Best Practices für den Schutz vor automatisierten Bedrohungen

In diesem Dokument werden die empfohlenen Implementierungen von reCAPTCHA und Strategien zur Betrugsprävention beschrieben, um sich vor kritischen automatisierten Bedrohungen (OWASP Automated Threats (OAT) to Web Applications) zu schützen. Enterprise-Architekten und Technologie-Stakeholder können diese Informationen lesen, um fundierte Entscheidungen über die reCAPTCHA-Implementierung und die Strategie zur Betrugsprävention für ihren Anwendungsfall zu treffen.

Dieses Dokument enthält für jede Art von Bedrohung die folgenden Informationen:

  • Optimale Implementierung von reCAPTCHA. Diese Implementierung wurde mit den relevanten Funktionen von reCAPTCHA für den bestmöglichen Betrugsschutz entwickelt.

  • Minimale reCAPTCHA-Implementierung. Diese Implementierung bietet nur einen minimalen Betrugsschutz.

  • Empfohlene Strategien zur Betrugsprävention

Wählen Sie die Implementierungs- und Betrugspräventionsstrategie aus, die am besten zu Ihrem Anwendungsfall passt. Die folgenden Faktoren können sich auf die von Ihnen gewählte Strategie für die Implementierung und Betrugsprävention auswirken:

  • Die Anforderungen und Möglichkeiten der Organisation in Bezug auf Betrugsprävention
  • Vorhandene Umgebung der Organisation.

Weitere Informationen zu den Strategien zur Betrugsprävention für Ihren Anwendungsfall erhalten Sie von unserem Vertriebsteam.

Kardieren

Carding ist eine automatisierte Bedrohung, bei der Angreifer mehrere Zahlungsautorisierungsversuche durchführen, um die Gültigkeit von gestohlenen Zahlungskartendaten in großen Mengen zu überprüfen.

Minimale Implementierung

  1. Installieren Sie Websiteschlüssel für Kästchen auf allen Seiten, auf denen Endnutzer ihre Kreditkartendaten eingeben müssen. Weitere Informationen zum Installieren von Kästchen-Websiteschlüsseln finden Sie unter Kästchen-Websiteschlüssel (Kästchen-Abfrage) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Kreditkartendaten eingeben müssen. Geben Sie im Parameter action eine Aktion an, z. B. card_entry. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Installieren Sie reCAPTCHA für den Zahlungsvorgang auf Ihrer Website. Weitere Informationen zum Schutz Ihres Zahlungsworkflows finden Sie unter Zahlungsworkflows schützen.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass der Wert mit action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Bewertungen

  4. Speichere alle Bewertungs-IDs und benote die Bewertungen, die zu betrügerischen Käufen oder Rückbuchungen führen, mit fraudulent. Weitere Informationen zum Anfertigen von Anmerkungen zu Bewertungen

Strategie zur Betrugsprävention

Nachdem Sie reCAPTCHA implementiert haben, können Sie eine der folgenden Strategien zur Betrugsprävention verwenden, um Ihre Website vor Kreditkartenbetrug zu schützen:

  • Installieren Sie reCAPTCHA für den Zahlungsvorgang auf Ihrer Website. Weitere Informationen zum Schutz Ihres Zahlungsworkflows finden Sie unter Zahlungsworkflows schützen.

  • Konfigurieren Sie APIs zur Kartenverwaltung so, dass die reCAPTCHA-Tokens gültig sind und die Bewertungen über dem Grenzwert liegen.

    Wenn die Bewertungen den angegebenen Grenzwert nicht erreichen oder überschreiten, führe keine Kartenautorisierung durch und erlaube dem Endnutzer nicht, die Karte zu verwenden. Lassen Sie die Transaktion zum Zeitpunkt des Kaufs nach Möglichkeit zu, stornieren Sie sie aber später, um den Angreifer nicht zu warnen.

  • Achten Sie beim Erstellen von Bewertungen darauf, dass sie die folgenden Kriterien für eine erfolgreiche Transaktion erfüllen:

    • Alle bewerteten Tokens sind gültig und haben einen Wert, der über einem bestimmten Schwellenwert liegt.
    • Der Wert von expectedAction muss mit dem Wert von action übereinstimmen, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel auf Ihren Webseiten angegeben haben. Informationen zum Bestätigen von Aktionen finden Sie unter Aktionen bestätigen.

    Wenn eine Transaktion diese Kriterien nicht erfüllt, führe keine Kartenautorisierung durch und erlaube dem Endnutzer nicht, die Karte zu verwenden. Lassen Sie die Transaktion zum Zeitpunkt des Kaufs nach Möglichkeit zu, stornieren Sie sie aber später, um den Angreifer nicht zu warnen.

Card Cracking

Das Knacken von Karten ist eine automatisierte Bedrohung, bei der Angreifer fehlende Werte für das Start- und Ablaufdatum sowie Sicherheitscodes für gestohlene Zahlungskartendaten ermitteln, indem sie verschiedene Werte ausprobieren.

Minimale Implementierung

  1. Installieren Sie Websiteschlüssel für Kästchen auf allen Seiten, auf denen Endnutzer ihre Zahlungsdetails eingeben müssen, einschließlich der Funktionen Kasse und Zahlungsmethode hinzufügen. Weitere Informationen zum Installieren von Kästchen-Websiteschlüsseln finden Sie unter Kästchen-Websiteschlüssel (Kästchen-Abfrage) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie punktzahlbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Zahlungsdetails eingeben müssen. Geben Sie im Parameter action eine Aktion an, z. B. checkout oder add_pmtmethod. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Installieren Sie reCAPTCHA für den Zahlungsvorgang auf Ihrer Website. Weitere Informationen zum Schutz Ihres Zahlungsworkflows finden Sie unter Zahlungsworkflows schützen.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass der Wert mit action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Bewertungen

  4. Speichere alle Bewertungs-IDs und benote die Bewertungen, die zu betrügerischen Käufen oder Rückbuchungen führen, mit fraudulent. Weitere Informationen zum Anfertigen von Anmerkungen zu Bewertungen

Strategie zur Betrugsprävention

Nachdem Sie reCAPTCHA implementiert haben, können Sie eine der folgenden Strategien zur Betrugsprävention verwenden, um Ihre Website vor Kreditkartenbetrug zu schützen:

  • Installieren Sie reCAPTCHA für den Zahlungsvorgang auf Ihrer Website. Weitere Informationen zum Schutz Ihres Zahlungsworkflows finden Sie unter Zahlungsworkflows schützen.

  • Implementieren Sie ein Antwortmodell und erstellen Sie Bewertungen:

    1. Erstellen und implementieren Sie ein Antwortmodell, das anhand des risikobasierten Werts angepasst wird.

      Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

      • Verwenden Sie bei einem niedrigen bis mittleren Bewertungsgrenzwert (0,0–0, 5) ein kontextbezogenes Risikomanagement, z.B.die Begrenzung der Anzahl der Versuche und das Blockieren von Käufen über einem bestimmten Wert.
      • Wenn der höchste Bewertungsgrenzwert (> 0,5) erreicht wird, darf der Endnutzer fortfahren, ohne dass eine Bestätigung erforderlich ist.

    2. Achten Sie beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel auf Ihren Webseiten angegeben haben. Wenn sie nicht übereinstimmen, führe keine Kartenautorisierung durch und erlaube dem Endnutzer nicht, die Karte zu verwenden. Lassen Sie die Transaktion zum Zeitpunkt des Kaufs nach Möglichkeit zu, stornieren Sie sie aber später, um den Angreifer nicht zu warnen.

Passwortknacken

Das Knacken von Anmeldedaten ist eine automatisierte Bedrohung, bei der Angreifer gültige Anmeldedaten ermitteln, indem sie verschiedene Werte für Nutzernamen und Passwörter ausprobieren.

Minimale Implementierung

  1. Installieren Sie Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen, einschließlich der Funktionen Anmelden und Passwort vergessen. Weitere Informationen zum Installieren von Kästchen-Websiteschlüsseln finden Sie unter Kästchen-Websiteschlüssel (Kästchen-Abfrage) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie punktebasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen. Geben Sie im Parameter action eine Aktion an, z. B. login oder authenticate. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Empfohlen: Implementieren Sie die reCAPTCHA-Erkennung gehackter Passwörter für alle Authentifizierungsversuche. Weitere Informationen zur Erkennung von Passwortlecks finden Sie unter Gehackte Passwörter und Anmeldedaten erkennen.
  3. Optional: Wenn Sie Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Bewertung blockieren möchten, können Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die Integration in WAF und Google Cloud Armor verwenden.
  4. Implementieren Sie reCAPTCHA Account Defender, um das Endnutzerverhalten bei Anmeldungen zu analysieren und zusätzliche Signale zu erhalten, die auf eine Kontoübernahme hinweisen können. Weitere Informationen zur Verwendung von reCAPTCHA Account Defender finden Sie unter Kontobezogene betrügerische Aktivitäten erkennen und verhindern.
  5. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass der Wert mit action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Bewertungen
  6. Speichern Sie alle Bewertungs-IDs und fügen Sie der Bewertung, die betrügerisch erscheint, Anmerkungen hinzu, z. B. zu Kontoübernahmen oder anderen betrügerischen Aktivitäten. Weitere Informationen zum Anfertigen von Anmerkungen zu Bewertungen

Strategie zur Betrugsprävention

Nachdem Sie reCAPTCHA implementiert haben, können Sie mit der folgenden Strategie zur Betrugsprävention Ihre Website vor dem Knacken von Anmeldedaten schützen:

  1. Erstellen und implementieren Sie ein Antwortmodell, das anhand des risikobasierten Werts angepasst wird.

    Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

    • Bei einem niedrigen bis mittleren Grenzwert (0,0–0,5) muss der Endnutzer eine Multi-Faktor-Authentifizierung per E-Mail oder SMS durchführen.
    • Wenn der höchste Bewertungsgrenzwert überschritten wird (> 0,5), darf der Endnutzer fortfahren, ohne dass eine Bestätigung erforderlich ist.
  2. Beenden oder unterbrechen Sie Sitzungen für Endnutzer, die sich erfolgreich authentifizieren, aber eine credentialsLeaked: true-Antwort von reCAPTCHA erhalten, und senden Sie den Endnutzern eine E-Mail, in der sie aufgefordert werden, ihr Passwort zu ändern.
  3. Achten Sie beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel auf Ihren Webseiten angegeben haben. Wenn sie nicht übereinstimmen, darf keine Authentifizierung erfolgen.

Credential Stuffing

Credential Stuffing ist eine automatisierte Bedrohung, bei der Angreifer mit Massenanmeldungen die Gültigkeit gestohlener Nutzername/Passwort-Paare prüfen.

Minimale Implementierung

  1. Installieren Sie Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen, einschließlich der Funktionen Anmelden und Passwort vergessen. Weitere Informationen zum Installieren von Kästchen-Websiteschlüsseln finden Sie unter Kästchen-Websiteschlüssel (Kästchen-Abfrage) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie punktebasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen. Geben Sie im Parameter action eine Aktion an, z. B. login oder authenticate. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Empfohlen: Implementieren Sie die reCAPTCHA-Erkennung gehackter Passwörter für alle Authentifizierungsversuche. Weitere Informationen zur Erkennung von Passwortlecks finden Sie unter Gehackte Passwörter und Anmeldedaten erkennen.
  3. Implementieren Sie reCAPTCHA Account Defender, um das Endnutzerverhalten bei Anmeldungen zu analysieren und zusätzliche Signale zu erhalten, die auf eine Kontoübernahme hinweisen können. Weitere Informationen zur Verwendung von reCAPTCHA Account Defender finden Sie unter Kontobezogene betrügerische Aktivitäten erkennen und verhindern.

  4. Optional: Wenn Sie Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Bewertung blockieren möchten, können Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die Integration in WAF und Google Cloud Armor verwenden.

  5. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass der Wert mit action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Bewertungen

  6. Speichere alle Bewertungs-IDs und benote die Bewertungen, die zu betrügerischen Käufen oder Rückbuchungen führen, mit fraudulent. Weitere Informationen zum Anfertigen von Anmerkungen zu Bewertungen

Strategie zur Betrugsprävention

Nachdem Sie reCAPTCHA implementiert haben, können Sie mit der folgenden Strategie zur Betrugsprävention Ihre Website vor Credential Stuffing schützen:

  1. Erstellen und implementieren Sie ein Antwortmodell, das anhand des risikobasierten Werts angepasst wird.

    Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

    • Informieren Sie den Endnutzer bei der niedrigsten reCAPTCHA-Punktzahl (0,0), dass sein Passwort falsch ist.
    • Bei einem mittleren Bewertungsgrenzwert (0,1–0,5) muss der Endnutzer eine Multi-Faktor-Authentifizierung per E-Mail oder SMS durchführen.
    • Wenn der höchste Bewertungsgrenzwert (> 0,5) erreicht wird, darf der Endnutzer fortfahren, ohne dass eine Bestätigung erforderlich ist.
  2. Beenden oder unterbrechen Sie Sitzungen für Endnutzer, die sich erfolgreich authentifizieren, aber eine credentialsLeaked: true-Antwort von reCAPTCHA erhalten, und senden Sie den Endnutzern eine E-Mail, in der sie aufgefordert werden, ihr Passwort zu ändern.
  3. Achten Sie beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel auf Ihren Webseiten angegeben haben. Wenn sie nicht übereinstimmen, darf keine Authentifizierung erfolgen.
  4. Wenn accountDefenderAssessment=PROFILE_MATCH ist, darf der Endnutzer fortfahren, ohne dass eine Identitätsbestätigung erforderlich ist.

Auszahlungen

Cashing out ist eine automatisierte Bedrohung, bei der Angreifer durch die Verwendung gestohlener, zuvor bestätigter Zahlungskarten Bargeld oder Gegenstände mit hohem Wert erhalten.

Minimale Implementierung

  1. Installieren Sie punktebasierte Websiteschlüssel auf allen Seiten, auf denen die Kasse verfügbar ist. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie punktebasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkartendaten eingeben. Geben Sie eine Aktion wie add_gift_card an. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass der Wert mit action übereinstimmt, den Sie bei der Installation der punktebasierten Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Bewertungen

  3. Speichern Sie alle Bewertungs-IDs und kennzeichnen Sie die betrügerischen Transaktionen.

Strategie zur Betrugsprävention

Nachdem Sie reCAPTCHA implementiert haben, können Sie mit der folgenden Strategie zur Betrugsprävention Ihre Website vor Auszahlungen schützen:

  • Installieren Sie reCAPTCHA für den Zahlungsvorgang auf Ihrer Website. Weitere Informationen zum Schutz Ihres Zahlungsworkflows finden Sie unter Zahlungsworkflows schützen.

  • Implementieren Sie ein Antwortmodell und erstellen Sie Bewertungen:

    1. Erstellen und implementieren Sie ein Antwortmodell, das anhand des risikobasierten Werts angepasst wird.

      Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

      • Verwenden Sie bei einem niedrigen bis mittleren Bewertungsgrenzwert (0,0–0, 5) ein kontextbezogenes Risikomanagement, z.B.die Begrenzung der Anzahl der Versuche und das Blockieren von Käufen über einem bestimmten Wert.
      • Wenn der höchste Bewertungsgrenzwert (> 0,5) erreicht wird, darf der Endnutzer fortfahren, ohne dass eine Bestätigung erforderlich ist.
    2. Achten Sie beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel auf Ihren Webseiten angegeben haben. Wenn sie nicht übereinstimmen, darf keine Authentifizierung erfolgen. Lassen Sie die Transaktion zum Zeitpunkt des Kaufs nach Möglichkeit zu, stornieren Sie sie aber später, um den Angreifer nicht zu warnen.

Kontoerstellung

Die Kontoerstellung ist eine automatisierte Bedrohung, bei der Angreifer mehrere Konten für den anschließenden Missbrauch erstellen.

Minimale Implementierung

  1. Installieren Sie Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen, einschließlich der Funktionen Anmelden und Passwort vergessen. Weitere Informationen zum Installieren von Kästchen-Websiteschlüsseln finden Sie unter Kästchen-Websiteschlüssel (Kästchen-Abfrage) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie punktebasierte Websiteschlüssel auf allen Seiten, auf denen Konten erstellt werden. Geben Sie im Parameter action eine Aktion an, z. B. register. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Empfohlen: Implementieren Sie die reCAPTCHA-Erkennung gehackter Passwörter für alle Authentifizierungsversuche. Weitere Informationen zur Erkennung von Passwortlecks finden Sie unter Gehackte Passwörter und Anmeldedaten erkennen.
  3. Implementieren Sie reCAPTCHA Account Defender, um zusätzliche Signale zu erhalten, die auf die Erstellung gefälschter Konten hinweisen. Weitere Informationen zur Verwendung von reCAPTCHA Account Defender finden Sie unter Kontobezogene betrügerische Aktivitäten erkennen und verhindern.

  4. Optional: Wenn Sie Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Bewertung blockieren möchten, können Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die Integration in WAF und Google Cloud Armor verwenden.

  5. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass der Wert mit action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Bewertungen

  6. Speichern Sie alle Bewertungs-IDs und kennzeichnen Sie die Transaktionen, die betrügerisch waren.

Strategie zur Betrugsprävention

Nachdem Sie reCAPTCHA implementiert haben, können Sie mit der folgenden Strategie zur Betrugsprävention Ihre Website vor der Kontoerstellung schützen:

  1. Erstellen und implementieren Sie ein Antwortmodell, das anhand des risikobasierten Werts angepasst wird.

    Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

    • Begrenzen Sie bei der niedrigsten reCAPTCHA-Punktzahl (0,0) die Aktionen des Kontos, bis es weiteren Betrugsüberprüfungen unterzogen wird.
    • Bei einem mittleren Bewertungsgrenzwert (0,1–0,5) muss der Endnutzer eine Multi-Faktor-Authentifizierung per E-Mail oder SMS durchführen.
    • Lassen Sie den Endnutzer bei dem höchsten Bewertungsgrenzwert (> 0,5) ohne Herausforderung fortfahren.
  2. Beenden oder unterbrechen Sie Sitzungen für Endnutzer, die sich erfolgreich authentifizieren, aber eine credentialsLeaked: true-Antwort von reCAPTCHA erhalten, und bitten Sie den Nutzer, ein neues Passwort auszuwählen.
  3. Achten Sie beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel auf Ihren Webseiten angegeben haben. Wenn sie nicht übereinstimmen, dürfen Sie keine Kontoregistrierung oder Kontoerstellung zulassen.
  4. Wenn accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION ist, solltest du den Zugriff des Kontos einschränken, bis eine weitere Überprüfung durchgeführt werden kann.

Betrügerische Konto- und Adressänderungen

Angreifer können versuchen, Kontodetails wie E-Mail-Adressen, Telefonnummern oder Postanschriften im Rahmen von betrügerischen Aktivitäten oder Kontoübernahmen zu ändern.

Minimale Implementierung

  1. Installieren Sie Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen, einschließlich der Funktionen Anmelden und Passwort vergessen. Weitere Informationen zum Installieren von Kästchen-Websiteschlüsseln finden Sie unter Kästchen-Websiteschlüssel (Kästchen-Abfrage) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie punktebasierte Websiteschlüssel auf allen Seiten, auf denen Konten erstellt werden. Geben Sie im Parameter action eine Aktion an, z. B. change_telephone oder change_physicalmail. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass der Wert mit action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Bewertungen

  3. Implementieren Sie reCAPTCHA Account Defender, um das Endnutzerverhalten bei Anmeldungen zu analysieren und zusätzliche Signale zu erhalten, die auf eine Kontoübernahme hinweisen können. Weitere Informationen zur Verwendung von reCAPTCHA Account Defender finden Sie unter Kontobezogene betrügerische Aktivitäten erkennen und verhindern.

  4. Speichern Sie alle Bewertungs-IDs und kennzeichnen Sie die Transaktionen, die betrügerisch waren.

Strategie zur Betrugsprävention

Nachdem Sie reCAPTCHA implementiert haben, können Sie mit der folgenden Strategie zur Betrugsprävention Ihre Website vor betrügerischen Konto- und Adressänderungen schützen:

  1. Erstellen und implementieren Sie ein Antwortmodell, das anhand des risikobasierten Werts angepasst wird.

    Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

    • Bei einem niedrigen bis mittleren Grenzwert (0,0–0,5) muss der Endnutzer eine Multi-Faktor-Authentifizierung per E-Mail oder SMS durchführen.
    • Wenn der höchste Bewertungsgrenzwert überschritten wird (> 0,5), darf der Endnutzer fortfahren, ohne dass eine Bestätigung erforderlich ist.

  2. Achten Sie beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel auf Ihren Webseiten angegeben haben. Wenn sie nicht übereinstimmen, dürfen keine Kontoänderungen vorgenommen werden.

  3. Wenn accountDefenderAssessment in Ihrer Bewertung nicht das Label PROFILE_MATCH hat, fordern Sie den Endnutzer per E-Mail oder SMS zur Multi-Faktor-Authentifizierung auf.

Token-Cracking

Das Token-Cracking ist eine automatisierte Bedrohung, bei der Angreifer eine Massenaufzählung von Gutscheinnummern, Gutscheincodes und Rabatttokens durchführen.

Minimale Implementierung

  1. Installieren Sie Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkartendaten eingeben müssen. Weitere Informationen zum Installieren von Kästchen-Websiteschlüsseln finden Sie unter Kästchen-Websiteschlüssel (Kästchen-Abfrage) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie punktebasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkartendaten eingeben müssen. Geben Sie eine Aktion wie gift_card_entry an. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Optional: Wenn Sie Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Bewertung blockieren möchten, können Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die Integration in WAF und Google Cloud Armor verwenden.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass der Wert mit action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Bewertungen

  4. Speichern Sie alle Bewertungs-IDs und kennzeichnen Sie die Bewertungen, die zu betrügerischen Geschenkkarten oder Gutscheinen führen.

Strategie zur Betrugsprävention

Nachdem Sie reCAPTCHA implementiert haben, können Sie eine der folgenden Strategien zur Betrugsprävention verwenden, um Ihre Website vor Token-Cracking zu schützen:

  • Konfigurieren Sie APIs zur Kartenverwaltung so, dass die reCAPTCHA-Tokens gültig sind und die Bewertungen über dem Grenzwert liegen.

    Wenn die Bewertungen den angegebenen Grenzwert nicht erreichen oder überschreiten, führe keine Autorisierung für Geschenkkarten oder Kreditkarten durch und erlaube dem Endnutzer nicht, den Gutschein oder die Geschenkkarte zu verwenden. Lassen Sie die Transaktion zum Zeitpunkt des Kaufs nach Möglichkeit zu, stornieren Sie sie aber später, um den Angreifer nicht zu warnen.

  • Achten Sie beim Erstellen von Bewertungen darauf, dass sie die folgenden Kriterien für eine erfolgreiche Transaktion erfüllen:

    • Alle bewerteten Tokens sind gültig und haben einen Wert, der über einem bestimmten Schwellenwert liegt.
    • Der Wert von expectedAction muss mit dem Wert von action übereinstimmen, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel auf Ihren Webseiten angegeben haben. Informationen zum Bestätigen von Aktionen finden Sie unter Aktionen bestätigen.

    Wenn eine Transaktion diese Kriterien nicht erfüllt, führe keine Autorisierung für eine Geschenkkarte oder Kreditkarte durch und erlaube dem Endnutzer nicht, den Gutschein oder die Geschenkkarte zu verwenden. Lassen Sie die Transaktion zum Zeitpunkt des Kaufs nach Möglichkeit zu, stornieren Sie sie aber später, um den Angreifer nicht zu warnen.

Scalping

Das Scalping ist eine automatisierte Bedrohung, bei der Angreifer Waren oder Dienstleistungen mit begrenzter Verfügbarkeit und bevorzugtem Status auf unfaire Weise erhalten.

Minimale Implementierung

  1. Installieren Sie punktebasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkarteninformationen eingeben müssen. Geben Sie im Parameter action eine Aktion an, z. B. add_to_cart. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass der Wert mit action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie punktebasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkarteninformationen eingeben müssen. Geben Sie im Parameter action eine Aktion an, z. B. add_to_cart. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Optional: Wenn Sie Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Bewertung blockieren möchten, können Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die Integration in WAF und Google Cloud Armor verwenden.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass der Wert mit action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Bewertungen

  4. Speichern Sie alle Bewertungs-IDs und kennzeichnen Sie die Transaktionen, die betrügerisch waren.

Strategie zur Betrugsprävention

Nachdem Sie reCAPTCHA implementiert haben, können Sie mit der folgenden Strategie zur Betrugsprävention Ihre Website vor Ticket-Scalping schützen:

  1. Erstellen und implementieren Sie ein Antwortmodell, das anhand des risikobasierten Werts angepasst wird.

    Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

    • Verwenden Sie bei einem niedrigen bis mittleren Bewertungsgrenzwert (0,0–0, 5) ein kontextbezogenes Risikomanagement, z.B.die Begrenzung der Anzahl der Versuche und das Blockieren von Käufen über einem bestimmten Wert.
    • Wenn der höchste Bewertungsgrenzwert (> 0,5) erreicht wird, darf der Endnutzer fortfahren, ohne dass eine Bestätigung erforderlich ist.

  2. Achten Sie beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel auf Ihren Webseiten angegeben haben. Andernfalls darf die Autorisierung der Geschenkkarte nicht ausgeführt werden.

Skewing

Eine Verzerrung ist eine automatisierte Bedrohung, bei der Angreifer wiederholte Linkklicks, Seitenanfragen oder Formulareinreichungen verwenden, um einen Messwert zu ändern.

Minimale Implementierung

  1. Installieren Sie punktebasierte Websiteschlüssel auf allen Seiten, auf denen Messwertverzerrungen möglich sind. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie punktebasierte Websiteschlüssel auf allen Seiten, auf denen Messwertverzerrungen möglich sind. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Optional: Wenn Sie Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Bewertung blockieren möchten, können Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die Integration in WAF und Google Cloud Armor verwenden.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass der Wert mit action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Bewertungen

  4. Speichern Sie alle Bewertungs-IDs und kennzeichnen Sie die Transaktionen, die betrügerisch waren.

Strategie zur Betrugsprävention

Nachdem Sie reCAPTCHA implementiert haben, können Sie mit der folgenden Strategie zur Betrugsprävention Ihre Website vor Verzerrungen schützen:

Erstellen und implementieren Sie ein Antwortmodell, das anhand des risikobasierten Werts angepasst wird.

Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

  • Bei einem niedrigen bis mittleren Grenzwert für die Bewertung (0,0–0, 5) sollten Sie ein kontextbezogenes Risikomanagement verwenden, z.B.die Anzahl der Klicks auf eine Anzeige oder die Anzahl der Seitenaktualisierungen durch einen Nutzer erfassen. Anhand dieser Daten können Sie entscheiden, ob der Messwert gezählt werden soll.
  • Lassen Sie den Endnutzer bei dem höchsten Bewertungsgrenzwert (> 0,5) ohne Herausforderung fortfahren.

Scraping

Das Scraping ist eine automatisierte Bedrohung, bei der Angreifer Websitedaten oder -artefakte auf automatisierte Weise erfassen.

Minimale Implementierung

  1. Installieren Sie punktebasierte Websiteschlüssel auf allen Seiten, auf denen wichtige Informationen zu finden sind, sowie auf wichtigen Seiten, auf denen häufig Interaktionen mit Endnutzern stattfinden. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie punktebasierte Websiteschlüssel auf allen Seiten, auf denen wichtige Informationen zu finden sind, sowie auf wichtigen Seiten, auf denen häufig Interaktionen mit Endnutzern stattfinden. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Optional: Wenn Sie Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Bewertung blockieren möchten, können Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die Integration in WAF und Google Cloud Armor verwenden.

  3. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Bewertungen

  4. Speichern Sie alle Bewertungs-IDs und kennzeichnen Sie die Transaktionen, die betrügerisch waren.

Strategie zur Betrugsprävention

Nachdem Sie reCAPTCHA implementiert haben, können Sie mit den folgenden Strategien zur Betrugsprävention Ihre Website vor Scraping schützen:

CAPTCHA-Überlistung

CAPTCHA-Beschränkungen sind eine automatisierte Bedrohung, bei der Angreifer Automatisierung nutzen, um visuelle und/oder akustische CAPTCHA-Tests und zugehörige Rätsel zu analysieren und die Antwort zu ermitteln.

Minimale Implementierung

  1. Installieren Sie standortbasierte Websiteschlüssel auf allen Seiten, auf denen Eingaben von Endnutzern, Kontoerstellung, Zahlungsinformationen oder Interaktionen von Endnutzern mit Betrugspotenzial erforderlich sind. Geben Sie im Parameter action eine beschreibende Aktion an. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass der Wert mit action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie standortbasierte Websiteschlüssel auf allen Seiten, auf denen Eingaben von Endnutzern, Kontoerstellung, Zahlungsinformationen oder Interaktionen von Endnutzern mit Betrugspotenzial erforderlich sind. Geben Sie im Parameter action eine beschreibende Aktion an. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Optional: Wenn Sie Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Bewertung blockieren möchten, können Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die Integration in WAF und Google Cloud Armor verwenden.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass der Wert mit action übereinstimmt, den Sie bei der Installation der punktebasierten Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Bewertungen

  4. Speichere alle Bewertungs-IDs und benote die Bewertungen, die zu betrügerischen Käufen oder Rückbuchungen führen, mit fraudulent. Weitere Informationen zum Anfertigen von Anmerkungen zu Bewertungen

Strategie zur Betrugsprävention

Nachdem Sie reCAPTCHA implementiert haben, können Sie eine der folgenden Strategien zur Betrugsprävention verwenden, um Ihre Website vor CAPTCHA-Bruch zu schützen:

  • Implementieren Sie ein Antwortmodell und erstellen Sie Bewertungen:

    1. Erstellen und implementieren Sie ein Antwortmodell, das anhand des risikobasierten Werts angepasst wird.

      Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

      • Bei einem niedrigen bis mittleren Grenzwert (0,0–0,5) muss der Endnutzer eine Multi-Faktor-Authentifizierung per E-Mail oder SMS durchführen.
      • Wenn der höchste Bewertungsgrenzwert überschritten wird (> 0,5), darf der Endnutzer fortfahren, ohne dass eine Bestätigung erforderlich ist.
    2. Achten Sie beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel auf Ihren Webseiten angegeben haben. Wenn sie nicht übereinstimmen, darf keine Authentifizierung erfolgen.

  • Wenn Endnutzer Webbrowser verwenden, in denen JavaScript deaktiviert ist, gehen Sie so vor:

    1. Blockieren Sie diese Endnutzer.
    2. Informieren Sie die Endnutzer, dass für die Nutzung Ihrer Website JavaScript erforderlich ist.

  • Sorgen Sie dafür, dass das grecaptcha.enterprise.ready-Versprechen erfüllt wird, um zu verhindern, dass Browser von Endnutzern das Laden des Google-Scripts blockieren. Dies bedeutet, dass reCAPTCHA vollständig geladen ist und kein Fehler aufgetreten ist.

  • Bei APIs, die nur für das Web verfügbar sind, empfehlen wir, das reCAPTCHA-Token oder das Ergebnis der reCAPTCHA-Bewertung an die Backend-API zu übergeben und die API-Aktion nur dann zuzulassen, wenn das reCAPTCHA-Token gültig ist und einen bestimmten Grenzwert erreicht. So wird sichergestellt, dass der Endnutzer die API nicht ohne die Website verwendet.

Nächste Schritte