Questo documento descrive le implementazioni consigliate di reCAPTCHA e strategie di mitigazione delle frodi per difendersi dai (OWASP Automated Threats (OAT) to Web Applications). Gli architetti aziendali e gli stakeholder della tecnologia possono esaminare queste informazioni per prendere una decisione consapevole sull'implementazione di reCAPTCHA e sulla strategia di mitigazione delle frodi per il loro caso d'uso.
Questo documento contiene le seguenti informazioni per ogni tipo di minaccia:
Implementazione ottimale di reCAPTCHA. Questa implementazione è progettata con le funzionalità pertinenti di reCAPTCHA per la migliore protezione dalle frodi.
Implementazione minima di reCAPTCHA. Questa implementazione è progettata per un livello minimo di protezione dalle frodi.
Strategie consigliate per la mitigazione delle attività fraudolente.
Scegli la strategia di implementazione e mitigazione delle frodi più adatta al tuo caso d'uso. I seguenti fattori possono influire sulla strategia di implementazione e mitigazione delle frodi che scegli:
- Le esigenze e le funzionalità di lotta alla frode dell'organizzazione.
- Ambiente esistente dell'organizzazione.
Per ulteriori informazioni sulle strategie di mitigazione delle attività fraudolente per il tuo caso d'uso, contatta il nostro team di vendita.
Carding
Il carding è una minaccia automatizzata in cui gli attaccanti effettuano più tentativi di autorizzazione di pagamento per verificare la validità dei dati delle carte di pagamento rubate collettivamente.
Implementazione minima
Installa le chiavi del sito con casella di controllo in tutte le pagine in cui gli utenti finali devono inserire i dati della loro carta di credito. Per scoprire come installare le chiavi di sito della casella di controllo, consulta Installare le chiavi di sito della casella di controllo (verifica della casella di controllo) sui siti web.
Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Implementazione ottimale
Installa le chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire i dati della loro carta di credito. Specifica un'azione nel parametro
action
, ad esempiocard_entry
. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.Installa reCAPTCHA per il flusso di lavoro dei pagamenti sul tuo sito web. Per scoprire come proteggere flusso di lavoro relativo ai pagamenti, consulta la pagina Proteggere i flussi di lavoro dei pagamenti.
Crea test per tutti i token e imposta
expectedAction
in modo che corrisponda al valore diaction
specificato al momento dell'installazione delle chiavi di sito basate sul punteggio. Per scoprire come creare valutazioni, consulta Creare una valutazione.Salva tutti gli ID valutazione e annota come
fraudulent
le valutazioni che si trasformano in acquisti o storni di addebito fraudolenti. Per scoprire come annotare le valutazioni, consulta Annotare una valutazione.
Strategia di mitigazione delle frodi
Dopo aver implementato reCAPTCHA, utilizza uno dei seguenti strategie di mitigazione fraudolente per proteggere il tuo sito web dalla carding:
Installa reCAPTCHA per il flusso di lavoro di pagamento sul tuo sito web. Per scoprire come proteggere il flusso di lavoro dei pagamenti, consulta Proteggere i flussi di lavoro dei pagamenti.
Configura le API di gestione delle schede per assicurarti che i token reCAPTCHA siano validi e che i punteggi siano superiori al valore di soglia.
Se i punteggi non raggiungono o superano il valore di soglia specificato, non eseguire un'autorizzazione della carta o consentire all'utente finale di utilizzarla. Se possibile, consenti che la transazione prosegua al momento dell'acquisto, ma annullala in un secondo momento per evitare di rimuovere l'aggressore.
Quando crei le valutazioni, assicurati che soddisfino i seguenti criteri per una transazione riuscita:
- Tutti i token valutati sono validi e hanno un punteggio maggiore rispetto al valore di soglia specificato.
- Il valore di
expectedAction
corrisponde al valore diaction
specificato quando installando chiavi di sito basate sul punteggio sulle tue pagine web. Per scoprire come verificare le azioni, consulta verificare le azioni.
Se una transazione non soddisfa questi criteri, non eseguire un'autorizzazione sulla carta o consentire all'utente finale di utilizzare la carta. Se possibile, consenti alla transazione di procedere al momento dell'acquisto, ma annullala successivamente per evitare di avvisare l'aggressore.
Cracking delle carte
Il cracking delle carte è una minaccia automatizzata in cui gli utenti malintenzionati identificano i valori mancanti per la data di inizio, la data di scadenza e i codici di sicurezza per i dati delle carte di pagamento rubate provando valori diversi.
Implementazione minima
Installa le chiavi del sito delle caselle di controllo in tutte le pagine in cui gli utenti finali devono inserire i dettagli di pagamento, incluse le funzioni di pagamento e di aggiunta del metodo di pagamento. Per scoprire come installare le chiavi di sito della casella di controllo, consulta Installare le chiavi di sito della casella di controllo (verifica della casella di controllo) sui siti web.
Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.
Implementazione ottimale
Installa le chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire i dettagli di pagamento. Specifica un'azione nel parametro
action
, ad esempiocheckout
oadd_pmtmethod
. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.Installa reCAPTCHA per il flusso di lavoro dei pagamenti sul tuo sito web. Per scoprire come proteggere il flusso di lavoro dei pagamenti, consulta Proteggere i flussi di lavoro dei pagamenti.
Crea test per tutti i token e imposta
expectedAction
in modo che corrisponda al valore diaction
specificato al momento dell'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.Salva tutti gli ID dei test e annota le valutazioni che si trasformano in fraudolente acquisti o storni di addebito come
fraudulent
. Per scoprire come annotare le valutazioni, consulta Annotare una valutazione.
Strategia di mitigazione delle frodi
Dopo aver implementato reCAPTCHA, utilizza una delle seguenti strategie di mitigazione delle frodi per proteggere il tuo sito web dal cracking delle carte:
Installa reCAPTCHA per il flusso di lavoro di pagamento sul tuo sito web. Per scoprire come proteggere il flusso di lavoro dei pagamenti, consulta Proteggere i flussi di lavoro dei pagamenti.
Implementa un modello di risposta e crea valutazioni:
Crea e implementa un modello di risposta adeguato al rischio basato su punteggi.
L'esempio seguente mostra un modello di risposta di esempio:
- Per una soglia di punteggio da bassa a intermedia (0,0-0,5), utilizza la gestione del rischio basata sul contesto, ad esempio limitare il numero di tentativi e bloccare gli acquisti superiori a un valore specificato.
- Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza qualsiasi sfida.
Quando crei le valutazioni, assicurati che il valore di
expectedAction
corrisponda a quello diaction
specificato durante l'installazione delle chiavi del sito basate su punteggi nelle tue pagine web. Se non corrispondono, non eseguire un'autorizzazione sulla carta o consentire all'utente finale di utilizzare la carta. Se possibile, consenti alla transazione di procedere al momento dell'acquisto, ma annullala successivamente per evitare di avvisare l'aggressore.
Cracking delle credenziali
Il cracking delle credenziali è una minaccia automatizzata in cui gli autori degli attacchi identificano un accesso valido credenziali provando valori diversi per nomi utente e password.
Implementazione minima
Installa le chiavi di sito delle caselle di controllo su tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali. incluse le funzioni login e forgot my password. Per scoprire come installare le chiavi di sito con casella di controllo, consulta l'articolo Installare chiavi di sito con casella di controllo (verifica con casella di controllo) sui siti web.
Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Implementazione ottimale
-
Installa le chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali.
Specifica un'azione nel parametro
action
, ad esempiologin
oauthenticate
. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web. - Consigliato: implementa il rilevamento di fughe di password reCAPTCHA per tutti i tentativi di autenticazione. Per scoprire come utilizzare il rilevamento delle fughe di password, consulta Rileva fughe di password e credenziali compromesse.
- (Facoltativo) Per abilitare il blocco delle interazioni con volume elevato e punteggi reCAPTCHA bassi, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare reCAPTCHA per l'integrazione di WAF e Google Cloud Armor.
- Implementa l'account defender di reCAPTCHA per gli utenti finali di tendenza comportamento degli accessi e ricevere ulteriori indicatori che possono indicare ATO. Per scoprire come utilizzare l'account defender di reCAPTCHA, vedi Rilevare e prevenire le attività fraudolente relative all'account.
-
Crea valutazioni per tutti i token e imposta
expectedAction
in modo che corrisponda al valore diaction
specificato durante l'installazione delle chiavi del sito basate su punteggi. Per scoprire come creare valutazioni, consulta Creare una valutazione. - Salvare tutti gli ID valutazione e annotare i test che sembrano fraudolenti, come takeover degli account (ATO) o qualsiasi altra attività fraudolenta. Per scoprire come annotare le valutazioni, vedi Annotare un test.
Strategia di mitigazione delle frodi
Dopo aver implementato reCAPTCHA, utilizza la seguente mitigazione delle attività fraudolente strategia per proteggere il sito web dal cracking delle credenziali:
-
Crea e implementa un modello di risposta adeguato al rischio basato su punteggi.
L'esempio seguente mostra un modello di risposta di esempio:
- Per una soglia di punteggio da basso a intermedio (0,0-0,5), sfida l'utente finale con l'ottimizzazione tramite email o SMS.
- Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.
-
Termina o interrompi le sessioni per gli utenti finali che si autenticano correttamente, ma
ricevono una risposta
credentialsLeaked: true
dal rilevamento delle fughe di password di reCAPTCHA e invia un'email agli utenti finali per cambiare la loro password. -
Quando crei i test, assicurati che il valore di
expectedAction
corrisponda al valore diaction
che hai specificato al momento installando chiavi di sito basate sul punteggio sulle tue pagine web. Se non corrispondono, non consentire l'autenticazione.
Credential stuffing
Il Credential stuffing è una minaccia automatizzata per cui gli aggressori usano l'accesso in massa tenta di verificare la validità delle coppie nome utente/password rubate.
Implementazione minima
Installa le chiavi del sito delle caselle di controllo in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali, incluse le funzioni di accesso e password dimenticata. Per scoprire come installare le chiavi di sito della casella di controllo, consulta Installare le chiavi di sito della casella di controllo (verifica della casella di controllo) sui siti web.
Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.
Implementazione ottimale
-
Installa le chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali.
Specifica un'azione nel parametro
action
, ad esempiologin
oauthenticate
. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web. - Opzione consigliata: implementa il rilevamento di fughe di password reCAPTCHA per tutti tentativi di autenticazione. Per scoprire come utilizzare il rilevamento di fughe di password, vedi Rilevare fughe di password e credenziali violate.
- Implementa l'account defender di reCAPTCHA per gli utenti finali di tendenza comportamento degli accessi e ricevere ulteriori indicatori che possono indicare ATO. Per scoprire come utilizzare l'account defender di reCAPTCHA, vedi Rilevare e prevenire le attività fraudolente relative all'account.
(Facoltativo) Per abilitare il blocco delle interazioni con volume elevato e punteggi reCAPTCHA bassi, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare reCAPTCHA per l'integrazione di WAF e Google Cloud Armor.
Crea valutazioni per tutti i token e imposta
expectedAction
in modo che corrisponda al valore diaction
specificato durante l'installazione delle chiavi del sito basate su punteggi. Per informazioni su come creare i test, consulta Creare una valutazione.Salva tutti gli ID valutazione e annota come
fraudulent
le valutazioni che si trasformano in acquisti o storni di addebito fraudolenti. Per scoprire come annotare le valutazioni, vedi Annotare un test.
Strategia di mitigazione delle frodi
Dopo aver implementato reCAPTCHA, utilizza la seguente mitigazione delle attività fraudolente strategia per proteggere il sito web dal credential stuffing:
-
Crea e implementa un modello di risposta adeguato al rischio basato su punteggi.
L'esempio seguente mostra un modello di risposta di esempio:
- Per la soglia di punteggio reCAPTCHA più bassa (0,0), informa l'utente finale che la sua password non è corretta.
- Per la soglia di punteggio intermedia (0,1-0,5), chiedi all'utente finale di eseguire l'autenticazione a più fattori tramite email o SMS.
- Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza qualsiasi sfida.
-
Termina o interrompi le sessioni per gli utenti finali che si autenticano correttamente, ma
ricevono una risposta
credentialsLeaked: true
dal rilevamento delle fughe di password di reCAPTCHA e invia un'email agli utenti finali per cambiare la loro password. -
Quando crei le valutazioni, assicurati che il valore di
expectedAction
corrisponda a quello diaction
specificato durante l'installazione delle chiavi del sito basate su punteggi nelle tue pagine web. Se non corrispondono, non consentire l'autenticazione. - Nella tua valutazione, se
accountDefenderAssessment
=PROFILE_MATCH
, consentire all'utente finale di procedere senza alcuna verifica.
Prelievo
Il prelievo è una minaccia automatizzata in cui gli aggressori ottengono valuta o valore elevato mediante l'utilizzo di carte di pagamento rubate e convalidate in precedenza.
Implementazione minima
- Installa le chiavi di sito basate sul punteggio in tutte le pagine in cui è possibile effettuare il pagamento. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
- Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Implementazione ottimale
- Installa chiavi di sito basate sul punteggio su tutte le pagine in cui gli utenti finali inseriscono la carta regalo
informazioni. Specifica un'azione come
add_gift_card
. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web. Crea test per tutti i token e imposta
expectedAction
in modo che corrisponda al valore diaction
specificato al momento dell'installazione delle chiavi di sito basate sul punteggio. Per informazioni su come creare i test, consulta Creare una valutazione.Salva tutti gli ID valutazione e annota le transazioni fraudolente.
Strategia di mitigazione delle frodi
Dopo aver implementato reCAPTCHA, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web dal prelievo:
Installa reCAPTCHA per il flusso di lavoro dei pagamenti sul tuo sito web. Per scoprire come proteggere flusso di lavoro relativo ai pagamenti, consulta la pagina Proteggere i flussi di lavoro dei pagamenti.
Implementa un modello di risposta e crea valutazioni:
-
Crea e implementa un modello di risposta adeguato al rischio basato su punteggi.
L'esempio seguente mostra un modello di risposta di esempio:
- Per una soglia di punteggio da bassa a intermedia (0,0-0,5), utilizza la gestione del rischio basata sul contesto, ad esempio limitare il numero di tentativi e bloccare gli acquisti superiori a un valore specificato.
- Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza qualsiasi sfida.
-
Quando crei le valutazioni, assicurati che il valore di
expectedAction
corrisponda a quello diaction
specificato durante l'installazione delle chiavi del sito basate su punteggi nelle tue pagine web. Se non corrispondono, non consentire l'autenticazione. Se possibile, consenti alla transazione di procedere al momento dell'acquisto, ma annullala successivamente per evitare di avvisare l'aggressore.
-
Creazione dell'account
La creazione di account è una minaccia automatizzata in cui gli aggressori creano più account per un uso improprio successivo.
Implementazione minima
Installa le chiavi di sito delle caselle di controllo su tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali. incluse le funzioni login e forgot my password. Per scoprire come installare le chiavi di sito della casella di controllo, consulta Installare le chiavi di sito della casella di controllo (verifica della casella di controllo) sui siti web.
Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Implementazione ottimale
- Installa chiavi di sito basate sul punteggio su tutte le pagine in cui vengono creati gli account.
Specifica un'azione nel parametro
action
, ad esempioregister
. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web. - Opzione consigliata: implementa il rilevamento di fughe di password reCAPTCHA per tutti tentativi di autenticazione. Per scoprire come utilizzare il rilevamento delle fughe di password, consulta Rileva fughe di password e credenziali compromesse.
- Implementa l'account defender reCAPTCHA per ricevere ulteriori indicatori che indicano la creazione di account false. Per scoprire come utilizzare l'account defender di reCAPTCHA, vedi Rilevare e prevenire le attività fraudolente relative all'account.
(Facoltativo) Per abilitare il blocco delle interazioni con volume elevato e punteggi reCAPTCHA bassi, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare reCAPTCHA per l'integrazione di WAF e Google Cloud Armor.
Crea test per tutti i token e imposta
expectedAction
in modo che corrisponda al valore diaction
specificato al momento dell'installazione delle chiavi di sito basate sul punteggio. Per scoprire come creare valutazioni, consulta Creare una valutazione.Salva tutti gli ID valutazione e annota le transazioni fraudolente.
Strategia di mitigazione delle frodi
Dopo aver implementato reCAPTCHA, utilizza la seguente mitigazione delle attività fraudolente strategia per proteggere il tuo sito web dalla creazione di account:
-
Crea e implementa un modello di risposta adeguato al rischio basato su punteggi.
L'esempio seguente mostra un modello di risposta di esempio:
- Per la soglia di punteggio reCAPTCHA più bassa (0,0), limita le azioni dell'account finché non vengono eseguiti ulteriori controlli antifrode.
- Per la soglia di punteggio intermedia (0,1-0,5), chiedi all'utente finale di eseguire l'autenticazione a più fattori tramite email o SMS.
- Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.
- Termina o interrompi le sessioni per gli utenti finali che si autenticano correttamente, ma ricevono una risposta
credentialsLeaked: true
dal rilevamento delle fughe di password di reCAPTCHA e chiedi all'utente di selezionare una nuova password. -
Quando crei le valutazioni, assicurati che il valore di
expectedAction
corrisponda a quello diaction
specificato durante l'installazione delle chiavi del sito basate su punteggi nelle tue pagine web. Se non corrispondono, non consentire la registrazione o la creazione dell'account. - Nella valutazione, se
accountDefenderAssessment
=SUSPICIOUS_ACCOUNT_CREATION
, limita l'accesso dell'account finché non sarà possibile eseguire ulteriori verifiche.
Modifiche fraudolente di account e indirizzi
Gli utenti malintenzionati potrebbero tentare di modificare i dettagli dell'account, inclusi indirizzi email, numeri di telefono o indirizzi postali, nell'ambito di attività fraudolente o di acquisizione di account.
Implementazione minima
Installa le chiavi del sito delle caselle di controllo in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali, incluse le funzioni di accesso e password dimenticata. Per scoprire come installare le chiavi di sito con casella di controllo, consulta l'articolo Installare chiavi di sito con casella di controllo (verifica con casella di controllo) sui siti web.
Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.
Implementazione ottimale
Installa chiavi di sito basate sul punteggio su tutte le pagine in cui vengono creati gli account. Specifica un'azione nel parametro
action
, ad esempiochange_telephone
ochange_physicalmail
. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.Crea valutazioni per tutti i token e imposta
expectedAction
in modo che corrisponda al valore diaction
specificato durante l'installazione delle chiavi del sito basate su punteggi. Per scoprire come creare valutazioni, consulta Creare una valutazione.Implementa reCAPTCHA Account Defender per analizzare le tendenze del comportamento degli utenti finali durante gli accessi e ricevere indicatori aggiuntivi che possono indicare un ATO. Per scoprire come utilizzare Account Defender di reCAPTCHA, consulta Rilevare e prevenire attività fraudolente relative all'account.
Salva tutti gli ID dei test e annota le transazioni fraudolente.
Strategia di mitigazione delle frodi
Dopo aver implementato reCAPTCHA, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web da modifiche fraudolente di account e indirizzi:
Creare e implementare un modello di risposta adeguato per il rischio basato sul punteggio.
L'esempio seguente mostra un modello di risposta di esempio:
- Per una soglia di punteggio da basso a intermedio (0,0-0,5), sfida l'utente finale con l'ottimizzazione tramite email o SMS.
- Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.
Quando crei i test, assicurati che il valore di
expectedAction
corrisponda al valore diaction
che hai specificato al momento installando chiavi di sito basate sul punteggio sulle tue pagine web. Se non corrispondono, non consentire modifiche dell'account.Se nella tua valutazione
accountDefenderAssessment
non ha l'etichettaPROFILE_MATCH
, chiedi all'utente finale di eseguire l'autenticazione a più fattori tramite email o SMS.
Cracking di token
Il cracking dei token è una minaccia automatizzata in cui gli attaccanti eseguono l'enumerazione collettiva di numeri di coupon, codici coupon e token sconto.
Implementazione minima
Installa le chiavi di sito delle caselle di controllo su tutte le pagine in cui gli utenti finali devono inserire i propri i dati della carta regalo. Per scoprire come installare le chiavi di sito della casella di controllo, consulta Installare le chiavi di sito della casella di controllo (verifica della casella di controllo) sui siti web.
Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Implementazione ottimale
Installa chiavi di sito basate sul punteggio su tutte le pagine in cui gli utenti finali devono inserire i propri i dati della carta regalo. Specifica un'azione come
gift_card_entry
. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.(Facoltativo) Per abilitare il blocco delle interazioni con volume elevato e punteggi reCAPTCHA bassi, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare reCAPTCHA per l'integrazione di WAF e Google Cloud Armor.
Crea test per tutti i token e imposta
expectedAction
in modo che corrisponda al valore diaction
specificato al momento dell'installazione delle chiavi di sito basate sul punteggio. Per scoprire come creare valutazioni, consulta Creare una valutazione.Salva tutti gli ID dei test e annota le valutazioni che si trasformano in fraudolente carte regalo o coupon.
Strategia di mitigazione delle frodi
Dopo aver implementato reCAPTCHA, utilizza una delle seguenti attività fraudolente strategie di mitigazione per proteggere il sito web dal cracking dei token:
Configura le API di gestione delle carte per assicurarti che i token reCAPTCHA siano validi e i punteggi sono superiori al valore di soglia.
Se i punteggi non raggiungono o superano la soglia specificata, non eseguire un carta regalo o autorizzazione della carta di credito oppure consentire all'utente finale di utilizzare un coupon, una carta regalo. Se possibile, consenti che la transazione prosegua al momento dell'acquisto, ma annullala in un secondo momento per evitare di rimuovere l'aggressore.
Quando crei le valutazioni, assicurati che soddisfino i seguenti criteri per una transazione riuscita:
- Tutti i token valutati sono validi e hanno un punteggio maggiore rispetto al valore di soglia specificato.
- Il valore di
expectedAction
corrisponde al valore diaction
specificato quando installando chiavi di sito basate sul punteggio sulle tue pagine web. Per scoprire come verificare le azioni, consulta Verificare le azioni.
Se una transazione non soddisfa questi criteri, non eseguire un'autorizzazione della carta regalo o della carta di credito né consentire all'utente finale di utilizzare il coupon o la carta regalo. Se possibile, consenti alla transazione di procedere al momento dell'acquisto, ma annullala successivamente per evitare di avvisare l'aggressore.
Scalping
Lo scalping è una minaccia automatizzata in cui gli attaccanti ottengono beni o servizi con disponibilità limitata e preferiti con metodi sleali.
Implementazione minima
- Installa le chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire
le informazioni relative alla carta regalo. Specifica un'azione nel parametro
action
, ad esempioadd_to_cart
. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web. -
Crea valutazioni per tutti i token e imposta
expectedAction
in modo che corrisponda al valore diaction
specificato durante l'installazione delle chiavi del sito basate su punteggi. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Implementazione ottimale
Installa chiavi di sito basate sul punteggio su tutte le pagine in cui gli utenti finali devono inserire i dati della carta regalo. Specifica un'azione nel parametro
action
, ad esempioadd_to_cart
. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.(Facoltativo) Per abilitare il blocco delle interazioni con un volume elevato e con un punteggio di reCAPTCHA basso, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA per WAF e Google Cloud Armor.
Crea test per tutti i token e imposta
expectedAction
in modo che corrisponda al valore diaction
specificato al momento dell'installazione delle chiavi di sito basate sul punteggio. Per scoprire come creare valutazioni, consulta Creare una valutazione.Salva tutti gli ID valutazione e annota le transazioni fraudolente.
Strategia di mitigazione delle frodi
Dopo aver implementato reCAPTCHA, utilizza la seguente mitigazione delle attività fraudolente strategia per proteggere il sito web dallo scalping:
Crea e implementa un modello di risposta adeguato al rischio basato su punteggi.
L'esempio seguente mostra un modello di risposta di esempio:
- Per una soglia di punteggio da bassa a intermedia (0,0-0,5), utilizza la gestione del rischio basata sul contesto, ad esempio limitare il numero di tentativi e bloccare gli acquisti superiori a un valore specificato.
- Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza qualsiasi sfida.
Quando crei le valutazioni, assicurati che il valore di
expectedAction
corrisponda a quello diaction
specificato durante l'installazione delle chiavi del sito basate su punteggi nelle tue pagine web. Se non corrispondono, non esegui l'autorizzazione della carta regalo.
Da schiacciare
Lo skewing è una minaccia automatizzata in cui i malintenzionati utilizzano clic ripetuti sui link, richieste o invii di moduli per modificare alcune metriche.
Implementazione minima
- Installa chiavi di sito basate sul punteggio in tutte le pagine in cui è possibile uno scostamento delle metriche. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
- Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Implementazione ottimale
Installa le chiavi di sito basate sul punteggio su tutte le pagine in cui è possibile una distorsione delle metriche. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.
(Facoltativo) Per abilitare il blocco delle interazioni con un volume elevato e con un punteggio di reCAPTCHA basso, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare reCAPTCHA per l'integrazione di WAF e Google Cloud Armor.
Crea test per tutti i token e imposta
expectedAction
in modo che corrisponda al valore diaction
specificato al momento dell'installazione delle chiavi di sito basate sul punteggio. Per scoprire come creare valutazioni, consulta Creare una valutazione.Salva tutti gli ID valutazione e annota le transazioni fraudolente.
Strategia di mitigazione delle frodi
Dopo aver implementato reCAPTCHA, utilizza la seguente mitigazione delle attività fraudolente strategia per proteggere il tuo sito web dal disallineamento:
Crea e implementa un modello di risposta adeguato al rischio basato su punteggi.
L'esempio seguente mostra un esempio di modello di risposta:
- Per una soglia di punteggio da bassa a intermedia (0,0-0,5), utilizza la gestione del rischio basata sul contesto, ad esempio il monitoraggio del numero di volte in cui un utente ha fatto clic su un annuncio o del numero di volte in cui un utente ha ricaricato la pagina. Utilizza questi dati per determinare se conteggiare la metrica.
- Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza qualsiasi sfida.
Raschiare
Lo scraping è una minaccia automatizzata in cui gli attaccanti raccolgono i dati o gli elementi di un sito web in modo automatico.
Implementazione minima
- Installa chiavi di sito basate sul punteggio su tutte le pagine in cui si trovano informazioni importanti e su chiavi comuni pagine di interazione con l'utente finale. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
- Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.
Implementazione ottimale
Installa chiavi di sito basate sul punteggio su tutte le pagine in cui si trovano informazioni importanti e su chiavi comuni pagine di interazione con l'utente finale. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web.
(Facoltativo) Per abilitare il blocco delle interazioni con un volume elevato e con un punteggio di reCAPTCHA basso, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare reCAPTCHA per l'integrazione di WAF e Google Cloud Armor.
Crea valutazioni per tutti i token. Per informazioni su come creare i test, consulta Creare una valutazione.
Salva tutti gli ID dei test e annota le transazioni fraudolente.
Strategia di mitigazione delle frodi
Dopo aver implementato reCAPTCHA, utilizza la seguente mitigazione delle attività fraudolente strategie per proteggere il tuo sito web dallo scraping:
- Attiva il blocco delle interazioni con volume elevato e punteggio reCAPTCHA basso integrando reCAPTCHA con un firewall per applicazioni web (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA per WAF e Google Cloud Armor
- Se lo scraping coinvolge le API, utilizza le API di gestione Apigee per ulteriori mitigazioni.
Sconfitta CAPTCHA
La sconfitta del CAPTCHA è una minaccia automatizzata in cui gli aggressori usano l'automazione in tentativo di analizzare e determinare la risposta a un CAPTCHA visivo e/o acustico test e puzzle correlati.
Implementazione minima
Installa le chiavi del sito basate su punteggi in tutte le pagine che richiedono l'inserimento di dati da parte dell'utente finale, la creazione di account, i dati di pagamento o le interazioni dell'utente finale con potenziali attività fraudolente. Specifica un'azione descrittiva nel parametro
action
. Per informazioni su come installare le chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.Crea test per tutti i token e imposta
expectedAction
in modo che corrisponda al valore diaction
specificato al momento dell'installazione delle chiavi di sito basate sul punteggio. Per scoprire come creare valutazioni, consulta Creare una valutazione.
Implementazione ottimale
- Installare chiavi di sito basate sul punteggio su tutte le pagine che comportano input utente finale.
creazione dell'account, dati di pagamento o interazioni dell'utente finale con
e il rischio di possibili attività fraudolente. Specifica un'azione descrittiva nel parametro
action
. Per scoprire come installare le chiavi di sito basate sul punteggio, consulta Installa chiavi di sito basate sul punteggio (senza verifica) sui siti web. (Facoltativo) Per abilitare il blocco delle interazioni con un volume elevato e con un punteggio di reCAPTCHA basso, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare reCAPTCHA per l'integrazione di WAF e Google Cloud Armor.
Crea valutazioni per tutti i token e imposta
expectedAction
in modo che corrisponda al valore diaction
specificato durante l'installazione delle chiavi del sito basate su punteggi. Per scoprire come creare valutazioni, consulta Creare una valutazione.Salva tutti gli ID dei test e annota le valutazioni che si trasformano in fraudolente acquisti o storni di addebito come
fraudulent
. Per scoprire come annotare le valutazioni, consulta Annotare una valutazione.
Strategia di mitigazione delle frodi
Dopo aver implementato reCAPTCHA, utilizza una delle seguenti attività fraudolente strategie di mitigazione per proteggere il sito web dalla violazione dei CAPTCHA:
Implementa un modello di risposta e crea valutazioni:
-
Crea e implementa un modello di risposta adeguato al rischio basato su punteggi.
L'esempio seguente mostra un modello di risposta di esempio:
- Per una soglia di punteggio da basso a intermedio (0,0-0,5), sfida l'utente finale con l'ottimizzazione tramite email o SMS.
- Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcuna verifica.
-
Quando crei i test, assicurati che il valore di
expectedAction
corrisponda al valore diaction
che hai specificato al momento installando chiavi di sito basate sul punteggio sulle tue pagine web. Se non corrispondono, non consentire l'autenticazione.
-
Se gli utenti finali utilizzano browser web con JavaScript disattivato:
- Blocca questi utenti finali.
- Comunicare agli utenti finali che il tuo sito web richiede JavaScript per procedere.
Assicurati che la promessa relativa a
grecaptcha.enterprise.ready
sia rispettata per evitare degli utenti finali browser che bloccano il caricamento dello script di Google. Ciò indica che reCAPTCHA è stato caricato completamente e non ha riscontrato errori.Per le API solo web, consigliamo di passare il token reCAPTCHA o il risultato della valutazione reCAPTCHA all'API di backend e di consentire l'azione dell'API solo se il token reCAPTCHA è valido e soddisfa un valore di soglia del punteggio. In questo modo, l'utente finale non utilizza l'API senza passare dal sito web.
Passaggi successivi
- Installa chiavi di sito basate sul punteggio.
- Installa le chiavi del sito per le caselle di controllo.
- Crea valutazioni.
- Annota le valutazioni.
- Implementa il rilevamento di fughe di password.
- Implementa account defender.