자동 위협으로부터 보호에 대한 권장사항

이 문서에서는 reCAPTCHA의 권장 구현 및 중요한 자동 위협(웹 애플리케이션의 OWASP 자동 위협(OAT))을 방어하기 위한 사기 방지 전략을 설명합니다. 엔터프라이즈 아키텍트와 기술 이해관계자는 이 정보를 검토하여 사용 사례의 reCAPTCHA 구현 및 사기 방지 전략에 대한 정보에 입각한 결정을 내릴 수 있습니다.

이 문서에는 각 위협 유형에 대한 다음 정보가 포함되어 있습니다.

  • 최적의 reCAPTCHA 구현. 이 구현은 최고의 사기 방지를 위해 reCAPTCHA 관련 기능으로 설계되었습니다.

  • 최소의 reCAPTCHA 구현. 이 구현은 최소의 사기 방지를 위해 설계되었습니다.

  • 권장되는 사기 방지 전략

사용 사례에 가장 적합한 구현 및 사기 방지 전략을 선택합니다. 다음 요소는 선택한 구현 및 사기 방지 전략에 영향을 줄 수 있습니다.

  • 조직의 사기 행위 방지 요구사항 및 기능
  • 조직의 기존 환경

reCAPTCHA의 권장 일반 구현은 reCAPTCHA 사용 권장사항을 참조하세요.

사용 사례에 대한 사기 방지 전략에 대한 자세한 내용은 영업팀에 문의하세요.

카딩

카딩은 공격자가 여러 개의 결제 승인을 시도하여 일괄 도난 결제 카드 데이터의 유효성을 확인하는 자동화된 위협입니다.

최소 구현

  1. 최종 사용자가 신용카드 정보를 입력해야 하는 모든 페이지에 체크박스 사이트 키를 설치합니다. 체크박스 사이트 키를 설치하는 방법을 알아보려면 웹사이트에서 체크박스 사이트 키(체크박스 챌린지) 설치를 참조하세요.

  2. 모든 토큰에 대한 평가를 만듭니다. 평가를 만드는 방법은 평가 작성을 참조하세요.

최적 구현

  1. 최종 사용자가 신용카드 정보를 입력해야 하는 모든 페이지에 점수 기반 사이트 키를 설치합니다. action 매개변수에 작업을 지정합니다(예: card_entry). 점수 기반 사이트 키를 설치하는 방법은 웹사이트에 점수 기반 사이트 키 설치(도전과제 없음)를 참조하세요.

  2. 웹사이트의 결제 워크플로에 reCAPTCHA를 설치합니다. 결제 워크플로를 보호하는 방법은 결제 워크플로 보호를 참조하세요.

  3. 모든 토큰에 대한 평가를 만들고 expectedAction을 점수 기반 사이트 키를 설치할 때 지정한 action 값과 일치하도록 설정합니다. 평가를 만드는 방법은 평가 작성을 참조하세요.

  4. 모든 평가 ID를 저장하고 사기 구매나 지불 거절로 이어지는 평가에 fraudulent로 주석을 추가합니다. 평가에 주석을 추가하는 방법은 평가에 주석 추가를 참조하세요.

사기 방지 전략

reCAPTCHA를 구현한 후 다음 사기 방지 전략 중 하나를 사용하여 웹사이트를 카딩으로부터 보호합니다.

  • 웹사이트의 결제 워크플로에 reCAPTCHA를 설치합니다. 결제 워크플로를 보호하는 방법은 결제 워크플로 보호를 참조하세요.

  • reCAPTCHA 토큰이 유효하고 점수가 기준 값보다 큰지 확인하기 위해 카드 관리 API를 구성합니다.

    점수가 지정된 기준 값을 충족하지 않거나 초과하면 카드 승인을 실행하거나 최종 사용자가 카드를 사용하도록 허용하지 않습니다. 가능하면 구매 시 트랜잭션을 진행할 수 있도록 허용하고, 나중에 트랜잭션을 취소하여 공격자에게 정보를 주지 않도록 해야 합니다.

  • 평가를 생성할 때 성공적인 트랜잭션에 대한 평가가 다음 기준을 충족하는지 확인하세요.

    • 평가된 모든 토큰은 유효하며 점수가 지정된 기준 값보다 큽니다.
    • expectedAction 값은 웹페이지에 점수 기반 사이트 키를 설치할 때 지정한 action 값과 일치합니다. 작업 확인 방법은 작업 확인을 참조하세요.

    트랜잭션이 이러한 기준을 충족하지 않으면 카드 승인을 실행하거나 최종 사용자가 카드를 사용하도록 허용하지 마세요. 가능하면 구매 시 트랜잭션을 진행할 수 있도록 허용하고, 나중에 트랜잭션을 취소하여 공격자에게 정보를 주지 않도록 해야 합니다.

카드 크래킹

카드 크래킹은 공격자가 도난 결제 카드 데이터에 대한 시작일 만료일, 보안 코드 등에 다른 값을 시도하여 누락 값을 식별하는 자동화된 위협입니다.

최소 구현

  1. 최종 사용자가 결제결제 수단 추가 기능 모두 포함하여 결제 세부정보를 입력해야 하는 모든 페이지에 체크박스 사이트 키를 설치합니다. 체크박스 사이트 키를 설치하는 방법을 알아보려면 웹사이트에서 체크박스 사이트 키(체크박스 챌린지) 설치를 참조하세요.

  2. 모든 토큰에 대한 평가를 만듭니다. 평가를 만드는 방법은 평가 작성을 참조하세요.

최적 구현

  1. 최종 사용자가 결제 세부정보를 입력해야 하는 모든 페이지에 점수 기반 사이트 키를 설치합니다. action 매개변수에 checkout 또는 add_pmtmethod와 같은 작업을 지정합니다. 점수 기반 사이트 키를 설치하는 방법은 웹사이트에 점수 기반 사이트 키 설치(도전과제 없음)를 참조하세요.

  2. 웹사이트의 결제 워크플로에 reCAPTCHA를 설치합니다. 결제 워크플로를 보호하는 방법은 결제 워크플로 보호를 참조하세요.

  3. 모든 토큰에 대한 평가를 만들고 expectedAction을 점수 기반 사이트 키를 설치할 때 지정한 action 값과 일치하도록 설정합니다. 평가를 만드는 방법은 평가 작성을 참조하세요.

  4. 모든 평가 ID를 저장하고 사기 구매나 지불 거절로 이어지는 평가에 fraudulent로 주석을 추가합니다. 평가에 주석을 추가하는 방법은 평가에 주석 추가를 참조하세요.

사기 방지 전략

reCAPTCHA를 구현한 후에는 다음 사기 방지 전략 중 하나를 사용하여 카드 크래킹으로부터 웹사이트를 보호합니다.

  • 웹사이트의 결제 워크플로에 reCAPTCHA를 설치합니다. 결제 워크플로를 보호하는 방법은 결제 워크플로 보호를 참조하세요.

  • 응답 모델을 구현하고 평가를 만듭니다.

    1. 점수 기반 위험에 맞게 조정된 응답 모델을 만들고 구현합니다.

      다음 예시는 샘플 응답 모델을 보여줍니다.

      • 낮은 점수에서 중간 점수 기준점(0.0~0.5)의 경우 시도 횟수를 제한하고 지정된 값을 초과하는 구매를 차단하는 등 컨텍스트 기반 위험 관리를 사용합니다.
      • 가장 높은 점수 기준점(0.5 초과)의 경우 최종 사용자가 챌린지 없이 진행하도록 허용합니다.

    2. 평가를 만들 때 expectedAction 값이 웹페이지에 점수 기반 사이트 키를 설치할 때 지정한 action 값과 일치하는지 확인합니다. 일치하지 않는 경우 카드 승인을 실행하거나 최종 사용자가 카드를 사용하도록 허용하지 마세요. 가능하면 구매 시 트랜잭션을 진행할 수 있도록 허용하고, 나중에 트랜잭션을 취소하여 공격자에게 정보를 주지 않도록 해야 합니다.

사용자 인증 정보 크래킹

사용자 인증 정보 크래킹은 공격자가 사용자 이름과 비밀번호에 다른 값을 시도하여 유효한 로그인 사용자 인증 정보를 식별하는 자동화된 위협입니다.

최소 구현

  1. 최종 사용자가 로그인비밀번호 찾기 기능을 모두 포함하여 사용자 인증 정보를 입력해야 하는 모든 페이지에 체크박스 사이트 키를 설치합니다. 체크박스 사이트 키를 설치하는 방법을 알아보려면 웹사이트에서 체크박스 사이트 키(체크박스 챌린지) 설치를 참조하세요.

  2. 모든 토큰에 대한 평가를 만듭니다. 평가를 만드는 방법은 평가 작성을 참조하세요.

최적 구현

  1. 최종 사용자가 자신의 사용자 인증 정보를 입력해야 하는 모든 페이지에 점수 기반 사이트 키를 설치합니다. action 매개변수에 login 또는 authenticate와 같은 작업을 지정합니다. 점수 기반 사이트 키를 설치하는 방법은 웹사이트에 점수 기반 사이트 키 설치(도전과제 없음)를 참조하세요.
  2. 권장: 모든 인증 시도에 reCAPTCHA 비밀번호 유출 감지를 구현합니다. 비밀번호 유출 감지 사용 방법은 비밀번호 유출 및 유출된 사용자 인증 정보 감지를 참조하세요.
  3. (선택사항) 대용량과 낮은 reCAPTCHA 점수 상호작용을 차단하려면 reCAPTCHA를 웹 애플리케이션 방화벽(WAF)과 통합합니다. 예를 들어 WAF 및 Google Cloud Armor 통합에 reCAPTCHA를 사용할 수 있습니다.
  4. 로그인에 대한 최종 사용자 동작을 추세로 나타내고 ATO를 나타낼 수 있는 추가 신호를 받으려면 reCAPTCHA 계정 방어 도구를 구현합니다. reCAPTCHA 계정 방어 도구를 사용하는 방법은 계정 관련 허위 행위 감지 및 방지를 참조하세요.
  5. 모든 토큰에 대한 평가를 만들고 expectedAction을 점수 기반 사이트 키를 설치할 때 지정한 action 값과 일치하도록 설정합니다. 평가를 만드는 방법은 평가 작성을 참조하세요.
  6. 모든 평가 ID를 저장하고 허위로 표시되는 평가(예: 계정 탈취(ATO) 또는 기타 허위 행위)를 주석 처리합니다. 평가에 주석을 추가하는 방법은 평가에 주석 추가를 참조하세요.

사기 방지 전략

reCAPTCHA를 구현한 후에는 다음과 같은 사기 방지 전략을 사용하여 사용자 인증 정보 크래킹으로부터 웹사이트를 보호합니다.

  1. 점수 기반 위험에 맞게 조정된 응답 모델을 만들고 구현합니다.

    다음 예시는 샘플 응답 모델을 보여줍니다.

    • 낮은 점수 또는 중간 점수 기준점(0.0~0.5)의 경우 최종 사용자에게 이메일 또는 SMS를 통한 다중 인증(MFA)을 요청합니다.
    • 가장 높은 점수 기준점(0.5 초과)의 경우 최종 사용자가 챌린지 없이 진행하도록 허용합니다.
  2. 성공적으로 인증했지만 reCAPTCHA 비밀번호 유출 감지에서 credentialsLeaked: true 응답을 받은 최종 사용자의 세션을 종료하거나 중단하고 최종 사용자가 비밀번호를 변경하도록 이메일을 보냅니다.
  3. 평가를 만들 때 expectedAction 값이 웹페이지에 점수 기반 사이트 키를 설치할 때 지정한 action 값과 일치하는지 확인합니다. 일치하지 않으면 인증을 허용하면 안 됩니다.

크리덴셜 스터핑

크리덴셜 스터핑은 공격자가 도용된 사용자 이름/비밀번호 쌍의 유효성을 확인하기 위해 대량 로그인 시도를 사용하는 자동화된 위협입니다.

최소 구현

  1. 최종 사용자가 로그인비밀번호 찾기 기능을 모두 포함하여 사용자 인증 정보를 입력해야 하는 모든 페이지에 체크박스 사이트 키를 설치합니다. 체크박스 사이트 키를 설치하는 방법을 알아보려면 웹사이트에서 체크박스 사이트 키(체크박스 챌린지) 설치를 참조하세요.

  2. 모든 토큰에 대한 평가를 만듭니다. 평가를 만드는 방법은 평가 작성을 참조하세요.

최적 구현

  1. 최종 사용자가 자신의 사용자 인증 정보를 입력해야 하는 모든 페이지에 점수 기반 사이트 키를 설치합니다. action 매개변수에 login 또는 authenticate와 같은 작업을 지정합니다. 점수 기반 사이트 키를 설치하는 방법은 웹사이트에 점수 기반 사이트 키 설치(도전과제 없음)를 참조하세요.
  2. 권장: 모든 인증 시도에 reCAPTCHA 비밀번호 유출 감지를 구현합니다. 비밀번호 유출 감지 사용 방법은 비밀번호 유출 및 유출된 사용자 인증 정보 감지를 참조하세요.
  3. 로그인에 대한 최종 사용자 동작을 추세로 나타내고 ATO를 나타낼 수 있는 추가 신호를 받으려면 reCAPTCHA 계정 방어 도구를 구현합니다. reCAPTCHA 계정 방어 도구를 사용하는 방법은 계정 관련 허위 행위 감지 및 방지를 참조하세요.
  4. (선택사항) 대용량과 낮은 reCAPTCHA 점수 상호작용을 차단하려면 reCAPTCHA를 웹 애플리케이션 방화벽(WAF)과 통합합니다. 예를 들어 WAF 및 Google Cloud Armor 통합에 reCAPTCHA를 사용할 수 있습니다.

  5. 모든 토큰에 대한 평가를 만들고 expectedAction을 점수 기반 사이트 키를 설치할 때 지정한 action 값과 일치하도록 설정합니다. 평가를 만드는 방법은 평가 작성을 참조하세요.

  6. 모든 평가 ID를 저장하고 사기 구매나 지불 거절로 이어지는 평가에 fraudulent로 주석을 추가합니다. 평가에 주석을 추가하는 방법은 평가에 주석 추가를 참조하세요.

사기 방지 전략

reCAPTCHA를 구현한 후에는 다음과 같은 사기 방지 전략을 사용하여 크리덴셜 스터핑으로부터 웹사이트를 보호합니다.

  1. 점수 기반 위험에 맞게 조정된 응답 모델을 만들고 구현합니다.

    다음 예시는 샘플 응답 모델을 보여줍니다.

    • 가장 낮은 reCAPTCHA 점수 기준점(0.0)의 경우 최종 사용자에게 비밀번호가 잘못되었음을 알립니다.
    • 중간 점수 기준점(0.1~0.5)의 경우 최종 사용자에게 이메일 또는 SMS를 통한 다중 인증(MFA)을 요청합니다.
    • 가장 높은 점수 기준점(0.5 초과)의 경우 최종 사용자가 챌린지 없이 진행하도록 허용합니다.
  2. 성공적으로 인증했지만 reCAPTCHA 비밀번호 유출 감지에서 credentialsLeaked: true 응답을 받은 최종 사용자의 세션을 종료하거나 중단하고 최종 사용자가 비밀번호를 변경하도록 이메일을 보냅니다.
  3. 평가를 만들 때 expectedAction 값이 웹페이지에 점수 기반 사이트 키를 설치할 때 지정한 action 값과 일치하는지 확인합니다. 일치하지 않으면 인증을 허용하면 안 됩니다.
  4. 평가에서 accountDefenderAssessment=PROFILE_MATCH인 경우 최종 사용자가 챌린지 없이 진행하도록 허용합니다.

캐싱

캐싱은 공격자가 이전에 검증된 도용된 결제 카드를 활용하여 화폐 또는 가치가 높은 물품을 얻는 자동화된 위협입니다.

최소 구현

  1. 결제가 가능한 모든 페이지에 점수 기반 사이트 키를 설치합니다. 점수 기반 사이트 키를 설치하는 방법은 웹사이트에 점수 기반 사이트 키 설치(도전과제 없음)를 참조하세요.
  2. 모든 토큰에 대한 평가를 만듭니다. 평가를 만드는 방법은 평가 작성을 참조하세요.

최적 구현

  1. 최종 사용자가 자신의 기프트 카드 정보를 입력하는 모든 페이지에 점수 기반 사이트 키를 설치합니다. add_gift_card와 같은 작업을 지정합니다. 점수 기반 사이트 키를 설치하는 방법은 웹사이트에 점수 기반 사이트 키 설치(도전과제 없음)를 참조하세요.
  2. 모든 토큰에 대한 평가를 만들고 expectedAction을 점수 기반 사이트 키를 설치할 때 지정한 action 값과 일치하도록 설정합니다. 평가를 만드는 방법은 평가 작성을 참조하세요.

  3. 모든 평가 ID를 저장하고 허위 트랜잭션에 주석을 추가합니다.

사기 방지 전략

reCAPTCHA를 구현한 후에는 다음 사기 방지 전략을 사용하여 웹사이트가 캐싱되지 않도록 보호하세요.

  • 웹사이트의 결제 워크플로에 reCAPTCHA를 설치합니다. 결제 워크플로를 보호하는 방법은 결제 워크플로 보호를 참조하세요.

  • 응답 모델을 구현하고 평가를 만듭니다.

    1. 점수 기반 위험에 맞게 조정된 응답 모델을 만들고 구현합니다.

      다음 예시는 샘플 응답 모델을 보여줍니다.

      • 낮은 점수에서 중간 점수 기준점(0.0~0.5)의 경우 시도 횟수를 제한하고 지정된 값을 초과하는 구매를 차단하는 등 컨텍스트 기반 위험 관리를 사용합니다.
      • 가장 높은 점수 기준점(0.5 초과)의 경우 최종 사용자가 챌린지 없이 진행하도록 허용합니다.
    2. 평가를 만들 때 expectedAction 값이 웹페이지에 점수 기반 사이트 키를 설치할 때 지정한 action 값과 일치하는지 확인합니다. 일치하지 않으면 인증을 허용하면 안 됩니다. 가능하면 구매 시 트랜잭션을 진행할 수 있도록 허용하고, 나중에 트랜잭션을 취소하여 공격자에게 정보를 주지 않도록 해야 합니다.

계정 생성

계정 생성은 공격자가 이후 오용을 위해 계정을 여러 개 만드는 자동 위협입니다.

최소 구현

  1. 최종 사용자가 로그인비밀번호 찾기 기능을 모두 포함하여 사용자 인증 정보를 입력해야 하는 모든 페이지에 체크박스 사이트 키를 설치합니다. 체크박스 사이트 키를 설치하는 방법을 알아보려면 웹사이트에서 체크박스 사이트 키(체크박스 챌린지) 설치를 참조하세요.

  2. 모든 토큰에 대한 평가를 만듭니다. 평가를 만드는 방법은 평가 작성을 참조하세요.

최적 구현

  1. 계정이 생성된 모든 페이지에 점수 기반 사이트 키를 설치합니다. action 매개변수에 작업을 지정합니다(예: register). 점수 기반 사이트 키를 설치하는 방법은 웹사이트에 점수 기반 사이트 키 설치(도전과제 없음)를 참조하세요.
  2. 권장: 모든 인증 시도에 reCAPTCHA 비밀번호 유출 감지를 구현합니다. 비밀번호 유출 감지 사용 방법은 비밀번호 유출 및 유출된 사용자 인증 정보 감지를 참조하세요.
  3. 가짜 계정 생성을 나타내는 추가 신호를 수신하도록 reCAPTCHA 계정 방어 도구를 구현합니다. reCAPTCHA 계정 방어 도구를 사용하는 방법은 계정 관련 허위 행위 감지 및 방지를 참조하세요.
  4. (선택사항) 대용량과 낮은 reCAPTCHA 점수 상호작용을 차단하려면 reCAPTCHA를 웹 애플리케이션 방화벽(WAF)과 통합합니다. 예를 들어 WAF 및 Google Cloud Armor 통합에 reCAPTCHA를 사용할 수 있습니다.

  5. 모든 토큰에 대한 평가를 만들고 expectedAction을 점수 기반 사이트 키를 설치할 때 지정한 action 값과 일치하도록 설정합니다. 평가를 만드는 방법은 평가 작성을 참조하세요.

  6. 모든 평가 ID를 저장하고 허위 트랜잭션에 주석을 추가합니다.

사기 방지 전략

reCAPTCHA를 구현한 후에는 계정 생성으로부터 웹사이트를 보호하기 위해 다음과 같은 사기 방지 전략을 사용합니다.

  1. 점수 기반 위험에 맞게 조정된 응답 모델을 만들고 구현합니다.

    다음 예시는 샘플 응답 모델을 보여줍니다.

    • 가장 낮은 reCAPTCHA 점수 기준점(0.0)의 경우 추가 사기 확인이 진행될 때까지 계정 작업을 제한합니다.
    • 중간 점수 기준점(0.1~0.5)의 경우 최종 사용자에게 이메일 또는 SMS를 통한 다중 인증(MFA)을 요청합니다.
    • 가장 높은 점수 기준점(0.5 초과)의 경우 최종 사용자가 챌린지 없이 진행하도록 허용합니다.
  2. 성공적으로 인증했지만 reCAPTCHA 비밀번호 유출 감지에서 credentialsLeaked: true 응답을 받은 최종 사용자의 세션을 종료하거나 중단하고 사용자에게 비밀번호를 변경하라는 메시지를 표시합니다.
  3. 평가를 만들 때 expectedAction 값이 웹페이지에 점수 기반 사이트 키를 설치할 때 지정한 action 값과 일치하는지 확인합니다. 일치하지 않으면 계정 등록이나 계정 생성을 허용하지 않습니다.
  4. 평가에서 accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION이면 추가 검증이 수행될 때까지 계정 액세스를 제한합니다.

허위 계정 및 주소 변경

공격자는 사기 행위 또는 계정 탈취의 일환으로 이메일 주소, 전화번호 또는 우편 주소를 비롯한 계정 세부정보를 변경하려고 시도할 수 있습니다.

최소 구현

  1. 최종 사용자가 로그인비밀번호 찾기 기능을 모두 포함하여 사용자 인증 정보를 입력해야 하는 모든 페이지에 체크박스 사이트 키를 설치합니다. 체크박스 사이트 키를 설치하는 방법을 알아보려면 웹사이트에서 체크박스 사이트 키(체크박스 챌린지) 설치를 참조하세요.

  2. 모든 토큰에 대한 평가를 만듭니다. 평가를 만드는 방법은 평가 작성을 참조하세요.

최적 구현

  1. 계정이 생성된 모든 페이지에 점수 기반 사이트 키를 설치합니다. action 매개변수에 change_telephone 또는 change_physicalmail과 같은 작업을 지정합니다. 점수 기반 사이트 키를 설치하는 방법은 웹사이트에 점수 기반 사이트 키 설치(도전과제 없음)를 참조하세요.

  2. 모든 토큰에 대한 평가를 만들고 expectedAction을 점수 기반 사이트 키를 설치할 때 지정한 action 값과 일치하도록 설정합니다. 평가를 만드는 방법은 평가 작성을 참조하세요.

  3. 로그인에 대한 최종 사용자 동작을 추세로 나타내고 ATO를 나타낼 수 있는 추가 신호를 받으려면 reCAPTCHA 계정 방어 도구를 구현합니다. reCAPTCHA 계정 방어 도구를 사용하는 방법은 계정 관련 허위 행위 감지 및 방지를 참조하세요.

  4. 모든 평가 ID를 저장하고 허위 트랜잭션에 주석을 추가합니다.

사기 방지 전략

reCAPTCHA를 구현한 후에는 다음과 같은 사기 방지 전략을 사용하여 사기성 계정 및 주소 변경으로부터 웹사이트를 보호합니다.

  1. 점수 기반 위험에 맞게 조정된 응답 모델을 만들고 구현합니다.

    다음 예시는 샘플 응답 모델을 보여줍니다.

    • 낮은 점수 또는 중간 점수 기준점(0.0~0.5)의 경우 최종 사용자에게 이메일 또는 SMS를 통한 다중 인증(MFA)을 요청합니다.
    • 가장 높은 점수 기준점(0.5 초과)의 경우 최종 사용자가 챌린지 없이 진행하도록 허용합니다.

  2. 평가를 만들 때 expectedAction 값이 웹페이지에 점수 기반 사이트 키를 설치할 때 지정한 action 값과 일치하는지 확인합니다. 일치하지 않으면 계정 변경을 허용하지 마세요.

  3. 평가에서 accountDefenderAssessmentPROFILE_MATCH 라벨이 없으면 이메일 또는 SMS를 통해 최종 사용자에게 다중 인증(MFA) 수행을 요청합니다.

토큰 크래킹

토큰 크래킹은 공격자가 쿠폰 번호, 쿠폰 코드, 할인 토큰을 대규모로 열거하는 자동화된 위협입니다.

최소 구현

  1. 최종 사용자가 기프트 카드 정보를 입력해야 하는 모든 페이지에 체크박스 사이트 키를 설치합니다. 체크박스 사이트 키를 설치하는 방법을 알아보려면 웹사이트에서 체크박스 사이트 키(체크박스 챌린지) 설치를 참조하세요.

  2. 모든 토큰에 대한 평가를 만듭니다. 평가를 만드는 방법은 평가 작성을 참조하세요.

최적 구현

  1. 최종 사용자가 자신의 기프트 카드 정보를 입력해야 하는 모든 페이지에 점수 기반 사이트 키를 설치합니다. gift_card_entry와 같은 작업을 지정합니다. 점수 기반 사이트 키를 설치하는 방법은 웹사이트에 점수 기반 사이트 키 설치(도전과제 없음)를 참조하세요.

  2. (선택사항) 대용량과 낮은 reCAPTCHA 점수 상호작용을 차단하려면 reCAPTCHA를 웹 애플리케이션 방화벽(WAF)과 통합합니다. 예를 들어 WAF 및 Google Cloud Armor 통합에 reCAPTCHA를 사용할 수 있습니다.

  3. 모든 토큰에 대한 평가를 만들고 expectedAction을 점수 기반 사이트 키를 설치할 때 지정한 action 값과 일치하도록 설정합니다. 평가를 만드는 방법은 평가 작성을 참조하세요.

  4. 모든 평가 ID를 저장하고 사기성 기프트 카드 또는 쿠폰으로 전환되는 평가에 주석을 추가합니다.

사기 방지 전략

reCAPTCHA를 구현한 후에는 다음 사기 방지 전략 중 하나를 사용하여 토큰 크래킹으로부터 웹사이트를 보호합니다.

  • reCAPTCHA 토큰이 유효하고 점수가 기준 값보다 큰지 확인하기 위해 카드 관리 API를 구성합니다.

    점수가 지정된 기준을 충족하지 않거나 이를 초과하면 기프트 카드 또는 신용카드 승인을 실행하거나 최종 사용자가 쿠폰, 기프트 카드를 사용하도록 허용하지 않습니다. 가능하면 구매 시 트랜잭션을 진행할 수 있도록 허용하고, 나중에 트랜잭션을 취소하여 공격자에게 정보를 주지 않도록 해야 합니다.

  • 평가를 생성할 때 성공적인 트랜잭션에 대한 평가가 다음 기준을 충족하는지 확인하세요.

    • 평가된 모든 토큰은 유효하며 점수가 지정된 기준 값보다 큽니다.
    • expectedAction 값은 웹페이지에 점수 기반 사이트 키를 설치할 때 지정한 action 값과 일치합니다. 작업 확인 방법은 작업 확인을 참조하세요.

    트랜잭션이 이러한 기준을 충족하지 않으면 기프트 카드 또는 신용카드 승인을 실행하거나 최종 사용자가 쿠폰 또는 기프트 카드를 사용하도록 허용하지 않습니다. 가능하면 구매 시 트랜잭션을 진행할 수 있도록 허용하고, 나중에 트랜잭션을 취소하여 공격자에게 정보를 주지 않도록 해야 합니다.

스캘핑

스캘핑은 공격자가 부당한 방법을 사용하여 제한된 가용성과 선호하는 상품 또는 서비스를 얻는 자동화된 위협입니다.

최소 구현

  1. 최종 사용자가 자신의 기프트 카드 정보를 입력해야 하는 모든 페이지에 점수 기반 사이트 키를 설치합니다. action 매개변수에 작업을 지정합니다(예: add_to_cart). 점수 기반 사이트 키를 설치하는 방법은 웹사이트에 점수 기반 사이트 키 설치(도전과제 없음)를 참조하세요.
  2. 모든 토큰에 대한 평가를 만들고 expectedAction을 점수 기반 사이트 키를 설치할 때 지정한 action 값과 일치하도록 설정합니다. 평가를 만드는 방법은 평가 작성을 참조하세요.

최적 구현

  1. 최종 사용자가 자신의 기프트 카드 정보를 입력해야 하는 모든 페이지에 점수 기반 사이트 키를 설치합니다. action 매개변수에 작업을 지정합니다(예: add_to_cart). 점수 기반 사이트 키를 설치하는 방법은 웹사이트에 점수 기반 사이트 키 설치(도전과제 없음)를 참조하세요.

  2. (선택사항) 대용량과 낮은 reCAPTCHA 점수 상호작용을 차단하려면 reCAPTCHA를 웹 애플리케이션 방화벽(WAF)과 통합합니다. 예를 들어 WAF 및 Google Cloud Armor 통합에 reCAPTCHA를 사용할 수 있습니다.

  3. 모든 토큰에 대한 평가를 만들고 expectedAction을 점수 기반 사이트 키를 설치할 때 지정한 action 값과 일치하도록 설정합니다. 평가를 만드는 방법은 평가 작성을 참조하세요.

  4. 모든 평가 ID를 저장하고 허위 트랜잭션에 주석을 추가합니다.

사기 방지 전략

reCAPTCHA를 구현한 후에는 다음과 같은 사기 방지 전략을 사용하여 웹사이트를 스캘핑으로부터 보호합니다.

  1. 점수 기반 위험에 맞게 조정된 응답 모델을 만들고 구현합니다.

    다음 예시는 샘플 응답 모델을 보여줍니다.

    • 낮은 점수에서 중간 점수 기준점(0.0~0.5)의 경우 시도 횟수를 제한하고 지정된 값을 초과하는 구매를 차단하는 등 컨텍스트 기반 위험 관리를 사용합니다.
    • 가장 높은 점수 기준점(0.5 초과)의 경우 최종 사용자가 챌린지 없이 진행하도록 허용합니다.

  2. 평가를 만들 때 expectedAction 값이 웹페이지에 점수 기반 사이트 키를 설치할 때 지정한 action 값과 일치하는지 확인합니다. 일치하지 않는 경우 기프트 카드 승인을 실행하지 마세요.

편향

편향은 공격자가 반복적인 링크 클릭, 페이지 요청 또는 양식 제출을 사용하여 일부 측정항목을 변경하는 자동화된 위협입니다.

최소 구현

  1. 측정항목 편향이 가능한 모든 페이지에 점수 기반 사이트 키를 설치합니다. 점수 기반 사이트 키를 설치하는 방법은 웹사이트에 점수 기반 사이트 키 설치(도전과제 없음)를 참조하세요.
  2. 모든 토큰에 대한 평가를 만듭니다. 평가를 만드는 방법은 평가 작성을 참조하세요.

최적 구현

  1. 측정항목 편향이 가능한 모든 페이지에 점수 기반 사이트 키를 설치합니다. 점수 기반 사이트 키를 설치하는 방법은 웹사이트에 점수 기반 사이트 키 설치(도전과제 없음)를 참조하세요.

  2. (선택사항) 대용량과 낮은 reCAPTCHA 점수 상호작용을 차단하려면 reCAPTCHA를 웹 애플리케이션 방화벽(WAF)과 통합합니다. 예를 들어 WAF 및 Google Cloud Armor 통합에 reCAPTCHA를 사용할 수 있습니다.

  3. 모든 토큰에 대한 평가를 만들고 expectedAction을 점수 기반 사이트 키를 설치할 때 지정한 action 값과 일치하도록 설정합니다. 평가를 만드는 방법은 평가 작성을 참조하세요.

  4. 모든 평가 ID를 저장하고 허위 트랜잭션에 주석을 추가합니다.

사기 방지 전략

reCAPTCHA를 구현한 후에는 다음과 같은 사기 방지 전략을 사용하여 웹사이트가 편향되지 않도록 보호합니다.

점수 기반 위험에 맞게 조정된 응답 모델을 만들고 구현합니다.

다음 예시는 샘플 응답 모델을 보여줍니다.

  • 낮은 점수 또는 중간 점수 기준점(0.0~0.5)의 경우 사용자가 광고를 클릭한 횟수 또는 사용자가 페이지를 새로고친 횟수와 같은 컨텍스트 기반 위험 관리를 사용합니다. 이 데이터를 사용하여 측정항목 계산 여부를 결정합니다.
  • 가장 높은 점수 기준점(0.5 초과)의 경우 최종 사용자가 챌린지 없이 진행하도록 허용합니다.

스크래핑

스크래핑은 공격자가 웹사이트 데이터 또는 아티팩트를 자동화된 방식으로 수집하는 자동화된 위협입니다.

최소 구현

  1. 중요한 정보가 있는 모든 페이지와 일반적인 주요 최종 사용자 상호작용 페이지에 점수 기반 사이트 키를 설치합니다. 점수 기반 사이트 키를 설치하는 방법은 웹사이트에 점수 기반 사이트 키 설치(도전과제 없음)를 참조하세요.
  2. 모든 토큰에 대한 평가를 만듭니다. 평가를 만드는 방법은 평가 작성을 참조하세요.

최적 구현

  1. 중요한 정보가 있는 모든 페이지와 일반적인 주요 최종 사용자 상호작용 페이지에 점수 기반 사이트 키를 설치합니다. 점수 기반 사이트 키를 설치하는 방법은 웹사이트에 점수 기반 사이트 키 설치(도전과제 없음)를 참조하세요.

  2. (선택사항) 대용량과 낮은 reCAPTCHA 점수 상호작용을 차단하려면 reCAPTCHA를 웹 애플리케이션 방화벽(WAF)과 통합합니다. 예를 들어 WAF 및 Google Cloud Armor 통합에 reCAPTCHA를 사용할 수 있습니다.

  3. 모든 토큰에 대한 평가를 만듭니다. 평가를 만드는 방법은 평가 작성을 참조하세요.

  4. 모든 평가 ID를 저장하고 허위 트랜잭션에 주석을 추가합니다.

사기 방지 전략

reCAPTCHA를 구현한 후에는 다음과 같은 사기 방지 전략을 사용하여 웹사이트가 스크래핑되지 않도록 보호합니다.

  • reCAPTCHA를 웹 애플리케이션 방화벽(WAF)과 통합하여 대용량 및 낮은 reCAPTCHA 점수 상호작용을 차단합니다. 예를 들어 WAF 및 Google Cloud Armor 통합에 reCAPTCHA를 사용할 수 있습니다.
  • 스크래핑에 API가 사용된 경우 추가 방지를 위해 Apigee Management API를 사용합니다.

CAPTCHA 해독

CAPTCHA 해독은 공격자가 시각적 및 청각적 CAPTCHA 테스트 및 관련 퀴즈에 대한 답변을 분석하고 결정하기 위해 자동화 방식을 사용하는 자동화된 위협입니다.

최소 구현

  1. 최종 사용자 입력, 계정 생성, 결제 정보, 최종 사용자와 사기 가능성이 있는 작업과 상호작용과 관련된 모든 페이지에 점수 기반 사이트 키를 설치합니다. action 매개변수에 작업 설명을 지정합니다. 점수 기반 사이트 키를 설치하는 방법은 웹사이트에 점수 기반 사이트 키 설치(도전과제 없음)를 참조하세요.

  2. 모든 토큰에 대한 평가를 만들고 expectedAction을 점수 기반 사이트 키를 설치할 때 지정한 action 값과 일치하도록 설정합니다. 평가를 만드는 방법은 평가 작성을 참조하세요.

최적 구현

  1. 최종 사용자 입력, 계정 생성, 결제 정보, 최종 사용자와 사기 가능성이 있는 작업과 상호작용과 관련된 모든 페이지에 점수 기반 사이트 키를 설치합니다. action 매개변수에 작업 설명을 지정합니다. 점수 기반 사이트 키를 설치하는 방법은 웹사이트에 점수 기반 사이트 키 설치(도전과제 없음)를 참조하세요.
  2. (선택사항) 대용량과 낮은 reCAPTCHA 점수 상호작용을 차단하려면 reCAPTCHA를 웹 애플리케이션 방화벽(WAF)과 통합합니다. 예를 들어 WAF 및 Google Cloud Armor 통합에 reCAPTCHA를 사용할 수 있습니다.

  3. 모든 토큰에 대한 평가를 만들고 expectedAction을 점수 기반 사이트 키를 설치할 때 지정한 action 값과 일치하도록 설정합니다. 평가를 만드는 방법은 평가 작성을 참조하세요.

  4. 모든 평가 ID를 저장하고 사기 구매나 지불 거절로 이어지는 평가에 fraudulent로 주석을 추가합니다. 평가에 주석을 추가하는 방법은 평가에 주석 추가를 참조하세요.

사기 방지 전략

reCAPTCHA를 구현한 후 다음 사기 방지 전략 중 하나를 사용하여 웹사이트를 CAPTCHA 해독으로부터 보호합니다.

  • 응답 모델을 구현하고 평가를 만듭니다.

    1. 점수 기반 위험에 맞게 조정된 응답 모델을 만들고 구현합니다.

      다음 예시는 샘플 응답 모델을 보여줍니다.

      • 낮은 점수 또는 중간 점수 기준점(0.0~0.5)의 경우 최종 사용자에게 이메일 또는 SMS를 통한 다중 인증(MFA)을 요청합니다.
      • 가장 높은 점수 기준점(0.5 초과)의 경우 최종 사용자가 챌린지 없이 진행하도록 허용합니다.
    2. 평가를 만들 때 expectedAction 값이 웹페이지에 점수 기반 사이트 키를 설치할 때 지정한 action 값과 일치하는지 확인합니다. 일치하지 않으면 인증을 허용하면 안 됩니다.
  • 최종 사용자가 JavaScript가 중지된 웹브라우저를 사용하는 경우 다음을 수행합니다.

    1. 최종 사용자를 차단합니다.
    2. 계속 진행하려면 최종 사용자에게 웹사이트에 JavaScript가 필요함을 알립니다.
  • Google 스크립트가 로드되지 않도록 최종 사용자 브라우저를 차단하기 위해 grecaptcha.enterprise.ready 프로미스가 처리되었는지 확인합니다. 이는 reCAPTCHA가 완전히 로드되었으며 오류가 발생하지 않았음을 나타냅니다.

  • 웹 전용 API의 경우 reCAPTCHA 토큰이나 reCAPTCHA 평가 결과를 백엔드 API에 전달한 후 reCAPTCHA 토큰이 유효하고 점수 기준점을 충족하는 경우에만 API 작업을 허용하는 것이 좋습니다. 이렇게 하면 최종 사용자가 웹사이트를 거치지 않고 API를 사용하지 않게 됩니다.

다음 단계