Práticas recomendadas para proteção contra ameaças automatizadas

Este documento descreve as implementações recomendadas do reCAPTCHA e as estratégias de mitigação de fraudes para se defender contra as ameaças automatizadas críticas (OWASP Automated Threats (OAT) to Web Applications). Os arquitetos empresariais e as partes interessadas tecnológicas podem rever estas informações para tomar uma decisão informada sobre a implementação do reCAPTCHA e a estratégia de mitigação de fraudes para o respetivo exemplo de utilização.

Este documento contém as seguintes informações para cada tipo de ameaça:

• Implementação ideal do reCAPTCHA. Esta implementação foi concebida com as funcionalidades relevantes do reCAPTCHA para a melhor proteção contra fraudes.

• Implementação mínima do reCAPTCHA. Esta implementação foi concebida para uma proteção contra fraudes mínima.

• Estratégias de mitigação de fraudes recomendadas.

Escolha a estratégia de implementação e mitigação de fraudes que melhor se adequa ao seu exemplo de utilização. Os seguintes fatores podem influenciar a implementação e a estratégia de mitigação de fraudes que escolher:

• As necessidades e as capacidades antifraude da organização.
• Ambiente existente da organização.

Para mais informações sobre as estratégias de mitigação de fraudes para o seu exemplo de utilização, contacte a nossa equipa de vendas.

Roubo de dados de cartões

O roubo de dados de cartões é uma ameaça automatizada em que os atacantes fazem várias tentativas de autorização de pagamento para validar a validade dos dados de cartões de pagamento roubados em massa.

Implementação mínima

1. Instale chaves do site de caixa de verificação em todas as páginas onde os utilizadores finais têm de introduzir as respetivas informações de cartão de crédito. Para saber como instalar chaves de site de caixa de verificação, consulte o artigo Instale chaves de site de caixa de verificação (desafio de caixa de verificação) em Websites.

2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte o artigo Crie uma avaliação.

Implementação ideal

1. Instale chaves do site baseadas em pontuação em todas as páginas onde os utilizadores finais têm de introduzir as respetivas informações de cartão de crédito. Especifique uma ação no parâmetro action, como card_entry. Para saber como instalar chaves de site baseadas em pontuação, consulte o artigo Instale chaves de site baseadas em pontuação (sem desafio) em Websites.

2. Instale o reCAPTCHA para o fluxo de trabalho de pagamento no seu Website. Para saber como proteger o seu fluxo de trabalho de pagamento, consulte o artigo Proteja os fluxos de trabalho de pagamento.

3. Crie avaliações para todos os tokens e defina expectedAction de modo a corresponder ao valor de action que especificou quando instalou as chaves do site baseadas em pontuação. Para saber como criar avaliações, consulte o artigo Crie uma avaliação.

4. Guarde todos os IDs de avaliações e anote as avaliações que se transformam em compras fraudulentas ou estornos como fraudulent. Para saber como anotar avaliações, consulte o artigo Anote uma avaliação.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA, use uma das seguintes estratégias de mitigação de fraudes para proteger o seu Website contra roubo de dados de cartões:

• Instale o reCAPTCHA para o fluxo de trabalho de pagamento no seu Website. Para saber como proteger o seu fluxo de trabalho de pagamento, consulte o artigo Proteja os fluxos de trabalho de pagamento.

• Configure as APIs de gestão de cartões para garantir que os tokens do reCAPTCHA são válidos e que as pontuações são superiores ao respetivo valor de limite.

  Se as pontuações não atingirem ou excederem o valor limite especificado, não execute uma autorização de cartão nem permita que o utilizador final use o cartão. Sempre que possível, permita que a transação avance no momento da compra, mas cancele-a posteriormente para evitar alertar o atacante.

• Ao criar avaliações, certifique-se de que estas cumprem os seguintes critérios para uma transação bem-sucedida:

  • Todos os tokens avaliados são válidos e têm uma pontuação superior a um valor de limite especificado.
  • O valor de expectedAction corresponde ao valor de action que especificou quando instalou as chaves do site baseadas em pontuação nas suas páginas Web. Para saber como validar ações, consulte o artigo Valide ações.

  Se uma transação não cumprir estes critérios, não execute uma autorização de cartão nem permita que o utilizador final use o cartão. Sempre que possível, permita que a transação avance no momento da compra, mas cancele-a posteriormente para evitar alertar o atacante.

Roubo de dados de cartões

O roubo de dados de cartões é uma ameaça automatizada em que os atacantes identificam valores em falta para a data de início, a data de validade e os códigos de segurança de dados de cartões de pagamento roubados ao experimentar valores diferentes.

Implementação mínima

1. Instale chaves do site de caixa de verificação em todas as páginas onde os utilizadores finais têm de introduzir os respetivos detalhes de pagamento, incluindo as funções de pagamento e adicionar método de pagamento. Para saber como instalar chaves de site de caixa de verificação, consulte o artigo Instale chaves de site de caixa de verificação (desafio de caixa de verificação) em Websites.

2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte o artigo Crie uma avaliação.

Implementação ideal

1. Instale chaves do site baseadas em pontuação em todas as páginas onde os utilizadores finais têm de introduzir os respetivos detalhes de pagamento. Especifique uma ação no parâmetro action, como checkout ou add_pmtmethod. Para saber como instalar chaves de site baseadas em pontuação, consulte o artigo Instale chaves de site baseadas em pontuação (sem desafio) em Websites.

2. Instale o reCAPTCHA para o fluxo de trabalho de pagamento no seu Website. Para saber como proteger o seu fluxo de trabalho de pagamento, consulte o artigo Proteja os fluxos de trabalho de pagamento.

3. Crie avaliações para todos os tokens e defina expectedAction de modo a corresponder ao valor de action que especificou quando instalou as chaves do site baseadas em pontuação. Para saber como criar avaliações, consulte o artigo Crie uma avaliação.

4. Guarde todos os IDs de avaliações e anote as avaliações que se transformam em compras fraudulentas ou estornos como fraudulent. Para saber como anotar avaliações, consulte o artigo Anote uma avaliação.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA, use uma das seguintes estratégias de mitigação de fraudes para proteger o seu Website contra roubo de dados de cartões:

• Instale o reCAPTCHA para o fluxo de trabalho de pagamento no seu Website. Para saber como proteger o seu fluxo de trabalho de pagamento, consulte o artigo Proteja os fluxos de trabalho de pagamento.

• Implemente um modelo de resposta e crie avaliações:

  1. Crie e implemente um modelo de resposta ajustado ao risco baseado em pontuação.

     O exemplo seguinte mostra um modelo de resposta de exemplo:

     • Para um limite de pontuação baixo a intermédio (0,0 a 0,5), use a gestão de riscos baseada no contexto, como: limitar o número de tentativas e bloquear compras acima de um valor especificado.
     • Para o limite mais elevado da pontuação (> 0,5), permita que o utilizador final avance sem qualquer desafio.

  2. Ao criar avaliações, certifique-se de que o valor de expectedAction corresponde ao valor de action que especificou quando instalou as chaves do site baseadas em pontuação nas suas páginas Web. Se não corresponderem, não execute uma autorização de cartão nem permita que o utilizador final use o cartão. Sempre que possível, permita que a transação avance no momento da compra, mas cancele-a posteriormente para evitar alertar o atacante.

Roubo de credenciais

A obtenção de credenciais é uma ameaça automatizada em que os atacantes identificam credenciais de início de sessão válidas ao experimentar diferentes valores para nomes de utilizador e palavras-passe.

Implementação mínima

1. Instale chaves do site de caixa de verificação em todas as páginas onde os utilizadores finais têm de introduzir as respetivas credenciais, incluindo as funções de início de sessão e esqueci-me da palavra-passe. Para saber como instalar chaves de site de caixa de verificação, consulte o artigo Instale chaves de site de caixa de verificação (desafio de caixa de verificação) em Websites.

2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte o artigo Crie uma avaliação.

Implementação ideal

1. Instale chaves do site baseadas em pontuação em todas as páginas onde os utilizadores finais têm de introduzir as respetivas credenciais. Especifique uma ação no parâmetro action, como login ou authenticate. Para saber como instalar chaves de site baseadas em pontuação, consulte o artigo Instale chaves de site baseadas em pontuação (sem desafio) em Websites.
2. Recomendado: implemente a defesa de palavras-passe do reCAPTCHA para todas as tentativas de autenticação. Para saber como usar a defesa por palavra-passe, consulte o artigo Detete fugas de palavras-passe e credenciais violadas.
3. Opcional: para ativar o bloqueio de interações de volume elevado e com uma pontuação do reCAPTCHA baixa, integre o reCAPTCHA com uma firewall de aplicações Web (WAF). Por exemplo, pode usar o reCAPTCHA para a integração do WAF e do Google Cloud Armor.
4. Implemente o reCAPTCHA Account Defender para analisar as tendências do comportamento dos utilizadores finais em todos os inícios de sessão e receber sinais adicionais que podem indicar um ATO. Para saber como usar o reCAPTCHA Account Defender, consulte o artigo Detete e evite atividades fraudulentas relacionadas com contas.
5. Crie avaliações para todos os tokens e defina expectedAction de modo a corresponder ao valor de action que especificou quando instalou as chaves do site baseadas em pontuação. Para saber como criar avaliações, consulte o artigo Crie uma avaliação.
6. Guarde todos os IDs de avaliação e anote a avaliação que pareça fraudulenta, como roubos de contas ou qualquer outra atividade fraudulenta. Para saber como anotar avaliações, consulte o artigo Anote uma avaliação.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger o seu Website contra roubo de credenciais:

1. Crie e implemente um modelo de resposta ajustado ao risco baseado em pontuação.

   O exemplo seguinte mostra um modelo de resposta de exemplo:

   • Para um limite de pontuação baixo a intermédio (0,0 a 0,5), desafie o utilizador final com a autenticação multifator através de email ou SMS.
   • Para o limite mais elevado da pontuação (> 0,5), permita que o utilizador final avance sem qualquer desafio.
2. Termine ou interrompa as sessões dos utilizadores finais que fazem a autenticação com êxito, mas recebem uma resposta credentialsLeaked: true do reCAPTCHA Password defense e envie um email aos utilizadores finais para alterarem a respetiva palavra-passe.
3. Ao criar avaliações, certifique-se de que o valor de expectedAction corresponde ao valor de action que especificou quando instalou as chaves do site baseadas em pontuação nas suas páginas Web. Se não corresponderem, não permita a autenticação.

Reutilização de credenciais roubadas

O preenchimento de credenciais é uma ameaça automatizada em que os atacantes usam tentativas de início de sessão em massa para validar a validade de pares de nome de utilizador/palavra-passe roubados.

Implementação mínima

1. Instale chaves do site de caixa de verificação em todas as páginas onde os utilizadores finais têm de introduzir as respetivas credenciais, incluindo as funções de início de sessão e esqueci-me da palavra-passe. Para saber como instalar chaves de site de caixa de verificação, consulte o artigo Instale chaves de site de caixa de verificação (desafio de caixa de verificação) em Websites.

2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte o artigo Crie uma avaliação.

Implementação ideal

1. Instale chaves do site baseadas em pontuação em todas as páginas onde os utilizadores finais têm de introduzir as respetivas credenciais. Especifique uma ação no parâmetro action, como login ou authenticate. Para saber como instalar chaves de site baseadas em pontuação, consulte o artigo Instale chaves de site baseadas em pontuação (sem desafio) em Websites.
2. Recomendado: implemente a defesa de palavras-passe do reCAPTCHA para todas as tentativas de autenticação. Para saber como usar a defesa por palavra-passe, consulte o artigo Detete fugas de palavras-passe e credenciais violadas.
3. Implemente o reCAPTCHA Account Defender para analisar as tendências do comportamento dos utilizadores finais em todos os inícios de sessão e receber sinais adicionais que podem indicar um ATO. Para saber como usar o reCAPTCHA Account Defender, consulte o artigo Detete e evite atividades fraudulentas relacionadas com contas.

4. Opcional: para ativar o bloqueio de interações de volume elevado e com uma pontuação do reCAPTCHA baixa, integre o reCAPTCHA com uma firewall de aplicações Web (WAF). Por exemplo, pode usar o reCAPTCHA para a integração do WAF e do Google Cloud Armor.

5. Crie avaliações para todos os tokens e defina expectedAction de modo a corresponder ao valor de action que especificou quando instalou as chaves do site baseadas em pontuação. Para saber como criar avaliações, consulte o artigo Crie uma avaliação.

6. Guarde todos os IDs de avaliações e anote as avaliações que se transformam em compras fraudulentas ou estornos como fraudulent. Para saber como anotar avaliações, consulte o artigo Anote uma avaliação.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger o seu Website contra o preenchimento de credenciais:

1. Crie e implemente um modelo de resposta ajustado ao risco baseado em pontuação.

   O exemplo seguinte mostra um modelo de resposta de exemplo:

   • Para o limiar de pontuação do reCAPTCHA mais baixo (0,0), informe o utilizador final de que a palavra-passe está incorreta.
   • Para o limite de pontuação intermédio (0,1 a 0,5), desafie o utilizador final com a autenticação multifator através de email ou SMS.
   • Para o limite mais elevado da pontuação (> 0,5), permita que o utilizador final avance sem qualquer desafio.
2. Termine ou interrompa as sessões dos utilizadores finais que fazem a autenticação com êxito, mas recebem uma resposta credentialsLeaked: true do reCAPTCHA Password defense e envie um email aos utilizadores finais para alterarem a respetiva palavra-passe.
3. Ao criar avaliações, certifique-se de que o valor de expectedAction corresponde ao valor de action que especificou quando instalou as chaves do site baseadas em pontuação nas suas páginas Web. Se não corresponderem, não permita a autenticação.
4. Na sua avaliação, se accountDefenderAssessment=PROFILE_MATCH, permita que o utilizador final avance sem qualquer desafio.

Transferência

O roubo de dinheiro é uma ameaça automatizada em que os atacantes obtêm moeda ou itens de elevado valor através da utilização de cartões de pagamento roubados e validados anteriormente.

Implementação mínima

1. Instale chaves do site baseadas em pontuação em todas as páginas onde o pagamento é possível. Para saber como instalar chaves de site baseadas em pontuação, consulte o artigo Instale chaves de site baseadas em pontuação (sem desafio) em Websites.
2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte o artigo Crie uma avaliação.

Implementação ideal

1. Instale chaves do site baseadas em pontuação em todas as páginas onde os utilizadores finais introduzem as informações do respetivo cartão de oferta. Especifique uma ação, como add_gift_card. Para saber como instalar chaves de site baseadas em pontuação, consulte o artigo Instale chaves de site baseadas em pontuação (sem desafio) em Websites.

2. Crie avaliações para todos os tokens e defina expectedAction de modo a corresponder ao valor de action que especificou quando instalou as chaves do site baseadas em pontuação. Para saber como criar avaliações, consulte o artigo Crie uma avaliação.

3. Guarde todos os IDs de avaliação e anote as transações que foram fraudulentas.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger o seu Website contra o levantamento de dinheiro:

• Instale o reCAPTCHA para o fluxo de trabalho de pagamento no seu Website. Para saber como proteger o seu fluxo de trabalho de pagamento, consulte o artigo Proteja os fluxos de trabalho de pagamento.

• Implemente um modelo de resposta e crie avaliações:

  1. Crie e implemente um modelo de resposta ajustado ao risco baseado em pontuação.

     O exemplo seguinte mostra um modelo de resposta de exemplo:

     • Para um limite de pontuação baixo a intermédio (0,0 a 0,5), use a gestão de riscos baseada no contexto, como: limitar o número de tentativas e bloquear compras acima de um valor especificado.
     • Para o limite mais elevado da pontuação (> 0,5), permita que o utilizador final avance sem qualquer desafio.
  2. Ao criar avaliações, certifique-se de que o valor de expectedAction corresponde ao valor de action que especificou quando instalou as chaves do site baseadas em pontuação nas suas páginas Web. Se não corresponderem, não permita a autenticação. Sempre que possível, permita que a transação avance no momento da compra, mas cancele-a posteriormente para evitar alertar o atacante.

Criação de conta

A criação de contas é uma ameaça automatizada em que os atacantes criam várias contas para utilização indevida subsequente.

Implementação mínima

1. Instale chaves do site de caixa de verificação em todas as páginas onde os utilizadores finais têm de introduzir as respetivas credenciais, incluindo as funções de início de sessão e esqueci-me da palavra-passe. Para saber como instalar chaves de site de caixa de verificação, consulte o artigo Instale chaves de site de caixa de verificação (desafio de caixa de verificação) em Websites.

2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte o artigo Crie uma avaliação.

Implementação ideal

1. Instale chaves do site baseadas em pontuação em todas as páginas onde são criadas contas. Especifique uma ação no parâmetro action, como register. Para saber como instalar chaves de site baseadas em pontuação, consulte o artigo Instale chaves de site baseadas em pontuação (sem desafio) em Websites.
2. Recomendado: implemente a defesa de palavras-passe do reCAPTCHA para todas as tentativas de autenticação. Para saber como usar a defesa por palavra-passe, consulte o artigo Detete fugas de palavras-passe e credenciais violadas.
3. Implemente o reCAPTCHA Account Defender para receber sinais adicionais que indicam criações de contas falsas. Para saber como usar o reCAPTCHA Account Defender, consulte o artigo Detete e evite atividades fraudulentas relacionadas com contas.

4. Opcional: para ativar o bloqueio de interações de volume elevado e com uma pontuação do reCAPTCHA baixa, integre o reCAPTCHA com uma firewall de aplicações Web (WAF). Por exemplo, pode usar o reCAPTCHA para a integração do WAF e do Google Cloud Armor.

5. Crie avaliações para todos os tokens e defina expectedAction de modo a corresponder ao valor de action que especificou quando instalou as chaves do site baseadas em pontuação. Para saber como criar avaliações, consulte o artigo Crie uma avaliação.

6. Guarde todos os IDs de avaliação e anote as transações que foram fraudulentas.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger o seu Website contra a criação de contas:

1. Crie e implemente um modelo de resposta ajustado ao risco baseado em pontuação.

   O exemplo seguinte mostra um modelo de resposta de exemplo:

   • Para o limite mais baixo da pontuação do reCAPTCHA (0,0), limite as ações da conta até que sejam realizadas verificações de fraude adicionais.
   • Para o limite de pontuação intermédio (0,1 a 0,5), desafie o utilizador final com a autenticação multifator através de email ou SMS.
   • Para o limite mais elevado da pontuação (> 0,5), permita que o utilizador final avance sem qualquer desafio.
2. Termine ou interrompa as sessões dos utilizadores finais que fazem a autenticação com êxito, mas recebem uma resposta credentialsLeaked: true da defesa de palavras-passe do reCAPTCHA e peça ao utilizador para selecionar uma nova palavra-passe.
3. Ao criar avaliações, certifique-se de que o valor de expectedAction corresponde ao valor de action que especificou quando instalou as chaves do site baseadas em pontuação nas suas páginas Web. Se não corresponderem, não permita o registo nem a criação da conta.
4. Na sua avaliação, se accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, restringir o acesso da conta até que seja possível realizar uma validação adicional.

Alterações fraudulentas de contas e moradas

Os atacantes podem tentar alterar os detalhes da conta, incluindo endereços de email, números de telefone ou moradas, como parte de atividade fraudulenta ou roubo de contas.

Implementação mínima

1. Instale chaves do site de caixa de verificação em todas as páginas onde os utilizadores finais têm de introduzir as respetivas credenciais, incluindo as funções de início de sessão e esqueci-me da palavra-passe. Para saber como instalar chaves de site de caixa de verificação, consulte o artigo Instale chaves de site de caixa de verificação (desafio de caixa de verificação) em Websites.

2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte o artigo Crie uma avaliação.

Implementação ideal

1. Instale chaves do site baseadas em pontuação em todas as páginas onde são criadas contas. Especifique uma ação no parâmetro action, como change_telephone ou change_physicalmail. Para saber como instalar chaves de site baseadas em pontuação, consulte o artigo Instale chaves de site baseadas em pontuação (sem desafio) em Websites.

2. Crie avaliações para todos os tokens e defina expectedAction de modo a corresponder ao valor de action que especificou quando instalou as chaves do site baseadas em pontuação. Para saber como criar avaliações, consulte o artigo Crie uma avaliação.

3. Implemente o reCAPTCHA Account Defender para analisar as tendências do comportamento dos utilizadores finais em todos os inícios de sessão e receber sinais adicionais que podem indicar um ATO. Para saber como usar o reCAPTCHA Account Defender, consulte o artigo Detete e evite atividades fraudulentas relacionadas com contas.

4. Guarde todos os IDs de avaliação e anote as transações que foram fraudulentas.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger o seu Website contra alterações fraudulentas de contas e moradas:

1. Crie e implemente um modelo de resposta ajustado ao risco baseado em pontuação.

   O exemplo seguinte mostra um modelo de resposta de exemplo:

   • Para um limite de pontuação baixo a intermédio (0,0 a 0,5), desafie o utilizador final com a autenticação multifator através de email ou SMS.
   • Para o limite mais elevado da pontuação (> 0,5), permita que o utilizador final avance sem qualquer desafio.

2. Ao criar avaliações, certifique-se de que o valor de expectedAction corresponde ao valor de action que especificou quando instalou as chaves do site baseadas em pontuação nas suas páginas Web. Se não corresponderem, não permita alterações à conta.

3. Na sua avaliação, se accountDefenderAssessment não tiver a etiqueta PROFILE_MATCH, desafie o utilizador final com a autenticação multifator através de email ou SMS.

Roubo de tokens

A descodificação de tokens é uma ameaça automatizada em que os atacantes fazem a enumeração em massa de números de cupões, códigos de vales e tokens de desconto.

Implementação mínima

1. Instale chaves do site de caixa de verificação em todas as páginas onde os utilizadores finais têm de introduzir as informações do cartão de oferta. Para saber como instalar chaves de site de caixa de verificação, consulte o artigo Instale chaves de site de caixa de verificação (desafio de caixa de verificação) em Websites.

2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte o artigo Crie uma avaliação.

Implementação ideal

1. Instale chaves do site baseadas em pontuação em todas as páginas onde os utilizadores finais têm de introduzir as respetivas informações do cartão de oferta. Especifique uma ação, como gift_card_entry. Para saber como instalar chaves de site baseadas em pontuação, consulte o artigo Instale chaves de site baseadas em pontuação (sem desafio) em Websites.

2. Opcional: para ativar o bloqueio de interações de volume elevado e com uma pontuação do reCAPTCHA baixa, integre o reCAPTCHA com uma firewall de aplicações Web (WAF). Por exemplo, pode usar o reCAPTCHA para a integração do WAF e do Google Cloud Armor.

3. Crie avaliações para todos os tokens e defina expectedAction de modo a corresponder ao valor de action que especificou quando instalou as chaves do site baseadas em pontuação. Para saber como criar avaliações, consulte o artigo Crie uma avaliação.

4. Guarde todos os IDs de avaliações e anote as avaliações que se transformam em vales de oferta ou cupões fraudulentos.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA, use uma das seguintes estratégias de mitigação de fraudes para proteger o seu Website contra a descodificação de tokens:

• Configure as APIs de gestão de cartões para garantir que os tokens do reCAPTCHA são válidos e que as pontuações são superiores ao respetivo valor de limite.

  Se as pontuações não atingirem ou excederem o limite especificado, não execute uma autorização de cartão de crédito ou vale de oferta, nem permita que o utilizador final use o cupão ou o vale de oferta. Sempre que possível, permita que a transação avance no momento da compra, mas cancele-a posteriormente para evitar alertar o atacante.

• Ao criar avaliações, certifique-se de que estas cumprem os seguintes critérios para uma transação bem-sucedida:

  • Todos os tokens avaliados são válidos e têm uma pontuação superior a um valor de limite especificado.
  • O valor de expectedAction corresponde ao valor de action que especificou quando instalou as chaves do site baseadas em pontuação nas suas páginas Web. Para saber como validar ações, consulte o artigo Valide ações.

  Se uma transação não cumprir estes critérios, não execute uma autorização de cartão de crédito ou cartão de oferta, nem permita que o utilizador final use o cupão ou o cartão de oferta. Sempre que possível, permita que a transação avance no momento da compra, mas cancele-a posteriormente para evitar alertar o atacante.

Roubo de bilhetes

O roubo de bilhetes é uma ameaça automatizada em que os atacantes obtêm bens ou serviços preferenciais e de disponibilidade limitada através de métodos injustos.

Implementação mínima

1. Instale chaves do site baseadas em pontuação em todas as páginas onde os utilizadores finais têm de introduzir as respetivas informações do cartão de oferta. Especifique uma ação no parâmetro action, como add_to_cart. Para saber como instalar chaves de site baseadas em pontuação, consulte o artigo Instale chaves de site baseadas em pontuação (sem desafio) em Websites.
2. Crie avaliações para todos os tokens e defina expectedAction de modo a corresponder ao valor de action que especificou quando instalou as chaves do site baseadas em pontuação. Para saber como criar avaliações, consulte o artigo Crie uma avaliação.

Implementação ideal

1. Instale chaves do site baseadas em pontuação em todas as páginas onde os utilizadores finais têm de introduzir as respetivas informações do cartão de oferta. Especifique uma ação no parâmetro action, como add_to_cart. Para saber como instalar chaves de site baseadas em pontuação, consulte o artigo Instale chaves de site baseadas em pontuação (sem desafio) em Websites.

2. Opcional: para ativar o bloqueio de interações de volume elevado e com uma pontuação do reCAPTCHA baixa, integre o reCAPTCHA com uma firewall de aplicações Web (WAF). Por exemplo, pode usar o reCAPTCHA para a integração do WAF e do Google Cloud Armor.

3. Crie avaliações para todos os tokens e defina expectedAction de modo a corresponder ao valor de action que especificou quando instalou as chaves do site baseadas em pontuação. Para saber como criar avaliações, consulte o artigo Crie uma avaliação.

4. Guarde todos os IDs de avaliação e anote as transações que foram fraudulentas.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger o seu Website contra a venda de bilhetes a preços excessivos:

1. Crie e implemente um modelo de resposta ajustado ao risco baseado em pontuação.

   O exemplo seguinte mostra um modelo de resposta de exemplo:

   • Para um limite de pontuação baixo a intermédio (0,0 a 0,5), use a gestão de riscos baseada no contexto, como: limitar o número de tentativas e bloquear compras acima de um valor especificado.
   • Para o limite mais elevado da pontuação (> 0,5), permita que o utilizador final avance sem qualquer desafio.

2. Ao criar avaliações, certifique-se de que o valor de expectedAction corresponde ao valor de action que especificou quando instalou as chaves do site baseadas em pontuação nas suas páginas Web. Se não corresponderem, não execute a autorização do vale de oferta.

Inclinação

A distorção é uma ameaça automatizada em que os atacantes usam cliques repetidos em links, pedidos de páginas ou envios de formulários para alterar algumas métricas.

Implementação mínima

1. Instale chaves do site baseadas em pontuação em todas as páginas onde a distorção das métricas é possível. Para saber como instalar chaves de site baseadas em pontuação, consulte o artigo Instale chaves de site baseadas em pontuação (sem desafio) em Websites.
2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte o artigo Crie uma avaliação.

Implementação ideal

1. Instale chaves do site baseadas em pontuação em todas as páginas onde a distorção das métricas é possível. Para saber como instalar chaves de site baseadas em pontuação, consulte o artigo Instale chaves de site baseadas em pontuação (sem desafio) em Websites.

2. Opcional: para ativar o bloqueio de interações de volume elevado e com uma pontuação do reCAPTCHA baixa, integre o reCAPTCHA com uma firewall de aplicações Web (WAF). Por exemplo, pode usar o reCAPTCHA para a integração do WAF e do Google Cloud Armor.

3. Crie avaliações para todos os tokens e defina expectedAction de modo a corresponder ao valor de action que especificou quando instalou as chaves do site baseadas em pontuação. Para saber como criar avaliações, consulte o artigo Crie uma avaliação.

4. Guarde todos os IDs de avaliação e anote as transações que foram fraudulentas.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger o seu Website contra distorções:

Crie e implemente um modelo de resposta ajustado ao risco baseado em pontuação.

O exemplo seguinte mostra um modelo de resposta de exemplo:

• Para um limite de pontuação baixo a intermédio (0,0 a 0,5), use a gestão de risco baseada no contexto, como: monitorizar o número de vezes que um utilizador clicou num anúncio ou o número de vezes que um utilizador atualizou a página. Use estes dados para determinar se a métrica deve ser contabilizada.
• Para o limite mais elevado da pontuação (> 0,5), permita que o utilizador final avance sem qualquer desafio.

Extração

O scraping é uma ameaça automatizada em que os atacantes recolhem dados ou artefactos de Websites de forma automatizada.

Implementação mínima

1. Instale chaves do site baseadas em pontuação em todas as páginas onde residem informações importantes e em páginas de interação do utilizador final comuns importantes. Para saber como instalar chaves de site baseadas em pontuação, consulte o artigo Instale chaves de site baseadas em pontuação (sem desafio) em Websites.
2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte o artigo Crie uma avaliação.

Implementação ideal

1. Instale chaves do site baseadas em pontuação em todas as páginas onde residem informações importantes e em páginas de interação do utilizador final comuns importantes. Para saber como instalar chaves de site baseadas em pontuação, consulte o artigo Instale chaves de site baseadas em pontuação (sem desafio) em Websites.

2. Opcional: para ativar o bloqueio de interações de volume elevado e com uma pontuação do reCAPTCHA baixa, integre o reCAPTCHA com uma firewall de aplicações Web (WAF). Por exemplo, pode usar o reCAPTCHA para a integração do WAF e do Google Cloud Armor.

3. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte o artigo Crie uma avaliação.

4. Guarde todos os IDs de avaliação e anote as transações que foram fraudulentas.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA, use as seguintes estratégias de mitigação de fraudes para proteger o seu Website contra a extração de dados:

• Ative o bloqueio de interações de volume elevado e com pontuação do reCAPTCHA baixa integrando o reCAPTCHA com uma firewall de aplicações Web (WAF). Por exemplo, pode usar o reCAPTCHA para a integração do WAF e do Google Cloud Armor
• Se a recolha de dados envolver APIs, use as APIs Apigee Management para uma mitigação adicional.

Derrota do CAPTCHA

A derrota do CAPTCHA é uma ameaça automatizada em que os atacantes usam a automatização numa tentativa de analisar e determinar a resposta a testes CAPTCHA visuais e/ou auditivos e puzzles relacionados.

Implementação mínima

1. Instale chaves de sites baseadas em pontuação em todas as páginas que envolvam a introdução de dados por parte do utilizador final, a criação de contas, informações de pagamento ou interações do utilizador final com potencial para fraude. Especifique uma ação descritiva no parâmetro action. Para saber como instalar chaves de site baseadas em pontuação, consulte o artigo Instale chaves de site baseadas em pontuação (sem desafio) em Websites.

2. Crie avaliações para todos os tokens e defina expectedAction de modo a corresponder ao valor de action que especificou quando instalou as chaves do site baseadas em pontuação. Para saber como criar avaliações, consulte o artigo Crie uma avaliação.

Implementação ideal

1. Instale chaves de sites baseadas em pontuação em todas as páginas que envolvam a introdução de dados por parte do utilizador final, a criação de contas, informações de pagamento ou interações do utilizador final com potencial para fraude. Especifique uma ação descritiva no parâmetro action. Para saber como instalar chaves de site baseadas em pontuação, consulte o artigo Instale chaves de site baseadas em pontuação (sem desafio) em Websites.

2. Opcional: para ativar o bloqueio de interações de volume elevado e com uma pontuação do reCAPTCHA baixa, integre o reCAPTCHA com uma firewall de aplicações Web (WAF). Por exemplo, pode usar o reCAPTCHA para a integração do WAF e do Google Cloud Armor.

3. Crie avaliações para todos os tokens e defina expectedAction de modo a corresponder ao valor de action que especificou quando instalou as chaves do site baseadas em pontuação. Para saber como criar avaliações, consulte o artigo Crie uma avaliação.

4. Guarde todos os IDs de avaliações e anote as avaliações que se transformam em compras fraudulentas ou estornos como fraudulent. Para saber como anotar avaliações, consulte o artigo Anote uma avaliação.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA, use uma das seguintes estratégias de mitigação de fraudes para proteger o seu Website contra a derrota do CAPTCHA:

• Implemente um modelo de resposta e crie avaliações:

  1. Crie e implemente um modelo de resposta ajustado ao risco baseado em pontuação.

     O exemplo seguinte mostra um modelo de resposta de exemplo:

     • Para um limite de pontuação baixo a intermédio (0,0 a 0,5), desafie o utilizador final com a autenticação multifator através de email ou SMS.
     • Para o limite mais elevado da pontuação (> 0,5), permita que o utilizador final avance sem qualquer desafio.
  2. Ao criar avaliações, certifique-se de que o valor de expectedAction corresponde ao valor de action que especificou quando instalou as chaves do site baseadas em pontuação nas suas páginas Web. Se não corresponderem, não permita a autenticação.

• Se os utilizadores finais usarem navegadores de Internet com o JavaScript desativado, faça o seguinte:

  1. Bloquear esses utilizadores finais.
  2. Notifique os utilizadores finais de que o seu Website requer JavaScript para continuar.

• Certifique-se de que a promessa grecaptcha.enterprise.ready é cumprida para impedir que os navegadores dos utilizadores finais que bloqueiam o script da Google sejam carregados. Isto indica que o reCAPTCHA está totalmente carregado e não encontrou nenhum erro.

• Para APIs apenas Web, recomendamos que transmita o token do reCAPTCHA ou o resultado da avaliação do reCAPTCHA para a API de back-end e, em seguida, permita a ação da API apenas se o token do reCAPTCHA for válido e cumprir um valor limite de pontuação. Isto garante que o utilizador final não está a usar a API sem passar pelo Website.

O que se segue?

• Instale chaves do site baseadas em pontuação.
• Instale chaves de sites de caixas de verificação.
• Crie avaliações.
• Anotar avaliações.
• Implemente a defesa por palavra-passe.
• Implemente o Account Defender.