questo documento descrive le implementazioni consigliate di reCAPTCHA e delle strategie di mitigazione delle frodi per difendersi dalle minacce automatiche critiche (OWASP Automated Threats (OAT) to Web Applications). Gli architetti aziendali e gli stakeholder della tecnologia possono esaminare queste informazioni per prendere una decisione consapevole sull'implementazione di reCAPTCHA e sulla strategia di mitigazione delle frodi per il loro caso d'uso.

Questo documento contiene le seguenti informazioni per ogni tipo di minaccia:

Implementazione ottimale di reCAPTCHA. Questa implementazione è progettata con le funzionalità pertinenti di reCAPTCHA per la migliore protezione dalle frodi.
Implementazione minima di reCAPTCHA. Questa implementazione è progettata per un livello minimo di protezione dalle frodi.
Strategie di mitigazione della frode consigliate.

Scegli la strategia di implementazione e mitigazione delle frodi più adatta al tuo caso d'uso. I seguenti fattori possono influire sulla strategia di implementazione e mitigazione delle frodi che scegli:

Esigenze e funzionalità antifrode dell'organizzazione.
L'ambiente esistente dell'organizzazione.

Per ulteriori informazioni sulle strategie di mitigazione della frode per il tuo caso d'uso, contatta il nostro team di vendita.

Carding

Il carding è una minaccia automatizzata in cui gli attaccanti effettuano più tentativi di autorizzazione di pagamento per verificare la validità dei dati delle carte di pagamento rubate collettivamente.

Implementazione minima

Installa le chiavi del sito con casella di controllo in tutte le pagine in cui gli utenti finali devono inserire i dati della loro carta di credito. Per scoprire come installare le chiavi di sito con casella di controllo, consulta l'articolo Installare chiavi di sito con casella di controllo (verifica con casella di controllo) sui siti web.

Nota:le chiavi dei siti con caselle di controllo aumentano le difficoltà per l'utente e potrebbero influire sui tassi di conversione.
Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

Installa le chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire i dati della loro carta di credito. Specifica un'azione nel parametro action, ad esempio card_entry. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
Installa reCAPTCHA per il flusso di lavoro di pagamento sul tuo sito web. Per scoprire come proteggere il flusso di lavoro dei pagamenti, consulta Proteggere i flussi di lavoro dei pagamenti.
Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi del sito basate su punteggi. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Salva tutti gli ID valutazione e annota come fraudulent le valutazioni che si trasformano in acquisti o storni di addebito fraudolenti. Per scoprire come annotare le valutazioni, consulta Annotare una valutazione.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza una delle seguenti strategie di mitigazione delle frodi per proteggere il tuo sito web dal furto di carte:

Installa reCAPTCHA per il flusso di lavoro di pagamento sul tuo sito web. Per scoprire come proteggere il flusso di lavoro dei pagamenti, consulta Proteggere i flussi di lavoro dei pagamenti.
Configura le API di gestione delle schede per assicurarti che i token reCAPTCHA siano validi e che i punteggi siano superiori al valore di soglia.

Se i punteggi non raggiungono o superano il valore di soglia specificato, non eseguire un'autorizzazione della carta o consentire all'utente finale di utilizzarla. Se possibile, consenti alla transazione di procedere al momento dell'acquisto, ma annullala successivamente per evitare di avvisare l'aggressore.
Quando crei le valutazioni, assicurati che soddisfino i seguenti criteri per una transazione riuscita:
- Tutti i token valutati sono validi e hanno un punteggio superiore a un valore di soglia specificato.
- Il valore di expectedAction corrisponde al valore di action specificato durante l'installazione delle chiavi del sito basate su punteggi nelle tue pagine web. Per scoprire come verificare le azioni, consulta Verificare le azioni.
Se una transazione non soddisfa questi criteri, non eseguire un'autorizzazione della carta o consentire all'utente finale di utilizzarla. Se possibile, consenti alla transazione di procedere al momento dell'acquisto, ma annullala più tardi per evitare di avvisare l'aggressore.

Card cracking

Il cracking delle carte è una minaccia automatizzata in cui gli utenti malintenzionati identificano i valori mancanti per la data di inizio, la data di scadenza e i codici di sicurezza per i dati delle carte di pagamento rubate provando valori diversi.

Implementazione minima

Installa le chiavi del sito delle caselle di controllo in tutte le pagine in cui gli utenti finali devono inserire i dettagli di pagamento, incluse le funzioni di pagamento e di aggiunta del metodo di pagamento. Per scoprire come installare le chiavi di sito con casella di controllo, consulta l'articolo Installare chiavi di sito con casella di controllo (verifica con casella di controllo) sui siti web.

Nota:le chiavi dei siti con caselle di controllo aumentano le difficoltà per gli utenti e potrebbero influire sui tassi di conversione.
Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

Installa le chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire i dettagli di pagamento. Specifica un'azione nel parametro action, ad esempio checkout o add_pmtmethod. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
Installa reCAPTCHA per il flusso di lavoro di pagamento sul tuo sito web. Per scoprire come proteggere il flusso di lavoro dei pagamenti, consulta Proteggere i flussi di lavoro dei pagamenti.
Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi del sito basate su punteggi. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Salva tutti gli ID valutazione e annota come fraudulent le valutazioni che si trasformano in acquisti o storni di addebito fraudolenti. Per scoprire come annotare le valutazioni, consulta Annotare una valutazione.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza una delle seguenti strategie di mitigazione delle frodi per proteggere il tuo sito web dal cracking delle carte:

Installa reCAPTCHA per il flusso di lavoro di pagamento sul tuo sito web. Per scoprire come proteggere il flusso di lavoro dei pagamenti, consulta Proteggere i flussi di lavoro dei pagamenti.
Implementa un modello di risposta e crea valutazioni:
1. Crea e implementa un modello di risposta adeguato al rischio basato su punteggi.
  
  L'esempio seguente mostra un modello di risposta di esempio:
  - Per una soglia di punteggio da bassa a intermedia (0,0-0,5), utilizza la gestione del rischio basata sul contesto, ad esempio limitare il numero di tentativi e bloccare gli acquisti superiori a un valore specificato.
  - Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.
  Nota: le soglie di punteggio potrebbero variare a seconda degli utenti e degli utenti malintenzionati. Ti consigliamo di utilizzare la dashboard di analisi di reCAPTCHA per determinare i punteggi migliori su cui intervenire.
2. Quando crei le valutazioni, assicurati che il valore di expectedAction corrisponda a quello di action specificato durante l'installazione delle chiavi del sito basate su punteggi nelle tue pagine web. Se non corrispondono, non eseguire un'autorizzazione della carta o consentire all'utente finale di utilizzarla. Se possibile, consenti alla transazione di procedere al momento dell'acquisto, ma annullala successivamente per evitare di avvisare l'aggressore.

Cracking delle credenziali

Il cracking delle credenziali è una minaccia automatizzata in cui gli aggressori identificano le credenziali di accesso valide provando valori diversi per nomi utente e password.

Implementazione minima

Installa le chiavi del sito delle caselle di controllo in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali, incluse le funzioni di accesso e password dimenticata. Per scoprire come installare le chiavi di sito con casella di controllo, consulta l'articolo Installare chiavi di sito con casella di controllo (verifica con casella di controllo) sui siti web.

Nota:le chiavi dei siti con caselle di controllo aumentano le difficoltà per l'utente e potrebbero influire sui tassi di conversione.
Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

Installa le chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali. Specifica un'azione nel parametro action, ad esempio login o authenticate. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
Consigliato: implementa il rilevamento della divulgazione di password reCAPTCHA per tutti i tentativi di autenticazione. Per scoprire come utilizzare il rilevamento di fughe di password, consulta Rileva la divulgazione di password e le violazioni delle credenziali.
(Facoltativo) Per abilitare il blocco delle interazioni con volume elevato e punteggi reCAPTCHA bassi, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA per WAF e Google Cloud Armor.
Implementa reCAPTCHA Account Defender per analizzare le tendenze del comportamento degli utenti finali durante gli accessi e ricevere indicatori aggiuntivi che possono indicare un ATO. Per scoprire come utilizzare Account Defender di reCAPTCHA, consulta Rilevare e prevenire attività fraudolente relative all'account.
Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi del sito basate su punteggi. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Salva tutti gli ID valutazione e annota la valutazione che sembra fraudolenta, come le acquisizioni di account (ATO) o qualsiasi altra attività fraudolenta. Per scoprire come annotare le valutazioni, consulta Annotare una valutazione.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web dal cracking delle credenziali:

Crea e implementa un modello di risposta adeguato al rischio basato su punteggi.

L'esempio seguente mostra un modello di risposta di esempio:
- Per una soglia di punteggio da bassa a intermedia (0,0-0,5), chiedi all'utente finale di eseguire l'autenticazione a più fattori tramite email o SMS.
- Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.
Nota: le soglie di punteggio potrebbero variare a seconda degli utenti e degli utenti malintenzionati. Ti consigliamo di utilizzare la dashboard di analisi di reCAPTCHA per determinare i punteggi migliori su cui intervenire.
Termina o interrompi le sessioni per gli utenti finali che si autenticano correttamente, ma ricevono una risposta credentialsLeaked: true dal rilevamento delle fughe di password di reCAPTCHA e invia un'email agli utenti finali per cambiare la loro password.
Quando crei le valutazioni, assicurati che il valore di expectedAction corrisponda a quello di action specificato durante l'installazione delle chiavi del sito basate su punteggi nelle tue pagine web. Se non corrispondono, non consentire l'autenticazione.

Credential stuffing

Il credential stuffing è una minaccia automatizzata in cui gli aggressori utilizzano tentativi di accesso di massa per verificare la validità delle coppie di nome utente/password rubate.

Implementazione minima

Installa le chiavi del sito delle caselle di controllo in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali, incluse le funzioni di accesso e password dimenticata. Per scoprire come installare le chiavi di sito con casella di controllo, consulta l'articolo Installare chiavi di sito con casella di controllo (verifica con casella di controllo) sui siti web.

Nota:le chiavi dei siti con caselle di controllo aumentano le difficoltà per l'utente e potrebbero influire sui tassi di conversione.
Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

Installa le chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali. Specifica un'azione nel parametro action, ad esempio login o authenticate. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
Consigliato: implementa il rilevamento della divulgazione di password reCAPTCHA per tutti i tentativi di autenticazione. Per scoprire come utilizzare il rilevamento di fughe di password, consulta Rileva la divulgazione di password e le violazioni delle credenziali.
Implementa reCAPTCHA Account Defender per analizzare le tendenze del comportamento degli utenti finali durante gli accessi e ricevere indicatori aggiuntivi che possono indicare un ATO. Per scoprire come utilizzare Account Defender di reCAPTCHA, consulta Rilevare e prevenire attività fraudolente relative all'account.
(Facoltativo) Per abilitare il blocco delle interazioni con volume elevato e punteggi reCAPTCHA bassi, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA per WAF e Google Cloud Armor.
Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi del sito basate su punteggi. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Salva tutti gli ID valutazione e annota come fraudulent le valutazioni che si trasformano in acquisti o storni di addebito fraudolenti. Per scoprire come annotare le valutazioni, consulta Annotare una valutazione.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web dal credential stuffing:

Crea e implementa un modello di risposta adeguato al rischio basato su punteggi.

L'esempio seguente mostra un modello di risposta di esempio:
- Per la soglia di punteggio reCAPTCHA più bassa (0,0), informa l'utente finale che la sua password non è corretta.
- Per la soglia di punteggio intermedia (0,1-0,5), chiedi all'utente finale di eseguire l'autenticazione a più fattori tramite email o SMS.
- Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.
Nota: le soglie di punteggio potrebbero variare a seconda degli utenti e degli utenti malintenzionati. Ti consigliamo di utilizzare la dashboard di analisi di reCAPTCHA per determinare i punteggi migliori su cui intervenire.
Termina o interrompi le sessioni per gli utenti finali che si autenticano correttamente, ma ricevono una risposta credentialsLeaked: true dal rilevamento delle fughe di password di reCAPTCHA e invia un'email agli utenti finali per cambiare la loro password.
Quando crei le valutazioni, assicurati che il valore di expectedAction corrisponda a quello di action specificato durante l'installazione delle chiavi del sito basate su punteggi nelle tue pagine web. Se non corrispondono, non consentire l'autenticazione.
Nella valutazione, se accountDefenderAssessment=PROFILE_MATCH, consenti all'utente finale di procedere senza problemi.

Prelievo

Il prelievo è una minaccia automatizzata in cui gli attaccanti ottengono valute o oggetti di alto valore tramite l'utilizzo di carte di pagamento rubate e convalidate in precedenza.

Implementazione minima

Installa le chiavi di sito basate sul punteggio in tutte le pagine in cui è possibile effettuare il pagamento. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

Installa le chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali inseriscono le informazioni sulle loro carte regalo. Specifica un'azione, ad esempio add_gift_card. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi del sito basate su punteggi. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web dal prelievo:

Installa reCAPTCHA per il flusso di lavoro di pagamento sul tuo sito web. Per scoprire come proteggere il flusso di lavoro dei pagamenti, consulta Proteggere i flussi di lavoro dei pagamenti.
Implementa un modello di risposta e crea valutazioni:
1. Crea e implementa un modello di risposta adeguato al rischio basato su punteggi.
  
  L'esempio seguente mostra un modello di risposta di esempio:
  - Per una soglia di punteggio da bassa a intermedia (0,0-0,5), utilizza la gestione del rischio basata sul contesto, ad esempio limitare il numero di tentativi e bloccare gli acquisti superiori a un valore specificato.
  - Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.
  Nota: le soglie di punteggio potrebbero variare a seconda degli utenti e degli utenti malintenzionati. Ti consigliamo di utilizzare la dashboard di analisi di reCAPTCHA per determinare i punteggi migliori su cui intervenire.
2. Quando crei le valutazioni, assicurati che il valore di expectedAction corrisponda a quello di action specificato durante l'installazione delle chiavi del sito basate su punteggi nelle tue pagine web. Se non corrispondono, non consentire l'autenticazione. Se possibile, consenti alla transazione di procedere al momento dell'acquisto, ma annullala successivamente per evitare di avvisare l'aggressore.

Creazione dell'account

La creazione di account è una minaccia automatizzata in cui gli attaccanti creano più account per un successivo uso improprio.

Implementazione minima

Installa le chiavi del sito delle caselle di controllo in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali, incluse le funzioni di accesso e password dimenticata. Per scoprire come installare le chiavi di sito con casella di controllo, consulta l'articolo Installare chiavi di sito con casella di controllo (verifica con casella di controllo) sui siti web.

Nota:le chiavi dei siti con caselle di controllo aumentano le difficoltà per gli utenti e potrebbero influire sui tassi di conversione.
Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

Installa chiavi di sito basate sul punteggio in tutte le pagine in cui vengono creati gli account. Specifica un'azione nel parametro action, ad esempio register. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
Consigliato: implementa il rilevamento della divulgazione di password reCAPTCHA per tutti i tentativi di autenticazione. Per scoprire come utilizzare il rilevamento di fughe di password, consulta Rileva la divulgazione di password e le violazioni delle credenziali.
Implementa Account Defender di reCAPTCHA per ricevere ulteriori indicatori che segnalano la creazione di account falsi. Per scoprire come utilizzare Account Defender di reCAPTCHA, consulta Rilevare e prevenire attività fraudolente relative all'account.
(Facoltativo) Per abilitare il blocco delle interazioni con volume elevato e punteggi reCAPTCHA bassi, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA per WAF e Google Cloud Armor.
Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi del sito basate su punteggi. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web dalla creazione di account:

Crea e implementa un modello di risposta adeguato al rischio basato su punteggi.

L'esempio seguente mostra un modello di risposta di esempio:
- Per la soglia di punteggio reCAPTCHA più bassa (0,0), limita le azioni dell'account finché non vengono eseguiti ulteriori controlli antifrode.
- Per la soglia di punteggio intermedia (0,1-0,5), chiedi all'utente finale di eseguire l'autenticazione a più fattori tramite email o SMS.
- Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.
Nota: le soglie di punteggio potrebbero variare a seconda degli utenti e degli utenti malintenzionati. Ti consigliamo di utilizzare la dashboard di analisi di reCAPTCHA per determinare i punteggi migliori su cui intervenire.
Termina o interrompi le sessioni per gli utenti finali che si autenticano correttamente, ma ricevono una risposta credentialsLeaked: true dal rilevamento delle fughe di password di reCAPTCHA e chiedi all'utente di selezionare una nuova password.
Quando crei le valutazioni, assicurati che il valore di expectedAction corrisponda a quello di action specificato durante l'installazione delle chiavi del sito basate su punteggi nelle tue pagine web. Se non corrispondono, non consentire la registrazione o la creazione dell'account.
Nella valutazione, se accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, limita l'accesso dell'account finché non è possibile eseguire ulteriori verifiche.

Modifiche fraudolente di account e indirizzi

Gli utenti malintenzionati potrebbero tentare di modificare i dettagli dell'account, inclusi indirizzi email, numeri di telefono o indirizzi postali, nell'ambito di attività fraudolente o di acquisizione di account.

Implementazione minima

Installa le chiavi del sito delle caselle di controllo in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali, incluse le funzioni di accesso e password dimenticata. Per scoprire come installare le chiavi di sito con casella di controllo, consulta l'articolo Installare chiavi di sito con casella di controllo (verifica con casella di controllo) sui siti web.

Nota:le chiavi dei siti con caselle di controllo aumentano le difficoltà per l'utente e potrebbero influire sui tassi di conversione.
Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

Installa chiavi di sito basate sul punteggio in tutte le pagine in cui vengono creati gli account. Specifica un'azione nel parametro action, ad esempio change_telephone o change_physicalmail. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi del sito basate su punteggi. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Implementa reCAPTCHA Account Defender per analizzare le tendenze del comportamento degli utenti finali durante gli accessi e ricevere indicatori aggiuntivi che possono indicare un ATO. Per scoprire come utilizzare Account Defender di reCAPTCHA, consulta Rilevare e prevenire attività fraudolente relative all'account.
Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web da modifiche fraudolente di account e indirizzi:

Crea e implementa un modello di risposta adeguato al rischio basato su punteggi.

L'esempio seguente mostra un modello di risposta di esempio:
- Per una soglia di punteggio da bassa a intermedia (0,0-0,5), chiedi all'utente finale di eseguire l'autenticazione a più fattori tramite email o SMS.
- Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.
Nota: le soglie di punteggio potrebbero variare a seconda degli utenti e degli utenti malintenzionati. Ti consigliamo di utilizzare la dashboard di analisi di reCAPTCHA per determinare i punteggi migliori su cui intervenire.
Quando crei le valutazioni, assicurati che il valore di expectedAction corrisponda a quello di action specificato durante l'installazione delle chiavi del sito basate su punteggi nelle tue pagine web. Se non corrispondono, non consentire modifiche all'account.
Se nella tua valutazione accountDefenderAssessment non ha l'etichetta PROFILE_MATCH, chiedi all'utente finale di eseguire l'autenticazione a più fattori tramite email o SMS.

Cracking dei token

Il cracking dei token è una minaccia automatizzata in cui gli attaccanti eseguono l'enumerazione collettiva di numeri di coupon, codici coupon e token sconto.

Implementazione minima

Installa le chiavi di sito con caselle di controllo in tutte le pagine in cui gli utenti finali devono inserire i dati della carta regalo. Per scoprire come installare le chiavi di sito con casella di controllo, consulta l'articolo Installare chiavi di sito con casella di controllo (verifica con casella di controllo) sui siti web.

Nota:le chiavi dei siti con caselle di controllo aumentano le difficoltà per l'utente e potrebbero influire sui tassi di conversione.
Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

Installa chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire i dati della carta regalo. Specifica un'azione, ad esempio gift_card_entry. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
(Facoltativo) Per abilitare il blocco delle interazioni con volume elevato e punteggi reCAPTCHA bassi, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA per WAF e Google Cloud Armor.
Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi del sito basate su punteggi. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Salva tutti gli ID valutazione e annota le valutazioni che si trasformano in coupon o carte regalo fraudolenti.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza una delle seguenti strategie di mitigazione delle frodi per proteggere il tuo sito web dal cracking dei token:

Configura le API di gestione delle schede per assicurarti che i token reCAPTCHA siano validi e che i punteggi siano superiori al valore di soglia.

Se i punteggi non raggiungono o superano la soglia specificata, non eseguire un'autorizzazione della carta regalo o della carta di credito né consentire all'utente finale di utilizzare il coupon o la carta regalo. Se possibile, consenti alla transazione di procedere al momento dell'acquisto, ma annullala più tardi per evitare di avvisare l'aggressore.
Quando crei le valutazioni, assicurati che soddisfino i seguenti criteri per una transazione riuscita:
- Tutti i token valutati sono validi e hanno un punteggio superiore a un valore di soglia specificato.
- Il valore di expectedAction corrisponde al valore di action specificato durante l'installazione delle chiavi del sito basate su punteggi nelle tue pagine web. Per scoprire come verificare le azioni, consulta Verificare le azioni.
Se una transazione non soddisfa questi criteri, non eseguire un'autorizzazione per carta regalo o carta di credito né consentire all'utente finale di utilizzare il coupon o la carta regalo. Se possibile, consenti alla transazione di procedere al momento dell'acquisto, ma annullala più tardi per evitare di avvisare l'aggressore.

Scalping

Lo scalping è una minaccia automatizzata in cui gli attaccanti ottengono beni o servizi con disponibilità limitata e preferiti con metodi sleali.

Implementazione minima

Installa le chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire le informazioni relative alla carta regalo. Specifica un'azione nel parametro action, ad esempio add_to_cart. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi del sito basate su punteggi. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

Installa le chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire le informazioni relative alla carta regalo. Specifica un'azione nel parametro action, ad esempio add_to_cart. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
(Facoltativo) Per abilitare il blocco delle interazioni con volume elevato e punteggi reCAPTCHA bassi, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA per WAF e Google Cloud Armor.
Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi del sito basate su punteggi. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web dallo scalping:

Crea e implementa un modello di risposta adeguato al rischio basato su punteggi.

L'esempio seguente mostra un modello di risposta di esempio:
- Per una soglia di punteggio da bassa a intermedia (0,0-0,5), utilizza la gestione del rischio basata sul contesto, ad esempio limitare il numero di tentativi e bloccare gli acquisti superiori a un valore specificato.
- Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.
Nota: le soglie di punteggio potrebbero variare a seconda degli utenti e degli utenti malintenzionati. Ti consigliamo di utilizzare la dashboard di analisi di reCAPTCHA per determinare i punteggi migliori su cui intervenire.
Quando crei le valutazioni, assicurati che il valore di expectedAction corrisponda a quello di action specificato durante l'installazione delle chiavi del sito basate su punteggi nelle tue pagine web. Se non corrispondono, non eseguire l'autorizzazione della carta regalo.

Skewing

Lo skewing è una minaccia automatizzata in cui gli utenti malintenzionati utilizzano ripetuti clic sui link, richieste di pagine o invii di moduli per modificare alcune metriche.

Implementazione minima

Installa chiavi di sito basate sul punteggio in tutte le pagine in cui è possibile uno scostamento delle metriche. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

Installa chiavi di sito basate sul punteggio in tutte le pagine in cui è possibile uno scostamento delle metriche. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
(Facoltativo) Per abilitare il blocco delle interazioni con volume elevato e punteggi reCAPTCHA bassi, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA per WAF e Google Cloud Armor.
Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi del sito basate su punteggi. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web da distorsioni:

Crea e implementa un modello di risposta adeguato al rischio basato su punteggi.

L'esempio seguente mostra un modello di risposta di esempio:

Per una soglia di punteggio da bassa a intermedia (0,0-0,5), utilizza la gestione del rischio basata sul contesto, ad esempio il monitoraggio del numero di volte in cui un utente ha fatto clic su un annuncio o del numero di volte in cui un utente ha ricaricato la pagina. Utilizza questi dati per determinare se conteggiare la metrica.
Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.

Scraping

Lo scraping è una minaccia automatizzata in cui gli attaccanti raccolgono i dati o gli elementi di un sito web in modo automatico.

Implementazione minima

Installa le chiavi del sito basate su punteggi in tutte le pagine in cui si trovano informazioni importanti e nelle pagine comuni di interazione con gli utenti finali. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

Installa le chiavi del sito basate su punteggi in tutte le pagine in cui si trovano informazioni importanti e nelle pagine comuni di interazione con gli utenti finali. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
(Facoltativo) Per abilitare il blocco delle interazioni con volume elevato e punteggi reCAPTCHA bassi, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA per WAF e Google Cloud Armor.
Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza le seguenti strategie di mitigazione delle frodi per proteggere il tuo sito web dallo scraping:

Attiva il blocco delle interazioni con volume elevato e punteggio reCAPTCHA basso integrando reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA per WAF e Google Cloud Armor
Se lo scraping coinvolge le API, utilizza le API di gestione Apigee per ulteriori mitigazioni.

Superamento del CAPTCHA

La compromissione dei CAPTCHA è una minaccia automatizzata in cui gli attaccanti utilizzano l'automazione nel tentativo di analizzare e determinare la risposta ai test CAPTCHA visivi e/o uditivi e ai relativi rompicapi.

Implementazione minima

Installa le chiavi del sito basate su punteggi in tutte le pagine che richiedono l'input utente dell'utente finale, la creazione dell'account, i dati di pagamento o le interazioni dell'utente finale con potenziale di frode. Specifica un'azione descrittiva nel parametro action. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi del sito basate su punteggi. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

Installa le chiavi del sito basate su punteggi in tutte le pagine che richiedono l'inserimento di dati da parte dell'utente finale, la creazione di account, i dati di pagamento o le interazioni dell'utente finale con potenziali attività fraudolente. Specifica un'azione descrittiva nel parametro action. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
(Facoltativo) Per abilitare il blocco delle interazioni con volume elevato e punteggi reCAPTCHA bassi, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA per WAF e Google Cloud Armor.
Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi del sito basate su punteggi. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Salva tutti gli ID valutazione e annota le valutazioni che si trasformano in acquisti o storni di addebito fraudolenti come fraudulent. Per scoprire come annotare le valutazioni, consulta Annotare una valutazione.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza una delle seguenti strategie di mitigazione delle frodi per proteggere il tuo sito web dalla compromissione del CAPTCHA:

Implementa un modello di risposta e crea valutazioni:
1. Crea e implementa un modello di risposta adeguato al rischio basato su punteggi.
  
  L'esempio seguente mostra un modello di risposta di esempio:
  - Per una soglia di punteggio da bassa a intermedia (0,0-0,5), chiedi all'utente finale di eseguire l'autenticazione a più fattori tramite email o SMS.
  - Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.
  Nota: le soglie di punteggio potrebbero variare a seconda degli utenti e degli utenti malintenzionati. Ti consigliamo di utilizzare la dashboard di analisi di reCAPTCHA per determinare i punteggi migliori su cui intervenire.
2. Quando crei le valutazioni, assicurati che il valore di expectedAction corrisponda a quello di action specificato durante l'installazione delle chiavi del sito basate su punteggi nelle tue pagine web. Se non corrispondono, non consentire l'autenticazione.
Se gli utenti finali utilizzano browser web con JavaScript disattivato:
1. Blocca questi utenti finali.
2. Comunica agli utenti finali che il tuo sito web richiede JavaScript per continuare.
Assicurati che la promessa grecaptcha.enterprise.ready venga soddisfatta per impedire il caricamento dei browser degli utenti finali che bloccano lo script di Google. Ciò indica che reCAPTCHA è completamente caricato e non ha riscontrato errori.
Per le API solo web, consigliamo di passare il token reCAPTCHA o il risultato test reCAPTCHA all'API di backend e di consentire l'azione dell'API solo se il token reCAPTCHA è valido e soddisfa un valore di soglia del punteggio. In questo modo, l'utente finale non utilizza l'API senza passare dal sito web.

Best practice per la protezione dalle minacce automatizzate

Carding

Implementazione minima

Implementazione ottimale

Strategia di mitigazione delle frodi

Card cracking

Implementazione minima

Implementazione ottimale

Strategia di mitigazione delle frodi

Cracking delle credenziali

Implementazione minima

Implementazione ottimale

Strategia di mitigazione delle frodi

Credential stuffing

Implementazione minima

Implementazione ottimale

Strategia di mitigazione delle frodi

Prelievo

Implementazione minima

Implementazione ottimale

Strategia di mitigazione delle frodi

Creazione dell'account

Implementazione minima

Implementazione ottimale

Strategia di mitigazione delle frodi

Modifiche fraudolente di account e indirizzi

Implementazione minima

Implementazione ottimale

Strategia di mitigazione delle frodi

Cracking dei token

Implementazione minima

Implementazione ottimale

Strategia di mitigazione delle frodi

Scalping

Implementazione minima

Implementazione ottimale

Strategia di mitigazione delle frodi

Skewing

Implementazione minima

Implementazione ottimale

Strategia di mitigazione delle frodi

Scraping

Implementazione minima

Implementazione ottimale

Strategia di mitigazione delle frodi

Superamento del CAPTCHA

Implementazione minima

Implementazione ottimale

Strategia di mitigazione delle frodi

Passaggi successivi