Bonnes pratiques de protection contre les menaces automatisées

Ce document décrit les implémentations recommandées de reCAPTCHA et des stratégies d'atténuation de la fraude pour se défendre contre les systèmes (OWASP Automated Threats (OAT) to Web Applications). Les architectes d'entreprise et les personnes concernées par la technologie peuvent consulter ces informations pour prendre une décision éclairée sur l'implémentation de reCAPTCHA et la stratégie de lutte contre la fraude pour leur cas d'utilisation.

Ce document contient les informations suivantes pour chaque type de menace :

  • Implémentation optimale de reCAPTCHA. Cette implémentation est conçu avec les fonctionnalités pertinentes de reCAPTCHA contre la fraude.

  • Implémentation minimale de reCAPTCHA. Cette implémentation est conçue pour une protection minimale contre la fraude.

  • Stratégies recommandées pour réduire la fraude.

Choisissez la stratégie d'implémentation et d'atténuation des fraudes qui correspond le mieux à votre cas d'utilisation. Les facteurs suivants peuvent influencer l'implémentation et l'atténuation de la fraude que vous avez choisie:

  • Les besoins et les capacités de l'entreprise en matière de lutte contre la fraude
  • Environnement existant de l'organisation.

Pour en savoir plus sur les stratégies de lutte contre la fraude pour votre cas d'utilisation, contactez notre équipe commerciale.

Cardage

Le carding est une menace automatisée qui permet aux pirates informatiques de procéder à plusieurs autorisations de paiement. tente de vérifier la validité des données de cartes de paiement volées en masse.

Implémentation minimale

  1. Installez des clés de site de case à cocher sur toutes les pages sur lesquelles les utilisateurs finaux doivent saisir les informations de leur carte de crédit. Pour savoir comment installer des clés de site de case à cocher, consultez Installer des clés de site de case à cocher (test par case à cocher) sur des sites Web.

  2. Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

  1. Installez les clés de site basées sur des scores sur toutes les pages où les utilisateurs finaux doivent saisir leurs les informations de carte de crédit. Spécifiez une action dans le paramètre action, telle que card_entry. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.

  2. Installez reCAPTCHA pour le workflow de paiement sur votre site Web. Pour savoir comment protéger workflow de paiement, consultez Protéger les workflows de paiement.

  3. Créez des évaluations pour tous les jetons et définissez expectedAction sur la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

  4. Enregistrez tous les ID d'évaluation et annotez les évaluations qui deviennent frauduleuses achats ou rejets de débit comme fraudulent. Pour savoir comment annoter des évaluations, consultez Annoter une évaluation.

Stratégie de lutte contre la fraude

Après avoir implémenté reCAPTCHA, utilisez l'une des stratégies de lutte contre la fraude suivantes pour protéger votre site Web contre le vol de carte :

  • Installez reCAPTCHA pour le workflow de paiement sur votre site Web. Pour savoir comment protéger votre workflow de paiement, consultez Protéger les workflows de paiement.

  • Configurez les API de gestion des cartes pour vous assurer que les jetons reCAPTCHA sont valides et que les scores sont supérieurs à leur valeur seuil.

    Si les scores ne répondent pas ou ne dépassent pas la valeur de seuil spécifiée, n'exécutez pas d'autorisation de carte et n'autorisez pas l'utilisateur final à utiliser la carte. Si possible, autorisez la transaction au moment de l'achat, mais annulez-la plus tard pour éviter d'alerter l'attaquant.

  • Lorsque vous créez des évaluations, assurez-vous qu'elles répondent aux critères suivants pour que la transaction soit réussie:

    • Tous les jetons évalués sont valides et ont un score supérieur à une valeur seuil spécifiée.
    • La valeur de expectedAction correspond à la valeur de action que vous avez spécifiée lorsque installer les clés de site basées sur des scores sur vos pages Web. Pour savoir comment valider des actions, consultez la section Valider des actions.

    Si une transaction ne répond pas à ces critères, n'exécutez pas d'autorisation de carte et n'autorisez pas l'utilisateur final à utiliser la carte. Dans la mesure du possible, autorisez la transaction au moment de l'achat, mais annulez-la. plus tard pour éviter de décourager l’attaquant.

Craquage de carte

Le craquage de cartes est une menace automatisée qui consiste à identifier des valeurs manquantes la date d'expiration et les codes de sécurité des données de cartes de paiement volées en essayant différentes valeurs.

Implémentation minimale

  1. Installez les clés de site à cases à cocher sur toutes les pages où les utilisateurs finaux doivent saisir leurs les détails du paiement, y compris les fonctions de paiement et d'ajout d'un mode de paiement ; Pour savoir comment installer des clés de site de case à cocher, consultez Installer des clés de site de case à cocher (test par case à cocher) sur des sites Web.

  2. Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

  1. Installez les clés de site basées sur des scores sur toutes les pages où les utilisateurs finaux doivent saisir leurs détails du mode de paiement. Spécifiez une action dans le paramètre action, par exemple checkout ou add_pmtmethod. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur des sites Web.

  2. Installez reCAPTCHA pour le workflow de paiement sur votre site Web. Pour savoir comment protéger workflow de paiement, consultez Protéger les workflows de paiement.

  3. Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'il corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

  4. Enregistrez tous les ID d'évaluation et annotez les évaluations qui deviennent frauduleuses achats ou rejets de débit comme fraudulent. Pour savoir comment annoter des évaluations, consultez Annoter une évaluation.

Stratégie d'atténuation de la fraude

Après avoir implémenté reCAPTCHA, utilisez l'une des techniques d'atténuation de la fraude suivantes pour protéger votre site Web contre le piratage de cartes:

  • Installez reCAPTCHA pour le workflow de paiement sur votre site Web. Pour savoir comment protéger votre workflow de paiement, consultez Protéger les workflows de paiement.

  • Implémentez un modèle de réponse et créez des évaluations:

    1. Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur le score.

      L'exemple suivant illustre un modèle de réponse :

      • Pour les seuils de score faible à intermédiaire (0,0 à 0,5), utilisez la gestion des risques basée sur le contexte : en limitant le nombre de tentatives et en bloquant les achats au-delà d'une certaine valeur.
      • Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans défi.

    2. Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Si ce n'est pas le cas, n'exécutez pas d'autorisation de carte ou permettre à l'utilisateur final de l'utiliser. Dans la mesure du possible, autorisez la transaction au moment de l'achat, mais annulez-la. plus tard pour éviter de décourager l’attaquant.

Craquage des identifiants

Le craquage d'identifiants est une menace automatisée qui consiste à identifier des identifiants de connexion valides en essayant différentes valeurs pour les noms d'utilisateurs et les mots de passe.

Implémentation minimale

  1. Installez des clés de site avec case à cocher sur toutes les pages où les utilisateurs finaux doivent saisir leurs identifiants, y compris les fonctions Se connecter et Mot de passe oublié. Pour savoir comment installer des clés de site de case à cocher, consultez Installer des clés de site de case à cocher (test par case à cocher) sur des sites Web.

  2. Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

  1. Installez des clés de site basées sur des scores sur toutes les pages sur lesquelles les utilisateurs finaux doivent saisir leurs identifiants. Spécifiez une action dans le paramètre action, telle que login ou authenticate. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
  2. Recommandation: implémenter la détection de fuite de mots de passe reCAPTCHA pour tous les utilisateurs d'authentification unique. Pour savoir comment utiliser la détection des fuites de mots de passe, consultez Déterminer les fuites de mots de passe et les identifiants volés.
  3. Facultatif: Pour activer le blocage des interactions à volume élevé et à faible score reCAPTCHA, intégrez reCAPTCHA à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser reCAPTCHA pour l'intégration de WAF et Google Cloud Armor.
  4. Implémenter reCAPTCHA Account Defender pour suivre l'évolution de l'utilisateur final lors des connexions et de recevoir des signaux supplémentaires pouvant indiquer ATO. Pour savoir comment utiliser l'outil Account Defender de reCAPTCHA, consultez Détection et prévention des activités frauduleuses liées aux comptes.
  5. Créez des évaluations pour tous les jetons et définissez expectedAction sur la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.
  6. Enregistrez tous les ID d'évaluation et annotez l'évaluation qui semble frauduleuse, comme une prise de contrôle de compte ou toute autre activité frauduleuse. Pour savoir comment annoter des évaluations, consultez Annoter une évaluation.

Stratégie de lutte contre la fraude

Après avoir implémenté reCAPTCHA, utilisez la stratégie d'atténuation de la fraude suivante pour protéger votre site Web contre le craquage d'identifiants:

  1. Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur le score.

    L'exemple suivant illustre un modèle de réponse :

    • Pour un seuil de score faible à intermédiaire (0,0 à 0,5), demandez à l'utilisateur final de s'authentifier avec une authentification multifacteur par e-mail ou SMS.
    • Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans défi.
  2. Mettez fin ou interrompez les sessions des utilisateurs finaux qui s'authentifient, mais reçoivent une réponse credentialsLeaked: true de la détection des fuites de mots de passe reCAPTCHA, puis envoyez-leur un e-mail pour qu'ils modifient leur mot de passe.
  3. Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Si ce n'est pas le cas, n'autorisez pas l'authentification.

Bourrage d'identifiants

Le remplissage d'identifiants est une menace automatisée dans laquelle les pirates informatiques effectuent des tentatives de connexion massives pour vérifier la validité des paires nom d'utilisateur/mot de passe volées.

Implémentation minimale

  1. Installer des clés de site à cases à cocher sur toutes les pages où les utilisateurs finaux doivent saisir leurs identifiants y compris les fonctions login et forgot my password (mon mot de passe). Pour savoir comment installer des clés de site avec case à cocher, consultez Installer des clés de site avec case à cocher (test de case à cocher) sur des sites Web.

  2. Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

  1. Installez des clés de site basées sur des scores sur toutes les pages où les utilisateurs finaux doivent saisir leurs identifiants. Spécifiez une action dans le paramètre action, par exemple login ou authenticate. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur des sites Web.
  2. Recommandation: implémenter la détection de fuite de mots de passe reCAPTCHA pour tous les utilisateurs d'authentification unique. Pour savoir comment utiliser la détection de fuite de mots de passe, consultez Détecter les fuites de mots de passe et les piratages d'identifiants.
  3. Implémenter reCAPTCHA Account Defender pour suivre l'évolution de l'utilisateur final lors des connexions et de recevoir des signaux supplémentaires pouvant indiquer ATO. Pour savoir comment utiliser l'outil Account Defender de reCAPTCHA, consultez Détection et prévention des activités frauduleuses liées aux comptes.
  4. Facultatif : Pour bloquer les interactions à fort volume et à faible score reCAPTCHA, intégrez reCAPTCHA à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser reCAPTCHA pour l'intégration de WAF et de Google Cloud Armor.

  5. Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'il corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

  6. Enregistrez tous les ID d'évaluation et annotez les évaluations qui deviennent frauduleuses achats ou rejets de débit comme fraudulent. Pour savoir comment annoter des évaluations, consultez Annoter une évaluation.

Stratégie d'atténuation de la fraude

Après avoir implémenté reCAPTCHA, utilisez la stratégie de lutte contre la fraude suivante pour protéger votre site Web contre le bourrage d'identifiants :

  1. Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur des scores.

    Voici un exemple de modèle de réponse:

    • Pour obtenir le seuil de score reCAPTCHA le plus bas (0,0), informez l'utilisateur final que son mot de passe est incorrect.
    • Pour le seuil de score intermédiaire (0,1-0,5), interrogez l'utilisateur final avec l'authentification l'authentification par e-mail ou SMS.
    • Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans défi.
  2. Mettez fin ou interrompez les sessions des utilisateurs finaux qui s'authentifient, mais reçoivent une réponse credentialsLeaked: true de la détection des fuites de mots de passe reCAPTCHA, puis envoyez-leur un e-mail pour qu'ils modifient leur mot de passe.
  3. Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de installer les clés de site basées sur des scores sur vos pages Web. Si ce n'est pas le cas, n'autorisez pas l'authentification.
  4. Dans votre évaluation, si accountDefenderAssessment=PROFILE_MATCH, autorisez l'utilisateur final à continuer sans défi.

Retirer de l'argent

Le retrait d'argent est une menace automatisée dans laquelle les pirates informatiques obtiennent de la monnaie ou des articles de grande valeur à l'aide de cartes de paiement volées et validées précédemment.

Implémentation minimale

  1. Installez des clés de site basées sur des scores sur toutes les pages où le règlement est possible. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
  2. Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

  1. Installez des clés de site basées sur des scores sur toutes les pages sur lesquelles les utilisateurs finaux saisissent les informations de leur carte cadeau. Spécifiez une action, par exemple add_gift_card. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
  2. Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'il corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

  3. Enregistrez tous les ID d'évaluation et annotez les transactions frauduleuses.

Stratégie de lutte contre la fraude

Après avoir implémenté reCAPTCHA, utilisez la stratégie de lutte contre la fraude suivante pour protéger votre site Web contre le retrait :

  • Installez reCAPTCHA pour le workflow de paiement sur votre site Web. Pour savoir comment protéger votre workflow de paiement, consultez Protéger les workflows de paiement.

  • Implémentez un modèle de réponse et créez des évaluations:

    1. Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur le score.

      L'exemple suivant illustre un modèle de réponse :

      • Pour les seuils de score faible à intermédiaire (0,0 à 0,5), utilisez la gestion des risques basée sur le contexte : en limitant le nombre de tentatives et en bloquant les achats au-delà d'une certaine valeur.
      • Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans défi.
    2. Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Si ce n'est pas le cas, n'autorisez pas l'authentification. Si possible, autorisez la transaction au moment de l'achat, mais annulez-la plus tard pour éviter d'alerter l'attaquant.

Création d'un compte

La création de compte est une menace automatisée qui permet aux pirates informatiques de créer plusieurs comptes. en cas d'usage abusif ultérieur.

Implémentation minimale

  1. Installez des clés de site avec case à cocher sur toutes les pages où les utilisateurs finaux doivent saisir leurs identifiants, y compris les fonctions Se connecter et Mot de passe oublié. Pour savoir comment installer des clés de site avec case à cocher, consultez Installer des clés de site avec case à cocher (test de case à cocher) sur des sites Web.

  2. Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

  1. Installez des clés de site basées sur des scores sur toutes les pages où des comptes sont créés. Spécifiez une action dans le paramètre action, par exemple register. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur des sites Web.
  2. Recommandation : Implémentez la détection des fuites de mots de passe reCAPTCHA pour toutes les tentatives d'authentification. Pour savoir comment utiliser la détection des fuites de mots de passe, consultez Déterminer les fuites de mots de passe et les identifiants volés.
  3. Implémentez reCAPTCHA Account Defender pour recevoir des indiquant les fausses créations de comptes. Pour savoir comment utiliser l'outil Account Defender de reCAPTCHA, consultez Détection et prévention des activités frauduleuses liées aux comptes.
  4. Facultatif : Pour bloquer les interactions à fort volume et à faible score reCAPTCHA, intégrez reCAPTCHA à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser reCAPTCHA pour l'intégration de WAF et de Google Cloud Armor.

  5. Créez des évaluations pour tous les jetons et définissez expectedAction sur la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

  6. Enregistrez tous les ID d'évaluation et annotez les transactions frauduleuses.

Stratégie de lutte contre la fraude

Après avoir implémenté reCAPTCHA, utilisez la stratégie de lutte contre la fraude suivante pour protéger votre site Web contre la création de comptes :

  1. Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur le score.

    Voici un exemple de modèle de réponse:

    • Pour obtenir le seuil de score reCAPTCHA le plus bas (0,0), limitez les actions du compte jusqu'à ce qu'il soit soumis à d'autres contrôles antifraude.
    • Pour le seuil de score intermédiaire (de 0,1 à 0,5), interrogez l'utilisateur final avec l'authentification multifacteur via e-mail ou SMS.
    • Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans défi.
  2. Mettre fin à ou interrompre des sessions pour les utilisateurs finaux qui s'authentifient avec succès, mais recevoir une réponse credentialsLeaked: true de reCAPTCHA détection de fuite de mot de passe et inviter l’utilisateur à choisir un nouveau mot de passe.
  3. Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de installer les clés de site basées sur des scores sur vos pages Web. Si ce n'est pas le cas, refusez l'enregistrement du compte ou création d'un compte.
  4. Dans votre évaluation, si accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, restreindre l'accès au compte jusqu'à ce qu'une validation supplémentaire puisse être effectuée.

Changements frauduleux de compte et d'adresse

Les pirates informatiques peuvent tenter de modifier les détails d'un compte, y compris les adresses e-mail, numéros de téléphone ou adresses postales lors d'activités frauduleuses les piratages de compte.

Implémentation minimale

  1. Installez des clés de site avec case à cocher sur toutes les pages où les utilisateurs finaux doivent saisir leurs identifiants, y compris les fonctions Se connecter et Mot de passe oublié. Pour savoir comment installer des clés de site avec case à cocher, consultez Installer des clés de site avec case à cocher (test de case à cocher) sur des sites Web.

  2. Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

  1. Installez les clés de site basées sur des scores sur toutes les pages où des comptes sont créés. Spécifiez une action dans le paramètre action, par exemple change_telephone ou change_physicalmail. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur des sites Web.

  2. Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'il corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

  3. Implémenter reCAPTCHA Account Defender pour suivre l'évolution de l'utilisateur final lors des connexions et de recevoir des signaux supplémentaires pouvant indiquer ATO. Pour savoir comment utiliser l'outil Account Defender de reCAPTCHA, consultez Détection et prévention des activités frauduleuses liées aux comptes.

  4. Enregistrez tous les ID d'évaluation et annotez les transactions frauduleuses.

Stratégie de lutte contre la fraude

Après avoir implémenté reCAPTCHA, utilisez la stratégie de lutte contre la fraude suivante pour protéger votre site Web contre les changements de compte et d'adresse frauduleux :

  1. Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur le score.

    L'exemple suivant illustre un modèle de réponse :

    • Pour un seuil de score faible à intermédiaire (0,0 à 0,5), demandez à l'utilisateur final de s'authentifier avec une authentification multifacteur par e-mail ou SMS.
    • Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans défi.

  2. Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de installer les clés de site basées sur des scores sur vos pages Web. Si tel n'est pas le cas, n'autorisez pas les modifications du compte.

  3. Dans votre évaluation, si accountDefenderAssessment ne comporte pas le libellé PROFILE_MATCH, demandez à l'utilisateur final de s'authentifier par authentification multifacteur par e-mail ou par SMS.

Craquage de jetons

Le craquage de jetons est une menace automatisée qui consiste à énumérer en masse les numéros de coupons, les codes de réduction, les jetons de remise.

Implémentation minimale

  1. Installez des clés de site de case à cocher sur toutes les pages sur lesquelles les utilisateurs finaux doivent saisir les informations de leur carte de cadeau. Pour savoir comment installer des clés de site de case à cocher, consultez Installer des clés de site de case à cocher (test par case à cocher) sur des sites Web.

  2. Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

  1. Installez des clés de site basées sur des scores sur toutes les pages sur lesquelles les utilisateurs finaux doivent saisir les informations de leur carte de cadeau. Spécifiez une action, par exemple gift_card_entry. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.

  2. Facultatif : Pour bloquer les interactions à fort volume et à faible score reCAPTCHA, intégrez reCAPTCHA à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser reCAPTCHA pour l'intégration de WAF et de Google Cloud Armor.

  3. Créez des évaluations pour tous les jetons et définissez expectedAction sur la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

  4. Enregistrez tous les ID d'évaluation et annotez les évaluations qui se transforment en cartes ou bons cadeaux frauduleux.

Stratégie d'atténuation de la fraude

Après avoir implémenté reCAPTCHA, utilisez l'une des fraudes suivantes des stratégies d'atténuation pour protéger votre site Web contre le craquage de jetons:

  • Configurer des API de gestion des cartes pour vous assurer que les jetons reCAPTCHA sont valides et les scores sont supérieurs à leur valeur seuil.

    Si les scores ne répondent pas ou ne dépassent pas le seuil spécifié, n'exécutez pas d'autorisation de carte de crédit ou de carte de cadeau, et n'autorisez pas l'utilisateur final à utiliser le bon de réduction ou la carte de cadeau. Si possible, autorisez la transaction au moment de l'achat, mais annulez-la plus tard pour éviter d'alerter l'attaquant.

  • Lorsque vous créez des évaluations, assurez-vous qu'elles répondent aux critères suivants pour que la transaction soit réussie:

    • Tous les jetons évalués sont valides et ont un score supérieur à une valeur seuil spécifiée.
    • La valeur de expectedAction correspond à la valeur de action que vous avez spécifiée lorsque installer les clés de site basées sur des scores sur vos pages Web. Pour savoir comment vérifier les actions, consultez actions de validation.

    Si une transaction ne répond pas à ces critères, n'exécutez pas de l'autorisation de carte de crédit ou de carte cadeau, ou permettre à l'utilisateur final d'utiliser un bon de réduction ou une carte cadeau. Dans la mesure du possible, autorisez la transaction au moment de l'achat, mais annulez-la. plus tard pour éviter de décourager l’attaquant.

Scalping

Le scalping est une menace automatisée par laquelle des pirates informatiques obtiennent des produits ou services à disponibilité limitée et privilégiés par des méthodes déloyales.

Implémentation minimale

  1. Installez des clés de site basées sur des scores sur toutes les pages que les utilisateurs finaux doivent saisir les informations de sa carte cadeau. Spécifiez une action dans le paramètre action, telle que add_to_cart. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
  2. Créez des évaluations pour tous les jetons et définissez expectedAction sur la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

  1. Installez des clés de site basées sur des scores sur toutes les pages sur lesquelles les utilisateurs finaux doivent saisir les informations de leur carte cadeau. Spécifiez une action dans le paramètre action, par exemple add_to_cart. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.

  2. Facultatif : Pour bloquer les interactions à fort volume et à faible score reCAPTCHA, intégrez reCAPTCHA à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser reCAPTCHA pour l'intégration de WAF et Google Cloud Armor.

  3. Créez des évaluations pour tous les jetons et définissez expectedAction sur la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

  4. Enregistrez tous les ID d'évaluation et annotez les transactions frauduleuses.

Stratégie de lutte contre la fraude

Après avoir implémenté reCAPTCHA, utilisez la stratégie de lutte contre la fraude suivante pour protéger votre site Web contre le scalping :

  1. Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur des scores.

    L'exemple suivant illustre un modèle de réponse :

    • Pour les seuils de score faible à intermédiaire (0,0 à 0,5), utilisez la gestion des risques basée sur le contexte : en limitant le nombre de tentatives et en bloquant les achats au-delà d'une certaine valeur.
    • Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans défi.

  2. Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de installer les clés de site basées sur des scores sur vos pages Web. Si ce n'est pas le cas, exécuter l'autorisation de carte cadeau.

Décalage

Le "skewing" est une menace automatisée qui consiste à cliquer de façon répétée sur un lien, ou l'envoi de formulaires pour modifier une métrique.

Implémentation minimale

  1. Installez des clés de site basées sur des scores sur toutes les pages où un biais de métrique est possible. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur des sites Web.
  2. Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

  1. Installez des clés de site basées sur des scores sur toutes les pages où un biais de métrique est possible. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur des sites Web.

  2. Facultatif : Pour bloquer les interactions à fort volume et à faible score reCAPTCHA, intégrez reCAPTCHA à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser reCAPTCHA pour l'intégration de WAF et de Google Cloud Armor.

  3. Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'il corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

  4. Enregistrez tous les ID d'évaluation et annotez les transactions frauduleuses.

Stratégie de lutte contre la fraude

Après avoir implémenté reCAPTCHA, utilisez la stratégie de lutte contre la fraude suivante pour protéger votre site Web contre les biais :

Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur des scores.

L'exemple suivant illustre un modèle de réponse :

  • Pour un seuil de score faible à moyen (0,0 à 0,5), utilisez une gestion des risques basée sur le contexte, par exemple en suivant le nombre de fois où un utilisateur a cliqué sur une annonce ou le nombre de fois où il a actualisé la page. Utilisez ces données pour déterminer si vous devez comptabiliser la métrique.
  • Pour le seuil de score le plus élevé (supérieur à 0,5), autorisez l'utilisateur final à passer n'importe quel défi.

Ramassage

L'exploration est une menace automatisée qui consiste à collecter des données ou des artefacts de site Web de manière automatisée.

Implémentation minimale

  1. Installez des clés de site basées sur des scores sur toutes les pages contenant des informations importantes et sur les pages d'interaction courantes avec l'utilisateur final. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur des sites Web.
  2. Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

  1. Installez des clés de site basées sur des scores sur toutes les pages contenant des informations importantes et sur les pages d'interaction courantes avec l'utilisateur final. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur des sites Web.

  2. Facultatif : Pour bloquer les interactions à fort volume et à faible score reCAPTCHA, intégrez reCAPTCHA à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser reCAPTCHA pour l'intégration de WAF et de Google Cloud Armor.

  3. Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

  4. Enregistrez tous les ID d'évaluation et annotez les transactions frauduleuses.

Stratégie de lutte contre la fraude

Après avoir implémenté reCAPTCHA, utilisez la stratégie d'atténuation de la fraude suivante pour protéger votre site Web contre le détournement de contenu:

Contournement du CAPTCHA

La défaite du CAPTCHA est une menace automatisée dans laquelle les pirates informatiques utilisent l'automatisation pour tenter d'analyser et de déterminer la réponse aux tests CAPTCHA visuels et/ou auditifs et aux énigmes associées.

Implémentation minimale

  1. Installez des clés de site basées sur un score sur toutes les pages impliquant une saisie par l'utilisateur final, la création de compte, des informations de paiement ou des interactions de l'utilisateur final avec un risque de fraude. Spécifiez une action descriptive dans le paramètre action. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur des sites Web.

  2. Créez des évaluations pour tous les jetons et définissez expectedAction sur la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

  1. Installez des clés de site basées sur un score sur toutes les pages impliquant une saisie par l'utilisateur final, la création de compte, des informations de paiement ou des interactions de l'utilisateur final avec un risque de fraude. Spécifiez une action descriptive dans le paramètre action. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur des sites Web.
  2. Facultatif: Pour activer le blocage des interactions à volume élevé et à faible score reCAPTCHA, intégrez reCAPTCHA à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser reCAPTCHA pour l'intégration de WAF et Google Cloud Armor.

  3. Créez des évaluations pour tous les jetons et définissez expectedAction sur la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

  4. Enregistrez tous les ID d'évaluation et annotez les évaluations qui se transforment en achats frauduleux ou en rejets de débit en tant que fraudulent. Pour savoir comment annoter des évaluations, consultez Annoter une évaluation.

Stratégie de lutte contre la fraude

Après avoir implémenté reCAPTCHA, utilisez l'une des fraudes suivantes des stratégies d'atténuation pour protéger votre site Web contre le CAPTCHA:

  • Implémentez un modèle de réponse et créez des évaluations:

    1. Créez et implémentez un modèle de réponse ajusté en fonction du risque basé sur le score.

      L'exemple suivant illustre un modèle de réponse :

      • Pour un seuil de score faible à intermédiaire (0,0 à 0,5), demandez à l'utilisateur final de s'authentifier avec une authentification multifacteur par e-mail ou SMS.
      • Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans défi.
    2. Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de installer les clés de site basées sur des scores sur vos pages Web. Si ce n'est pas le cas, n'autorisez pas l'authentification.
  • Si les utilisateurs finaux utilisent des navigateurs Web sur lesquels JavaScript est désactivé, procédez comme suit :

    1. Bloquez ces utilisateurs finaux.
    2. Informez les utilisateurs finaux que votre site Web nécessite JavaScript pour fonctionner.
  • Assurez-vous que la promesse grecaptcha.enterprise.ready est remplie pour empêcher le chargement des navigateurs des utilisateurs finaux qui bloquent le script Google. Cela indique que reCAPTCHA est entièrement chargé et qu'aucune erreur n'a été détectée.

  • Pour les API Web uniquement, nous vous recommandons de transmettre le jeton reCAPTCHA ou le résultat de l'évaluation reCAPTCHA à l'API backend, puis de n'autoriser l'action de l'API que si le jeton reCAPTCHA est valide et atteint un seuil de score. Cela garantit que la fin l'utilisateur n'utilise pas l'API sans passer par le site Web.

Étape suivante