Questa pagina è stata tradotta dall'API Cloud Translation.

Best practice per la protezione dalle minacce automatiche

Questo documento descrive le implementazioni consigliate di reCAPTCHA e strategie di mitigazione delle frodi per difendersi dai (OWASP Automated Threats (OAT) to Web Applications). Gli architetti aziendali e gli stakeholder della tecnologia possono esaminare queste informazioni per prendere una decisione consapevole sull'implementazione di reCAPTCHA e sulla strategia di mitigazione delle frodi per il loro caso d'uso.

Questo documento contiene le seguenti informazioni per ogni tipo di minaccia:

Implementazione ottimale di reCAPTCHA. Questa implementazione è progettata con le funzionalità pertinenti di reCAPTCHA per la migliore protezione dalle frodi.
Implementazione minima di reCAPTCHA. Questa implementazione è progettata per un livello minimo di protezione dalle frodi.
Strategie consigliate per la mitigazione delle attività fraudolente.

Scegli la strategia di implementazione e mitigazione delle frodi più adatta al tuo caso d'uso. I seguenti fattori possono influire sulla strategia di implementazione e mitigazione delle frodi che scegli:

Le esigenze e le funzionalità di lotta alla frode dell'organizzazione.
Ambiente esistente dell'organizzazione.

Per ulteriori informazioni sulle strategie di mitigazione delle attività fraudolente per il tuo caso d'uso, contatta il nostro team di vendita.

Carding

Il carding è una minaccia automatizzata in cui gli attaccanti effettuano più tentativi di autorizzazione di pagamento per verificare la validità dei dati delle carte di pagamento rubate collettivamente.

Implementazione minima

Installa le chiavi del sito con casella di controllo in tutte le pagine in cui gli utenti finali devono inserire i dati della loro carta di credito. Per scoprire come installare le chiavi di sito della casella di controllo, consulta Installare le chiavi di sito della casella di controllo (verifica della casella di controllo) sui siti web.

Nota: le chiavi dei siti con caselle di controllo aumentano le difficoltà per l'utente e potrebbero influire sui tassi di conversione.
Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

Installa le chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire i dati della loro carta di credito. Specifica un'azione nel parametro action, ad esempio card_entry. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.
Installa reCAPTCHA per il flusso di lavoro dei pagamenti sul tuo sito web. Per scoprire come proteggere flusso di lavoro relativo ai pagamenti, consulta la pagina Proteggere i flussi di lavoro dei pagamenti.
Crea test per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato al momento dell'installazione delle chiavi di sito basate sul punteggio. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Salva tutti gli ID valutazione e annota come fraudulent le valutazioni che si trasformano in acquisti o storni di addebito fraudolenti. Per scoprire come annotare le valutazioni, consulta Annotare una valutazione.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza uno dei seguenti strategie di mitigazione fraudolente per proteggere il tuo sito web dalla carding:

Installa reCAPTCHA per il flusso di lavoro di pagamento sul tuo sito web. Per scoprire come proteggere il flusso di lavoro dei pagamenti, consulta Proteggere i flussi di lavoro dei pagamenti.
Configura le API di gestione delle schede per assicurarti che i token reCAPTCHA siano validi e che i punteggi siano superiori al valore di soglia.

Se i punteggi non raggiungono o superano il valore di soglia specificato, non eseguire un'autorizzazione della carta o consentire all'utente finale di utilizzarla. Se possibile, consenti che la transazione prosegua al momento dell'acquisto, ma annullala in un secondo momento per evitare di rimuovere l'aggressore.
Quando crei le valutazioni, assicurati che soddisfino i seguenti criteri per una transazione riuscita:
- Tutti i token valutati sono validi e hanno un punteggio maggiore rispetto al valore di soglia specificato.
- Il valore di expectedAction corrisponde al valore di action specificato quando installando chiavi di sito basate sul punteggio sulle tue pagine web. Per scoprire come verificare le azioni, consulta verificare le azioni.
Se una transazione non soddisfa questi criteri, non eseguire un'autorizzazione sulla carta o consentire all'utente finale di utilizzare la carta. Se possibile, consenti alla transazione di procedere al momento dell'acquisto, ma annullala successivamente per evitare di avvisare l'aggressore.

Cracking delle carte

Il cracking delle carte è una minaccia automatizzata in cui gli utenti malintenzionati identificano i valori mancanti per la data di inizio, la data di scadenza e i codici di sicurezza per i dati delle carte di pagamento rubate provando valori diversi.

Implementazione minima

Installa le chiavi del sito delle caselle di controllo in tutte le pagine in cui gli utenti finali devono inserire i dettagli di pagamento, incluse le funzioni di pagamento e di aggiunta del metodo di pagamento. Per scoprire come installare le chiavi di sito della casella di controllo, consulta Installare le chiavi di sito della casella di controllo (verifica della casella di controllo) sui siti web.

Nota: le chiavi dei siti con caselle di controllo aumentano le difficoltà per l'utente e potrebbero influire sui tassi di conversione.
Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

Installa le chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire i dettagli di pagamento. Specifica un'azione nel parametro action, ad esempio checkout o add_pmtmethod. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
Installa reCAPTCHA per il flusso di lavoro dei pagamenti sul tuo sito web. Per scoprire come proteggere il flusso di lavoro dei pagamenti, consulta Proteggere i flussi di lavoro dei pagamenti.
Crea test per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato al momento dell'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.
Salva tutti gli ID dei test e annota le valutazioni che si trasformano in fraudolente acquisti o storni di addebito come fraudulent. Per scoprire come annotare le valutazioni, consulta Annotare una valutazione.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza una delle seguenti strategie di mitigazione delle frodi per proteggere il tuo sito web dal cracking delle carte:

Installa reCAPTCHA per il flusso di lavoro di pagamento sul tuo sito web. Per scoprire come proteggere il flusso di lavoro dei pagamenti, consulta Proteggere i flussi di lavoro dei pagamenti.
Implementa un modello di risposta e crea valutazioni:
1. Crea e implementa un modello di risposta adeguato al rischio basato su punteggi.
  
  L'esempio seguente mostra un modello di risposta di esempio:
  - Per una soglia di punteggio da bassa a intermedia (0,0-0,5), utilizza la gestione del rischio basata sul contesto, ad esempio limitare il numero di tentativi e bloccare gli acquisti superiori a un valore specificato.
  - Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza qualsiasi sfida.
  Nota:le soglie del tuo punteggio possono variare a seconda dei tuoi utenti e utenti malintenzionati. Ti consigliamo di utilizzare la dashboard di analisi di reCAPTCHA per determinare i punteggi migliori su cui intervenire.
2. Quando crei le valutazioni, assicurati che il valore di expectedAction corrisponda a quello di action specificato durante l'installazione delle chiavi del sito basate su punteggi nelle tue pagine web. Se non corrispondono, non eseguire un'autorizzazione sulla carta o consentire all'utente finale di utilizzare la carta. Se possibile, consenti alla transazione di procedere al momento dell'acquisto, ma annullala successivamente per evitare di avvisare l'aggressore.

Cracking delle credenziali

Il cracking delle credenziali è una minaccia automatizzata in cui gli autori degli attacchi identificano un accesso valido credenziali provando valori diversi per nomi utente e password.

Implementazione minima

Installa le chiavi di sito delle caselle di controllo su tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali. incluse le funzioni login e forgot my password. Per scoprire come installare le chiavi di sito con casella di controllo, consulta l'articolo Installare chiavi di sito con casella di controllo (verifica con casella di controllo) sui siti web.

Nota: le chiavi dei siti con caselle di controllo aumentano le difficoltà per l'utente e potrebbero influire sui tassi di conversione.
Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

Installa le chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali. Specifica un'azione nel parametro action, ad esempio login o authenticate. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.
Consigliato: implementa il rilevamento di fughe di password reCAPTCHA per tutti i tentativi di autenticazione. Per scoprire come utilizzare il rilevamento delle fughe di password, consulta Rileva fughe di password e credenziali compromesse.
(Facoltativo) Per abilitare il blocco delle interazioni con volume elevato e punteggi reCAPTCHA bassi, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare reCAPTCHA per l'integrazione di WAF e Google Cloud Armor.
Implementa l'account defender di reCAPTCHA per gli utenti finali di tendenza comportamento degli accessi e ricevere ulteriori indicatori che possono indicare ATO. Per scoprire come utilizzare l'account defender di reCAPTCHA, vedi Rilevare e prevenire le attività fraudolente relative all'account.
Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi del sito basate su punteggi. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Salvare tutti gli ID valutazione e annotare i test che sembrano fraudolenti, come takeover degli account (ATO) o qualsiasi altra attività fraudolenta. Per scoprire come annotare le valutazioni, vedi Annotare un test.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente mitigazione delle attività fraudolente strategia per proteggere il sito web dal cracking delle credenziali:

Crea e implementa un modello di risposta adeguato al rischio basato su punteggi.

L'esempio seguente mostra un modello di risposta di esempio:
- Per una soglia di punteggio da basso a intermedio (0,0-0,5), sfida l'utente finale con l'ottimizzazione tramite email o SMS.
- Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.
Nota:le soglie del tuo punteggio possono variare a seconda dei tuoi utenti e utenti malintenzionati. Ti consigliamo di utilizzare la dashboard di analisi di reCAPTCHA per determinare i punteggi migliori su cui intervenire.
Termina o interrompi le sessioni per gli utenti finali che si autenticano correttamente, ma ricevono una risposta credentialsLeaked: true dal rilevamento delle fughe di password di reCAPTCHA e invia un'email agli utenti finali per cambiare la loro password.
Quando crei i test, assicurati che il valore di expectedAction corrisponda al valore di action che hai specificato al momento installando chiavi di sito basate sul punteggio sulle tue pagine web. Se non corrispondono, non consentire l'autenticazione.

Credential stuffing

Il Credential stuffing è una minaccia automatizzata per cui gli aggressori usano l'accesso in massa tenta di verificare la validità delle coppie nome utente/password rubate.

Implementazione minima

Installa le chiavi del sito delle caselle di controllo in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali, incluse le funzioni di accesso e password dimenticata. Per scoprire come installare le chiavi di sito della casella di controllo, consulta Installare le chiavi di sito della casella di controllo (verifica della casella di controllo) sui siti web.

Nota: le chiavi sito delle caselle di controllo aumentano le difficoltà per gli utenti e potrebbero influire sui tassi di conversione.
Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

Installa le chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali. Specifica un'azione nel parametro action, ad esempio login o authenticate. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.
Opzione consigliata: implementa il rilevamento di fughe di password reCAPTCHA per tutti tentativi di autenticazione. Per scoprire come utilizzare il rilevamento di fughe di password, vedi Rilevare fughe di password e credenziali violate.
Implementa l'account defender di reCAPTCHA per gli utenti finali di tendenza comportamento degli accessi e ricevere ulteriori indicatori che possono indicare ATO. Per scoprire come utilizzare l'account defender di reCAPTCHA, vedi Rilevare e prevenire le attività fraudolente relative all'account.
(Facoltativo) Per abilitare il blocco delle interazioni con volume elevato e punteggi reCAPTCHA bassi, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare reCAPTCHA per l'integrazione di WAF e Google Cloud Armor.
Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi del sito basate su punteggi. Per informazioni su come creare i test, consulta Creare una valutazione.
Salva tutti gli ID valutazione e annota come fraudulent le valutazioni che si trasformano in acquisti o storni di addebito fraudolenti. Per scoprire come annotare le valutazioni, vedi Annotare un test.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente mitigazione delle attività fraudolente strategia per proteggere il sito web dal credential stuffing:

Crea e implementa un modello di risposta adeguato al rischio basato su punteggi.

L'esempio seguente mostra un modello di risposta di esempio:
- Per la soglia di punteggio reCAPTCHA più bassa (0,0), informa l'utente finale che la sua password non è corretta.
- Per la soglia di punteggio intermedia (0,1-0,5), chiedi all'utente finale di eseguire l'autenticazione a più fattori tramite email o SMS.
- Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza qualsiasi sfida.
Nota:le soglie del tuo punteggio possono variare a seconda dei tuoi utenti e utenti malintenzionati. Ti consigliamo di utilizzare la dashboard di analisi di reCAPTCHA per determinare i punteggi migliori su cui intervenire.
Termina o interrompi le sessioni per gli utenti finali che si autenticano correttamente, ma ricevono una risposta credentialsLeaked: true dal rilevamento delle fughe di password di reCAPTCHA e invia un'email agli utenti finali per cambiare la loro password.
Quando crei le valutazioni, assicurati che il valore di expectedAction corrisponda a quello di action specificato durante l'installazione delle chiavi del sito basate su punteggi nelle tue pagine web. Se non corrispondono, non consentire l'autenticazione.
Nella tua valutazione, se accountDefenderAssessment=PROFILE_MATCH, consentire all'utente finale di procedere senza alcuna verifica.

Prelievo

Il prelievo è una minaccia automatizzata in cui gli aggressori ottengono valuta o valore elevato mediante l'utilizzo di carte di pagamento rubate e convalidate in precedenza.

Implementazione minima

Installa le chiavi di sito basate sul punteggio in tutte le pagine in cui è possibile effettuare il pagamento. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

Installa chiavi di sito basate sul punteggio su tutte le pagine in cui gli utenti finali inseriscono la carta regalo informazioni. Specifica un'azione come add_gift_card. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
Crea test per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato al momento dell'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.
Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web dal prelievo:

Installa reCAPTCHA per il flusso di lavoro dei pagamenti sul tuo sito web. Per scoprire come proteggere flusso di lavoro relativo ai pagamenti, consulta la pagina Proteggere i flussi di lavoro dei pagamenti.
Implementa un modello di risposta e crea valutazioni:
1. Crea e implementa un modello di risposta adeguato al rischio basato su punteggi.
  
  L'esempio seguente mostra un modello di risposta di esempio:
  - Per una soglia di punteggio da bassa a intermedia (0,0-0,5), utilizza la gestione del rischio basata sul contesto, ad esempio limitare il numero di tentativi e bloccare gli acquisti superiori a un valore specificato.
  - Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza qualsiasi sfida.
  Nota:le soglie del tuo punteggio possono variare a seconda dei tuoi utenti e utenti malintenzionati. Ti consigliamo di utilizzare la dashboard di analisi di reCAPTCHA per determinare i punteggi migliori su cui intervenire.
2. Quando crei le valutazioni, assicurati che il valore di expectedAction corrisponda a quello di action specificato durante l'installazione delle chiavi del sito basate su punteggi nelle tue pagine web. Se non corrispondono, non consentire l'autenticazione. Se possibile, consenti alla transazione di procedere al momento dell'acquisto, ma annullala successivamente per evitare di avvisare l'aggressore.

Creazione dell'account

La creazione di account è una minaccia automatizzata in cui gli aggressori creano più account per un uso improprio successivo.

Implementazione minima

Installa le chiavi di sito delle caselle di controllo su tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali. incluse le funzioni login e forgot my password. Per scoprire come installare le chiavi di sito della casella di controllo, consulta Installare le chiavi di sito della casella di controllo (verifica della casella di controllo) sui siti web.

Nota: le chiavi sito delle caselle di controllo aumentano le difficoltà per gli utenti e potrebbero influire sui tassi di conversione.
Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

Installa chiavi di sito basate sul punteggio su tutte le pagine in cui vengono creati gli account. Specifica un'azione nel parametro action, ad esempio register. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
Opzione consigliata: implementa il rilevamento di fughe di password reCAPTCHA per tutti tentativi di autenticazione. Per scoprire come utilizzare il rilevamento delle fughe di password, consulta Rileva fughe di password e credenziali compromesse.
Implementa l'account defender reCAPTCHA per ricevere ulteriori indicatori che indicano la creazione di account false. Per scoprire come utilizzare l'account defender di reCAPTCHA, vedi Rilevare e prevenire le attività fraudolente relative all'account.
(Facoltativo) Per abilitare il blocco delle interazioni con volume elevato e punteggi reCAPTCHA bassi, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare reCAPTCHA per l'integrazione di WAF e Google Cloud Armor.
Crea test per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato al momento dell'installazione delle chiavi di sito basate sul punteggio. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente mitigazione delle attività fraudolente strategia per proteggere il tuo sito web dalla creazione di account:

Crea e implementa un modello di risposta adeguato al rischio basato su punteggi.

L'esempio seguente mostra un modello di risposta di esempio:
- Per la soglia di punteggio reCAPTCHA più bassa (0,0), limita le azioni dell'account finché non vengono eseguiti ulteriori controlli antifrode.
- Per la soglia di punteggio intermedia (0,1-0,5), chiedi all'utente finale di eseguire l'autenticazione a più fattori tramite email o SMS.
- Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.
Nota: le soglie di punteggio potrebbero variare a seconda degli utenti e degli utenti malintenzionati. Ti consigliamo di utilizzare la dashboard di analisi di reCAPTCHA per determinare i punteggi migliori su cui intervenire.
Termina o interrompi le sessioni per gli utenti finali che si autenticano correttamente, ma ricevono una risposta credentialsLeaked: true dal rilevamento delle fughe di password di reCAPTCHA e chiedi all'utente di selezionare una nuova password.
Quando crei le valutazioni, assicurati che il valore di expectedAction corrisponda a quello di action specificato durante l'installazione delle chiavi del sito basate su punteggi nelle tue pagine web. Se non corrispondono, non consentire la registrazione o la creazione dell'account.
Nella valutazione, se accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, limita l'accesso dell'account finché non sarà possibile eseguire ulteriori verifiche.

Modifiche fraudolente di account e indirizzi

Gli utenti malintenzionati potrebbero tentare di modificare i dettagli dell'account, inclusi indirizzi email, numeri di telefono o indirizzi postali, nell'ambito di attività fraudolente o di acquisizione di account.

Implementazione minima

Installa le chiavi del sito delle caselle di controllo in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali, incluse le funzioni di accesso e password dimenticata. Per scoprire come installare le chiavi di sito con casella di controllo, consulta l'articolo Installare chiavi di sito con casella di controllo (verifica con casella di controllo) sui siti web.

Nota: le chiavi dei siti con caselle di controllo aumentano le difficoltà per l'utente e potrebbero influire sui tassi di conversione.
Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

Installa chiavi di sito basate sul punteggio su tutte le pagine in cui vengono creati gli account. Specifica un'azione nel parametro action, ad esempio change_telephone o change_physicalmail. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.
Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi del sito basate su punteggi. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Implementa reCAPTCHA Account Defender per analizzare le tendenze del comportamento degli utenti finali durante gli accessi e ricevere indicatori aggiuntivi che possono indicare un ATO. Per scoprire come utilizzare Account Defender di reCAPTCHA, consulta Rilevare e prevenire attività fraudolente relative all'account.
Salva tutti gli ID dei test e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web da modifiche fraudolente di account e indirizzi:

Creare e implementare un modello di risposta adeguato per il rischio basato sul punteggio.

L'esempio seguente mostra un modello di risposta di esempio:
- Per una soglia di punteggio da basso a intermedio (0,0-0,5), sfida l'utente finale con l'ottimizzazione tramite email o SMS.
- Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.
Nota:le soglie del tuo punteggio possono variare a seconda dei tuoi utenti e utenti malintenzionati. Ti consigliamo di utilizzare la dashboard di analisi di reCAPTCHA per determinare i punteggi migliori su cui intervenire.
Quando crei i test, assicurati che il valore di expectedAction corrisponda al valore di action che hai specificato al momento installando chiavi di sito basate sul punteggio sulle tue pagine web. Se non corrispondono, non consentire modifiche dell'account.
Se nella tua valutazione accountDefenderAssessment non ha l'etichetta PROFILE_MATCH, chiedi all'utente finale di eseguire l'autenticazione a più fattori tramite email o SMS.

Cracking di token

Il cracking dei token è una minaccia automatizzata in cui gli attaccanti eseguono l'enumerazione collettiva di numeri di coupon, codici coupon e token sconto.

Implementazione minima

Installa le chiavi di sito delle caselle di controllo su tutte le pagine in cui gli utenti finali devono inserire i propri i dati della carta regalo. Per scoprire come installare le chiavi di sito della casella di controllo, consulta Installare le chiavi di sito della casella di controllo (verifica della casella di controllo) sui siti web.

Nota: le chiavi dei siti con caselle di controllo aumentano le difficoltà per l'utente e potrebbero influire sui tassi di conversione.
Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

Installa chiavi di sito basate sul punteggio su tutte le pagine in cui gli utenti finali devono inserire i propri i dati della carta regalo. Specifica un'azione come gift_card_entry. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
(Facoltativo) Per abilitare il blocco delle interazioni con volume elevato e punteggi reCAPTCHA bassi, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare reCAPTCHA per l'integrazione di WAF e Google Cloud Armor.
Crea test per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato al momento dell'installazione delle chiavi di sito basate sul punteggio. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Salva tutti gli ID dei test e annota le valutazioni che si trasformano in fraudolente carte regalo o coupon.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza una delle seguenti attività fraudolente strategie di mitigazione per proteggere il sito web dal cracking dei token:

Configura le API di gestione delle carte per assicurarti che i token reCAPTCHA siano validi e i punteggi sono superiori al valore di soglia.

Se i punteggi non raggiungono o superano la soglia specificata, non eseguire un carta regalo o autorizzazione della carta di credito oppure consentire all'utente finale di utilizzare un coupon, una carta regalo. Se possibile, consenti che la transazione prosegua al momento dell'acquisto, ma annullala in un secondo momento per evitare di rimuovere l'aggressore.
Quando crei le valutazioni, assicurati che soddisfino i seguenti criteri per una transazione riuscita:
- Tutti i token valutati sono validi e hanno un punteggio maggiore rispetto al valore di soglia specificato.
- Il valore di expectedAction corrisponde al valore di action specificato quando installando chiavi di sito basate sul punteggio sulle tue pagine web. Per scoprire come verificare le azioni, consulta Verificare le azioni.
Se una transazione non soddisfa questi criteri, non eseguire un'autorizzazione della carta regalo o della carta di credito né consentire all'utente finale di utilizzare il coupon o la carta regalo. Se possibile, consenti alla transazione di procedere al momento dell'acquisto, ma annullala successivamente per evitare di avvisare l'aggressore.

Scalping

Lo scalping è una minaccia automatizzata in cui gli attaccanti ottengono beni o servizi con disponibilità limitata e preferiti con metodi sleali.

Implementazione minima

Installa le chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire le informazioni relative alla carta regalo. Specifica un'azione nel parametro action, ad esempio add_to_cart. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.
Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi del sito basate su punteggi. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

Installa chiavi di sito basate sul punteggio su tutte le pagine in cui gli utenti finali devono inserire i dati della carta regalo. Specifica un'azione nel parametro action, ad esempio add_to_cart. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
(Facoltativo) Per abilitare il blocco delle interazioni con un volume elevato e con un punteggio di reCAPTCHA basso, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA per WAF e Google Cloud Armor.
Crea test per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato al momento dell'installazione delle chiavi di sito basate sul punteggio. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente mitigazione delle attività fraudolente strategia per proteggere il sito web dallo scalping:

Crea e implementa un modello di risposta adeguato al rischio basato su punteggi.

L'esempio seguente mostra un modello di risposta di esempio:
- Per una soglia di punteggio da bassa a intermedia (0,0-0,5), utilizza la gestione del rischio basata sul contesto, ad esempio limitare il numero di tentativi e bloccare gli acquisti superiori a un valore specificato.
- Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza qualsiasi sfida.
Nota:le soglie del tuo punteggio possono variare a seconda dei tuoi utenti e utenti malintenzionati. Ti consigliamo di utilizzare la dashboard di analisi di reCAPTCHA per determinare i punteggi migliori su cui intervenire.
Quando crei le valutazioni, assicurati che il valore di expectedAction corrisponda a quello di action specificato durante l'installazione delle chiavi del sito basate su punteggi nelle tue pagine web. Se non corrispondono, non esegui l'autorizzazione della carta regalo.

Da schiacciare

Lo skewing è una minaccia automatizzata in cui i malintenzionati utilizzano clic ripetuti sui link, richieste o invii di moduli per modificare alcune metriche.

Implementazione minima

Installa chiavi di sito basate sul punteggio in tutte le pagine in cui è possibile uno scostamento delle metriche. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

Installa le chiavi di sito basate sul punteggio su tutte le pagine in cui è possibile una distorsione delle metriche. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.
(Facoltativo) Per abilitare il blocco delle interazioni con un volume elevato e con un punteggio di reCAPTCHA basso, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare reCAPTCHA per l'integrazione di WAF e Google Cloud Armor.
Crea test per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato al momento dell'installazione delle chiavi di sito basate sul punteggio. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente mitigazione delle attività fraudolente strategia per proteggere il tuo sito web dal disallineamento:

Crea e implementa un modello di risposta adeguato al rischio basato su punteggi.

L'esempio seguente mostra un esempio di modello di risposta:

Per una soglia di punteggio da bassa a intermedia (0,0-0,5), utilizza la gestione del rischio basata sul contesto, ad esempio il monitoraggio del numero di volte in cui un utente ha fatto clic su un annuncio o del numero di volte in cui un utente ha ricaricato la pagina. Utilizza questi dati per determinare se conteggiare la metrica.
Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza qualsiasi sfida.

Raschiare

Lo scraping è una minaccia automatizzata in cui gli attaccanti raccolgono i dati o gli elementi di un sito web in modo automatico.

Implementazione minima

Installa chiavi di sito basate sul punteggio su tutte le pagine in cui si trovano informazioni importanti e su chiavi comuni pagine di interazione con l'utente finale. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.

Implementazione ottimale

Installa chiavi di sito basate sul punteggio su tutte le pagine in cui si trovano informazioni importanti e su chiavi comuni pagine di interazione con l'utente finale. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
(Facoltativo) Per abilitare il blocco delle interazioni con un volume elevato e con un punteggio di reCAPTCHA basso, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare reCAPTCHA per l'integrazione di WAF e Google Cloud Armor.
Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.
Salva tutti gli ID dei test e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente mitigazione delle attività fraudolente strategie per proteggere il tuo sito web dallo scraping:

Attiva il blocco delle interazioni con volume elevato e punteggio reCAPTCHA basso integrando reCAPTCHA con un firewall per applicazioni web (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA per WAF e Google Cloud Armor
Se lo scraping coinvolge le API, utilizza le API di gestione Apigee per ulteriori mitigazioni.

Sconfitta CAPTCHA

La sconfitta del CAPTCHA è una minaccia automatizzata in cui gli aggressori usano l'automazione in tentativo di analizzare e determinare la risposta a un CAPTCHA visivo e/o acustico test e puzzle correlati.

Implementazione minima

Installa le chiavi del sito basate su punteggi in tutte le pagine che richiedono l'inserimento di dati da parte dell'utente finale, la creazione di account, i dati di pagamento o le interazioni dell'utente finale con potenziali attività fraudolente. Specifica un'azione descrittiva nel parametro action. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.
Crea test per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato al momento dell'installazione delle chiavi di sito basate sul punteggio. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

Installare chiavi di sito basate sul punteggio su tutte le pagine che comportano input utente finale. creazione dell'account, dati di pagamento o interazioni dell'utente finale con e il rischio di possibili attività fraudolente. Specifica un'azione descrittiva nel parametro action. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
(Facoltativo) Per abilitare il blocco delle interazioni con un volume elevato e con un punteggio di reCAPTCHA basso, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare reCAPTCHA per l'integrazione di WAF e Google Cloud Armor.
Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action specificato durante l'installazione delle chiavi del sito basate su punteggi. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Salva tutti gli ID dei test e annota le valutazioni che si trasformano in fraudolente acquisti o storni di addebito come fraudulent. Per scoprire come annotare le valutazioni, consulta Annotare una valutazione.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza una delle seguenti attività fraudolente strategie di mitigazione per proteggere il sito web dalla violazione dei CAPTCHA:

Implementa un modello di risposta e crea valutazioni:
1. Crea e implementa un modello di risposta adeguato al rischio basato su punteggi.
  
  L'esempio seguente mostra un modello di risposta di esempio:
  - Per una soglia di punteggio da basso a intermedio (0,0-0,5), sfida l'utente finale con l'ottimizzazione tramite email o SMS.
  - Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.
  Nota:le soglie del tuo punteggio possono variare a seconda dei tuoi utenti e utenti malintenzionati. Ti consigliamo di utilizzare la dashboard di analisi di reCAPTCHA per determinare i punteggi migliori su cui intervenire.
2. Quando crei i test, assicurati che il valore di expectedAction corrisponda al valore di action che hai specificato al momento installando chiavi di sito basate sul punteggio sulle tue pagine web. Se non corrispondono, non consentire l'autenticazione.
Se gli utenti finali utilizzano browser web con JavaScript disattivato:
1. Blocca questi utenti finali.
2. Comunicare agli utenti finali che il tuo sito web richiede JavaScript per procedere.
Assicurati che la promessa relativa a grecaptcha.enterprise.ready sia rispettata per evitare degli utenti finali browser che bloccano il caricamento dello script di Google. Ciò indica che reCAPTCHA è stato caricato completamente e non ha riscontrato errori.
Per le API solo web, consigliamo di passare il token reCAPTCHA o il risultato della valutazione reCAPTCHA all'API di backend e di consentire l'azione dell'API solo se il token reCAPTCHA è valido e soddisfa un valore di soglia del punteggio. In questo modo, l'utente finale non utilizza l'API senza passare dal sito web.

Best practice per la protezione dalle minacce automatiche

Carding

Implementazione minima

Implementazione ottimale

Strategia di mitigazione delle frodi

Cracking delle carte

Implementazione minima

Implementazione ottimale

Strategia di mitigazione delle frodi

Cracking delle credenziali

Implementazione minima

Implementazione ottimale

Strategia di mitigazione delle frodi

Credential stuffing

Implementazione minima

Implementazione ottimale

Strategia di mitigazione delle frodi

Prelievo

Implementazione minima

Implementazione ottimale

Strategia di mitigazione delle frodi

Creazione dell'account

Implementazione minima

Implementazione ottimale

Strategia di mitigazione delle frodi

Modifiche fraudolente di account e indirizzi

Implementazione minima

Implementazione ottimale

Strategia di mitigazione delle frodi

Cracking di token

Implementazione minima

Implementazione ottimale

Strategia di mitigazione delle frodi

Scalping

Implementazione minima

Implementazione ottimale

Strategia di mitigazione delle frodi

Da schiacciare

Implementazione minima

Implementazione ottimale

Strategia di mitigazione delle frodi

Raschiare

Implementazione minima

Implementazione ottimale

Strategia di mitigazione delle frodi

Sconfitta CAPTCHA

Implementazione minima

Implementazione ottimale

Strategia di mitigazione delle frodi

Passaggi successivi