Praktik terbaik untuk perlindungan dari ancaman otomatis

Dokumen ini menjelaskan penerapan yang direkomendasikan untuk reCAPTCHA Enterprise dan strategi mitigasi penipuan untuk melindungi dari ancaman otomatis yang kritis (OWASP Automated Threats (OAT) terhadap Aplikasi Web). Arsitek perusahaan dan pemangku kepentingan teknologi dapat meninjau informasi ini untuk membuat keputusan yang tepat tentang implementasi reCAPTCHA Enterprise dan strategi mitigasi penipuan untuk kasus penggunaan mereka.

Dokumen ini berisi informasi berikut untuk setiap jenis ancaman:

  • Implementasi reCAPTCHA Enterprise yang optimal. Implementasi ini dirancang dengan fitur reCAPTCHA Enterprise yang relevan untuk perlindungan terhadap penipuan terbaik.

  • Implementasi minimal reCAPTCHA Enterprise. Implementasi ini dirancang untuk setidaknya memberikan perlindungan terhadap penipuan.

  • Strategi mitigasi penipuan yang direkomendasikan.

Pilih strategi penerapan dan mitigasi penipuan yang paling sesuai dengan kasus penggunaan Anda. Faktor-faktor berikut dapat memengaruhi penerapan dan strategi mitigasi penipuan yang Anda pilih:

  • Kebutuhan dan kemampuan organisasi antipenipuan.
  • Lingkungan organisasi yang sudah ada.

Untuk mengetahui informasi tentang penerapan umum reCAPTCHA Enterprise yang direkomendasikan, lihat Praktik terbaik untuk menggunakan reCAPTCHA Enterprise.

Untuk informasi selengkapnya tentang strategi mitigasi penipuan untuk kasus penggunaan Anda, hubungi tim penjualan kami.

Kartu

Carding adalah ancaman otomatis yang mana penyerang melakukan beberapa upaya otorisasi pembayaran untuk memverifikasi validitas data kartu pembayaran yang dicuri secara massal.

Implementasi minimum

  1. Instal kunci situs kotak centang di semua halaman tempat pengguna akhir harus memasukkan informasi kartu kredit mereka. Untuk mempelajari cara menginstal kunci situs kotak centang, lihat Menginstal kunci situs kotak centang (verifikasi kotak centang) di situs.

  2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Implementasi yang optimal

  1. Instal kunci situs berbasis skor di semua halaman yang mengharuskan pengguna akhir memasukkan informasi kartu kredit mereka. Tentukan tindakan dalam parameter action seperti card_entry. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

  2. Instal reCAPTCHA Enterprise untuk alur kerja pembayaran di situs Anda. Untuk mempelajari cara melindungi alur kerja pembayaran, lihat Melindungi alur kerja pembayaran.

  3. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

  4. Simpan semua ID penilaian dan anotasikan penilaian yang berubah menjadi pembelian atau penagihan balik yang bersifat menipu sebagai fraudulent. Untuk mempelajari cara membuat anotasi pada penilaian, lihat Memberi anotasi pada penilaian.

Strategi mitigasi penipuan

Setelah menerapkan reCAPTCHA Enterprise, gunakan salah satu strategi mitigasi penipuan berikut untuk melindungi situs Anda dari carding:

  • Instal reCAPTCHA Enterprise untuk alur kerja pembayaran di situs Anda. Untuk mempelajari cara melindungi alur kerja pembayaran, lihat Melindungi alur kerja pembayaran.

  • Konfigurasi API pengelolaan kartu untuk memastikan bahwa token reCAPTCHA valid dan skornya lebih besar dari nilai minimumnya.

    Jika skor tidak memenuhi atau melebihi nilai minimum yang ditentukan, jangan menjalankan otorisasi kartu atau mengizinkan pengguna akhir menggunakan kartu. Jika memungkinkan, izinkan transaksi dilanjutkan pada saat pembelian, tetapi batalkan transaksi nanti agar penyerang tidak terjebak.

  • Saat membuat penilaian, pastikan penilaian Anda memenuhi kriteria berikut untuk keberhasilan transaksi:

    • Semua token yang dinilai valid dan memiliki skor yang lebih besar dari nilai minimum yang ditentukan.
    • Nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Untuk mempelajari cara memverifikasi tindakan, lihat tindakan verifikasi.

    Jika transaksi tidak memenuhi kriteria ini, jangan menjalankan otorisasi kartu atau mengizinkan pengguna akhir menggunakan kartu. Jika memungkinkan, izinkan transaksi dilanjutkan pada saat pembelian, tetapi batalkan transaksi nanti agar penyerang tidak terjebak.

Peretasan kartu

Peretasan kartu adalah ancaman otomatis yang menyebabkan penyerang mengidentifikasi nilai yang hilang untuk tanggal mulai, tanggal habis masa berlaku, dan kode keamanan untuk data kartu pembayaran yang dicuri dengan mencoba nilai berbeda.

Implementasi minimum

  1. Instal kunci situs kotak centang di semua halaman tempat pengguna akhir harus memasukkan detail pembayaran mereka, termasuk fungsi checkout dan tambahkan metode pembayaran. Untuk mempelajari cara menginstal kunci situs kotak centang, lihat Menginstal kunci situs kotak centang (verifikasi kotak centang) di situs.

  2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Implementasi yang optimal

  1. Instal kunci situs berbasis skor di semua halaman yang mengharuskan pengguna akhir memasukkan detail pembayaran mereka. Tentukan tindakan dalam parameter action seperti checkout atau add_pmtmethod. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

  2. Instal reCAPTCHA Enterprise untuk alur kerja pembayaran di situs Anda. Untuk mempelajari cara melindungi alur kerja pembayaran, lihat Melindungi alur kerja pembayaran.

  3. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

  4. Simpan semua ID penilaian dan anotasikan penilaian yang berubah menjadi pembelian atau penagihan balik yang bersifat menipu sebagai fraudulent. Untuk mempelajari cara membuat anotasi pada penilaian, lihat Memberi anotasi pada penilaian.

Strategi mitigasi penipuan

Setelah menerapkan reCAPTCHA Enterprise, gunakan salah satu strategi mitigasi penipuan berikut untuk melindungi situs Anda dari cracking kartu:

  • Instal reCAPTCHA Enterprise untuk alur kerja pembayaran di situs Anda. Untuk mempelajari cara melindungi alur kerja pembayaran, lihat Melindungi alur kerja pembayaran.

  • Terapkan model respons dan buat penilaian:

    1. Membuat dan menerapkan model respons yang disesuaikan untuk risiko berbasis skor.

      Contoh berikut menunjukkan contoh model respons:

      • Untuk ambang batas skor rendah hingga menengah (0,0-0,5), gunakan manajemen risiko berbasis konteks, seperti membatasi jumlah percobaan, dan memblokir pembelian di atas nilai yang ditentukan.
      • Untuk ambang batas skor tertinggi (> 0,5), biarkan pengguna akhir melanjutkan tanpa tantangan apa pun.

    2. Saat membuat penilaian, pastikan nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Jika tidak sesuai, jangan jalankan otorisasi kartu atau izinkan pengguna akhir menggunakan kartu tersebut. Jika memungkinkan, izinkan transaksi dilanjutkan pada saat pembelian, tetapi batalkan transaksi nanti agar penyerang tidak terjebak.

Peretasan kredensial

Peretasan kredensial adalah ancaman otomatis yang menyebabkan penyerang mengidentifikasi kredensial login yang valid dengan mencoba nilai nama pengguna dan sandi yang berbeda-beda.

Implementasi minimum

  1. Instal kunci situs kotak centang di semua halaman yang mengharuskan pengguna akhir memasukkan kredensial mereka, termasuk fungsi login dan lupa sandi saya. Untuk mempelajari cara menginstal kunci situs kotak centang, lihat Menginstal kunci situs kotak centang (verifikasi kotak centang) di situs.

  2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Implementasi yang optimal

  1. Instal kunci situs berbasis skor di semua halaman yang mengharuskan pengguna akhir memasukkan kredensial mereka. Tentukan tindakan dalam parameter action seperti login atau authenticate. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.
  2. Direkomendasikan: Menerapkan deteksi kebocoran sandi reCAPTCHA Enterprise untuk semua upaya autentikasi. Untuk mempelajari cara menggunakan deteksi kebocoran sandi, lihat Mendeteksi kebocoran sandi dan kredensial yang dilanggar.
  3. Opsional: Untuk mengaktifkan pemblokiran interaksi skor bervolume tinggi dan reCAPTCHA rendah, integrasikan reCAPTCHA Enterprise dengan firewall aplikasi web (WAF). Misalnya, Anda dapat menggunakan reCAPTCHA Enterprise untuk integrasi WAF dan Google Cloud Armor.
  4. Terapkan pelindung akun reCAPTCHA Enterprise untuk membuat tren perilaku pengguna akhir di seluruh login dan menerima sinyal tambahan yang dapat menunjukkan ATO. Untuk mempelajari cara menggunakan pelindung akun reCAPTCHA Enterprise, lihat Mendeteksi dan mencegah aktivitas penipuan terkait akun.
  5. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.
  6. Simpan semua ID Penilaian dan anotasikan penilaian yang tampak menipu, seperti Pengambilalihan Akun (ATO) atau aktivitas penipuan lainnya. Untuk mempelajari cara membuat anotasi pada penilaian, lihat Memberi anotasi pada penilaian.

Strategi mitigasi penipuan

Setelah menerapkan reCAPTCHA Enterprise, gunakan strategi mitigasi penipuan berikut untuk melindungi situs Anda dari cracking kredensial:

  1. Membuat dan menerapkan model respons yang disesuaikan untuk risiko berbasis skor.

    Contoh berikut menunjukkan contoh model respons:

    • Untuk nilai minimum skor rendah hingga menengah (0,0-0,5), tantang pengguna akhir dengan autentikasi multi-faktor melalui email atau SMS.
    • Untuk ambang batas skor tertinggi (> 0,5), biarkan pengguna akhir melanjutkan tanpa tantangan apa pun.
  2. Akhiri atau interupsi sesi untuk pengguna akhir yang berhasil mengautentikasi, tetapi menerima respons credentialsLeaked: true dari deteksi kebocoran sandi reCAPTCHA Enterprise, dan kirim email ke pengguna akhir untuk mengubah sandi mereka.
  3. Saat membuat penilaian, pastikan nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Jika keduanya tidak cocok, otentikasi jangan diizinkan.

Penjejalan kredensial

Penjejalan kredensial adalah ancaman otomatis yang menyebabkan penyerang menggunakan upaya login massa untuk memverifikasi validitas pasangan nama pengguna/sandi yang dicuri.

Implementasi minimum

  1. Instal kunci situs kotak centang di semua halaman yang mengharuskan pengguna akhir memasukkan kredensial mereka, termasuk fungsi login dan lupa sandi saya. Untuk mempelajari cara menginstal kunci situs kotak centang, lihat Menginstal kunci situs kotak centang (verifikasi kotak centang) di situs.

  2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Implementasi yang optimal

  1. Instal kunci situs berbasis skor di semua halaman yang mengharuskan pengguna akhir memasukkan kredensial mereka. Tentukan tindakan dalam parameter action seperti login atau authenticate. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.
  2. Direkomendasikan: Menerapkan deteksi kebocoran sandi reCAPTCHA Enterprise untuk semua upaya autentikasi. Untuk mempelajari cara menggunakan deteksi kebocoran sandi, lihat Mendeteksi kebocoran sandi dan kredensial yang dilanggar.
  3. Terapkan pelindung akun reCAPTCHA Enterprise untuk membuat tren perilaku pengguna akhir di seluruh login dan menerima sinyal tambahan yang dapat menunjukkan ATO. Untuk mempelajari cara menggunakan pelindung akun reCAPTCHA Enterprise, lihat Mendeteksi dan mencegah aktivitas penipuan terkait akun.
  4. Opsional: Untuk mengaktifkan pemblokiran interaksi skor bervolume tinggi dan reCAPTCHA rendah, integrasikan reCAPTCHA Enterprise dengan firewall aplikasi web (WAF). Misalnya, Anda dapat menggunakan reCAPTCHA Enterprise untuk integrasi WAF dan Google Cloud Armor.

  5. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

  6. Simpan semua ID penilaian dan anotasikan penilaian yang berubah menjadi pembelian atau penagihan balik yang bersifat menipu sebagai fraudulent. Untuk mempelajari cara membuat anotasi pada penilaian, lihat Memberi anotasi pada penilaian.

Strategi mitigasi penipuan

Setelah menerapkan reCAPTCHA Enterprise, gunakan strategi mitigasi penipuan berikut untuk melindungi situs Anda dari credential stuffing:

  1. Membuat dan menerapkan model respons yang disesuaikan untuk risiko berbasis skor.

    Contoh berikut menunjukkan contoh model respons:

    • Untuk nilai minimum skor reCAPTCHA terendah (0,0), beri tahu pengguna akhir bahwa sandi mereka salah.
    • Untuk ambang batas skor menengah (0,1-0,5), tantang pengguna akhir dengan autentikasi multi-faktor melalui email atau SMS.
    • Untuk ambang batas skor tertinggi (> 0,5), biarkan pengguna akhir melanjutkan tanpa tantangan apa pun.
  2. Akhiri atau interupsi sesi untuk pengguna akhir yang berhasil mengautentikasi, tetapi menerima respons credentialsLeaked: true dari deteksi kebocoran sandi reCAPTCHA Enterprise, dan kirim email ke pengguna akhir untuk mengubah sandi mereka.
  3. Saat membuat penilaian, pastikan nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Jika keduanya tidak cocok, otentikasi jangan diizinkan.
  4. Dalam penilaian Anda, jika accountDefenderAssessment=PROFILE_MATCH, izinkan pengguna akhir melanjutkan tanpa tantangan apa pun.

Menguangkan

Pencairan uang adalah ancaman otomatis yang memungkinkan penyerang memperoleh mata uang atau item bernilai tinggi melalui penggunaan kartu pembayaran curian yang telah divalidasi sebelumnya.

Implementasi minimum

  1. Instal kunci situs berbasis skor di semua halaman yang memungkinkan checkout. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.
  2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Implementasi yang optimal

  1. Instal kunci situs berbasis skor di semua halaman tempat pengguna akhir memasukkan informasi kartu voucher mereka. Tentukan tindakan seperti add_gift_card. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.
  2. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

  3. Simpan semua tanda pengenal penilaian dan beri anotasi pada transaksi yang merupakan penipuan.

Strategi mitigasi penipuan

Setelah menerapkan reCAPTCHA Enterprise, gunakan strategi mitigasi penipuan berikut untuk melindungi situs Anda agar tidak mencairkan:

  • Instal reCAPTCHA Enterprise untuk alur kerja pembayaran di situs Anda. Untuk mempelajari cara melindungi alur kerja pembayaran, lihat Melindungi alur kerja pembayaran.

  • Terapkan model respons dan buat penilaian:

    1. Membuat dan menerapkan model respons yang disesuaikan untuk risiko berbasis skor.

      Contoh berikut menunjukkan contoh model respons:

      • Untuk ambang batas skor rendah hingga menengah (0,0-0,5), gunakan manajemen risiko berbasis konteks, seperti membatasi jumlah percobaan, dan memblokir pembelian di atas nilai yang ditentukan.
      • Untuk ambang batas skor tertinggi (> 0,5), biarkan pengguna akhir melanjutkan tanpa tantangan apa pun.
    2. Saat membuat penilaian, pastikan nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Jika keduanya tidak cocok, otentikasi jangan diizinkan. Jika memungkinkan, izinkan transaksi dilanjutkan pada saat pembelian, tetapi batalkan transaksi nanti agar penyerang tidak terjebak.

Pembuatan akun

Pembuatan akun adalah ancaman otomatis yang memungkinkan penyerang membuat beberapa akun untuk penyalahgunaan berikutnya.

Implementasi minimum

  1. Instal kunci situs kotak centang di semua halaman yang mengharuskan pengguna akhir memasukkan kredensial mereka, termasuk fungsi login dan lupa sandi saya. Untuk mempelajari cara menginstal kunci situs kotak centang, lihat Menginstal kunci situs kotak centang (verifikasi kotak centang) di situs.

  2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Implementasi yang optimal

  1. Instal kunci situs berbasis skor di semua halaman tempat akun dibuat. Tentukan tindakan dalam parameter action seperti register. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.
  2. Direkomendasikan: Menerapkan deteksi kebocoran sandi reCAPTCHA Enterprise untuk semua upaya autentikasi. Untuk mempelajari cara menggunakan deteksi kebocoran sandi, lihat Mendeteksi kebocoran sandi dan kredensial yang dilanggar.
  3. Terapkan pelindung akun reCAPTCHA Enterprise untuk menerima sinyal tambahan yang menunjukkan pembuatan akun palsu. Untuk mempelajari cara menggunakan pelindung akun reCAPTCHA Enterprise, lihat Mendeteksi dan mencegah aktivitas penipuan terkait akun.
  4. Opsional: Untuk mengaktifkan pemblokiran interaksi skor bervolume tinggi dan reCAPTCHA rendah, integrasikan reCAPTCHA Enterprise dengan firewall aplikasi web (WAF). Misalnya, Anda dapat menggunakan reCAPTCHA Enterprise untuk integrasi WAF dan Google Cloud Armor.

  5. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

  6. Simpan semua tanda pengenal penilaian dan beri anotasi pada transaksi yang merupakan penipuan.

Strategi mitigasi penipuan

Setelah menerapkan reCAPTCHA Enterprise, gunakan strategi mitigasi penipuan berikut untuk melindungi situs Anda dari pembuatan akun:

  1. Membuat dan menerapkan model respons yang disesuaikan untuk risiko berbasis skor.

    Contoh berikut menunjukkan contoh model respons:

    • Untuk nilai minimum skor reCAPTCHA terendah (0,0), batasi tindakan akun hingga akun tersebut menjalani pemeriksaan penipuan lebih lanjut.
    • Untuk ambang skor menengah (0,1-0,5), tantang pengguna akhir dengan otentikasi multi-faktor melalui email atau SMS.
    • Untuk ambang batas skor tertinggi (> 0,5), biarkan pengguna akhir melanjutkan tanpa tantangan apa pun.
  2. Akhiri atau interupsi sesi untuk pengguna akhir yang berhasil mengautentikasi, tetapi menerima respons credentialsLeaked: true dari deteksi kebocoran sandi reCAPTCHA Enterprise, dan minta pengguna untuk memilih sandi baru.
  3. Saat membuat penilaian, pastikan nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Jika keduanya tidak cocok, jangan izinkan pendaftaran atau pembuatan akun.
  4. Dalam penilaian Anda, jika accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, batasi akses akun hingga validasi dapat dilakukan lebih lanjut.

Perubahan akun dan alamat penipuan

Penyerang mungkin mencoba mengubah detail akun, termasuk alamat email, nomor telepon, atau alamat surat sebagai bagian dari aktivitas penipuan atau pengambilalihan akun.

Implementasi minimum

  1. Instal kunci situs kotak centang di semua halaman yang mengharuskan pengguna akhir memasukkan kredensial mereka, termasuk fungsi login dan lupa sandi saya. Untuk mempelajari cara menginstal kunci situs kotak centang, lihat Menginstal kunci situs kotak centang (verifikasi kotak centang) di situs.

  2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Implementasi yang optimal

  1. Instal kunci situs berbasis skor di semua halaman tempat akun dibuat. Tentukan tindakan dalam parameter action seperti change_telephone atau change_physicalmail. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

  2. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

  3. Terapkan pelindung akun reCAPTCHA Enterprise untuk membuat tren perilaku pengguna akhir di seluruh login dan menerima sinyal tambahan yang dapat menunjukkan ATO. Untuk mempelajari cara menggunakan pelindung akun reCAPTCHA Enterprise, lihat Mendeteksi dan mencegah aktivitas penipuan terkait akun.

  4. Simpan semua tanda pengenal penilaian dan beri anotasi pada transaksi yang merupakan penipuan.

Strategi mitigasi penipuan

Setelah menerapkan reCAPTCHA Enterprise, gunakan strategi mitigasi penipuan berikut untuk melindungi situs Anda dari perubahan alamat dan akun penipuan:

  1. Membuat dan menerapkan model respons yang disesuaikan untuk risiko berbasis skor.

    Contoh berikut menunjukkan contoh model respons:

    • Untuk nilai minimum skor rendah hingga menengah (0,0-0,5), tantang pengguna akhir dengan autentikasi multi-faktor melalui email atau SMS.
    • Untuk ambang batas skor tertinggi (> 0,5), biarkan pengguna akhir melanjutkan tanpa tantangan apa pun.

  2. Saat membuat penilaian, pastikan nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Jika tidak cocok, kami tidak mengizinkan perubahan akun.

  3. Dalam penilaian Anda, jika accountDefenderAssessment tidak memiliki label PROFILE_MATCH, tantang pengguna akhir dengan autentikasi multi-faktor melalui email atau SMS.

Peretasan token

Peretasan token adalah ancaman otomatis yang menyebabkan penyerang melakukan enumerasi massal nomor kupon, kode voucher, token diskon.

Implementasi minimum

  1. Instal kunci situs kotak centang di semua halaman tempat pengguna akhir perlu memasukkan informasi kartu hadiah mereka. Untuk mempelajari cara menginstal kunci situs kotak centang, lihat Menginstal kunci situs kotak centang (verifikasi kotak centang) di situs.

  2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Implementasi yang optimal

  1. Instal kunci situs berbasis skor di semua halaman yang mengharuskan pengguna akhir memasukkan informasi kartu hadiah. Tentukan tindakan seperti gift_card_entry. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

  2. Opsional: Untuk mengaktifkan pemblokiran interaksi skor bervolume tinggi dan reCAPTCHA rendah, integrasikan reCAPTCHA Enterprise dengan firewall aplikasi web (WAF). Misalnya, Anda dapat menggunakan reCAPTCHA Enterprise untuk integrasi WAF dan Google Cloud Armor.

  3. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

  4. Simpan semua tanda pengenal dan anotasikan penilaian yang berubah menjadi kartu voucher atau kupon penipuan.

Strategi mitigasi penipuan

Setelah menerapkan reCAPTCHA Enterprise, gunakan salah satu strategi mitigasi penipuan berikut untuk melindungi situs Anda dari cracking token:

  • Konfigurasi API pengelolaan kartu untuk memastikan bahwa token reCAPTCHA valid dan skornya lebih besar dari nilai minimumnya.

    Jika skor tersebut tidak memenuhi atau melebihi batas yang ditentukan, jangan menjalankan otorisasi kartu voucher atau kartu kredit, atau mengizinkan pengguna akhir menggunakan kupon atau kartu voucher. Jika memungkinkan, izinkan transaksi dilanjutkan pada saat pembelian, tetapi batalkan transaksi nanti agar penyerang tidak terjebak.

  • Saat membuat penilaian, pastikan penilaian Anda memenuhi kriteria berikut untuk keberhasilan transaksi:

    • Semua token yang dinilai valid dan memiliki skor yang lebih besar dari nilai minimum yang ditentukan.
    • Nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Untuk mempelajari cara memverifikasi tindakan, lihat tindakan verifikasi.

    Jika transaksi tidak memenuhi kriteria ini, jangan jalankan otorisasi kartu voucher atau kartu kredit, atau izinkan pengguna akhir menggunakan kupon atau kartu voucher. Jika memungkinkan, izinkan transaksi dilanjutkan pada saat pembelian, tetapi batalkan transaksi nanti agar penyerang tidak terjebak.

{i>Scalping<i}

Scalping adalah ancaman otomatis yang memungkinkan penyerang mendapatkan ketersediaan terbatas dan barang atau layanan pilihan dengan metode yang tidak adil.

Implementasi minimum

  1. Instal kunci situs berbasis skor di semua halaman yang mengharuskan pengguna akhir memasukkan informasi kartu voucher mereka. Tentukan tindakan dalam parameter action seperti add_to_cart. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.
  2. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Implementasi yang optimal

  1. Instal kunci situs berbasis skor di semua halaman yang mengharuskan pengguna akhir memasukkan informasi kartu voucher mereka. Tentukan tindakan dalam parameter action seperti add_to_cart. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

  2. Opsional: Untuk mengaktifkan pemblokiran interaksi skor bervolume tinggi dan reCAPTCHA rendah, integrasikan reCAPTCHA Enterprise dengan firewall aplikasi web (WAF). Misalnya, Anda dapat menggunakan reCAPTCHA Enterprise untuk integrasi WAF dan Google Cloud Armor.

  3. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

  4. Simpan semua tanda pengenal penilaian dan beri anotasi pada transaksi yang merupakan penipuan.

Strategi mitigasi penipuan

Setelah menerapkan reCAPTCHA Enterprise, gunakan strategi mitigasi penipuan berikut untuk melindungi situs Anda dari scalping:

  1. Membuat dan menerapkan model respons yang disesuaikan untuk risiko berbasis skor.

    Contoh berikut menunjukkan contoh model respons:

    • Untuk ambang batas skor rendah hingga menengah (0,0-0,5), gunakan manajemen risiko berbasis konteks, seperti membatasi jumlah percobaan, dan memblokir pembelian di atas nilai yang ditentukan.
    • Untuk ambang batas skor tertinggi (> 0,5), biarkan pengguna akhir melanjutkan tanpa tantangan apa pun.

  2. Saat membuat penilaian, pastikan nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Jika keduanya tidak cocok, jangan jalankan otorisasi kartu voucher.

Kemiringan

Skewing adalah ancaman otomatis yang menyebabkan penyerang menggunakan klik link berulang, permintaan halaman, atau pengiriman formulir untuk mengubah beberapa metrik.

Implementasi minimum

  1. Instal kunci situs berbasis skor di semua halaman yang dapat mendistorsi metrik. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.
  2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Implementasi yang optimal

  1. Instal kunci situs berbasis skor di semua halaman yang dapat mendistorsi metrik. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

  2. Opsional: Untuk mengaktifkan pemblokiran interaksi skor bervolume tinggi dan reCAPTCHA rendah, integrasikan reCAPTCHA Enterprise dengan firewall aplikasi web (WAF). Misalnya, Anda dapat menggunakan reCAPTCHA Enterprise untuk integrasi WAF dan Google Cloud Armor.

  3. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

  4. Simpan semua tanda pengenal penilaian dan beri anotasi pada transaksi yang merupakan penipuan.

Strategi mitigasi penipuan

Setelah menerapkan reCAPTCHA Enterprise, gunakan strategi mitigasi penipuan berikut untuk melindungi situs Anda dari distorsi:

Membuat dan menerapkan model respons yang disesuaikan untuk risiko berbasis skor.

Contoh berikut menunjukkan contoh model respons:

  • Untuk nilai minimum skor rendah hingga menengah (0,0-0,5), gunakan pengelolaan risiko berbasis konteks, seperti melacak frekuensi pengguna mengklik iklan, atau frekuensi pengguna memuat ulang halaman. Gunakan data ini untuk menentukan apakah akan menghitung metrik atau tidak.
  • Untuk ambang batas skor tertinggi (> 0,5), biarkan pengguna akhir melanjutkan tanpa tantangan apa pun.

Pengikisan

Scraping adalah ancaman otomatis yang menyebabkan penyerang mengumpulkan data situs atau artefak dengan cara otomatis.

Implementasi minimum

  1. Instal kunci situs berbasis skor pada semua halaman tempat informasi penting berada dan di halaman interaksi pengguna akhir yang umum. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.
  2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Implementasi yang optimal

  1. Instal kunci situs berbasis skor pada semua halaman tempat informasi penting berada dan di halaman interaksi pengguna akhir yang umum. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

  2. Opsional: Untuk mengaktifkan pemblokiran interaksi skor bervolume tinggi dan reCAPTCHA rendah, integrasikan reCAPTCHA Enterprise dengan firewall aplikasi web (WAF). Misalnya, Anda dapat menggunakan reCAPTCHA Enterprise untuk integrasi WAF dan Google Cloud Armor.

  3. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

  4. Simpan semua tanda pengenal penilaian dan beri anotasi pada transaksi yang merupakan penipuan.

Strategi mitigasi penipuan

Setelah menerapkan reCAPTCHA Enterprise, gunakan strategi mitigasi penipuan berikut untuk melindungi situs Anda dari scraping:

Kekalahan CAPTCHA

Kekalahan CAPTCHA adalah ancaman otomatis yang memungkinkan penyerang menggunakan otomatisasi dalam upaya menganalisis dan menentukan jawaban atas tes CAPTCHA visual dan/atau aural serta teka-teki terkait.

Implementasi minimum

  1. Instal kunci situs berbasis skor di semua halaman yang melibatkan input pengguna akhir, pembuatan akun, informasi pembayaran, atau interaksi pengguna akhir dengan potensi penipuan. Tentukan tindakan deskriptif dalam parameter action. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

  2. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Implementasi yang optimal

  1. Instal kunci situs berbasis skor di semua halaman yang melibatkan input pengguna akhir, pembuatan akun, informasi pembayaran, atau interaksi pengguna akhir dengan potensi penipuan. Tentukan tindakan deskriptif dalam parameter action. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.
  2. Opsional: Untuk mengaktifkan pemblokiran interaksi skor bervolume tinggi dan reCAPTCHA rendah, integrasikan reCAPTCHA Enterprise dengan firewall aplikasi web (WAF). Misalnya, Anda dapat menggunakan reCAPTCHA Enterprise untuk integrasi WAF dan Google Cloud Armor.

  3. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

  4. Simpan semua ID penilaian dan anotasikan penilaian yang berubah menjadi pembelian atau penagihan balik yang bersifat menipu sebagai fraudulent. Untuk mempelajari cara membuat anotasi pada penilaian, lihat Memberi anotasi pada penilaian.

Strategi mitigasi penipuan

Setelah menerapkan reCAPTCHA Enterprise, gunakan salah satu strategi mitigasi penipuan berikut untuk melindungi situs Anda dari kekalahan CAPTCHA:

  • Terapkan model respons dan buat penilaian:

    1. Membuat dan menerapkan model respons yang disesuaikan untuk risiko berbasis skor.

      Contoh berikut menunjukkan contoh model respons:

      • Untuk nilai minimum skor rendah hingga menengah (0,0-0,5), tantang pengguna akhir dengan autentikasi multi-faktor melalui email atau SMS.
      • Untuk ambang batas skor tertinggi (> 0,5), biarkan pengguna akhir melanjutkan tanpa tantangan apa pun.
    2. Saat membuat penilaian, pastikan nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Jika keduanya tidak cocok, otentikasi jangan diizinkan.
  • Jika pengguna akhir menggunakan browser web yang JavaScript-nya dinonaktifkan, lakukan hal berikut:

    1. Blokir pengguna akhir tersebut.
    2. Beri tahu pengguna akhir bahwa situs Anda memerlukan JavaScript untuk melanjutkan.
  • Pastikan promise grecaptcha.enterprise.ready terpenuhi untuk mencegah browser pengguna akhir yang memblokir pemuatan skrip Google. Hal ini menunjukkan bahwa reCAPTCHA Enterprise telah dimuat sepenuhnya dan tidak mengalami error.

  • Untuk API khusus web, sebaiknya teruskan token reCAPTCHA atau hasil penilaian reCAPTCHA ke API backend, lalu hanya izinkan tindakan API jika token reCAPTCHA valid dan memenuhi nilai minimum skor. Hal ini memastikan bahwa pengguna akhir tidak menggunakan API tanpa melalui situs.

Langkah selanjutnya