Best Practices zum Schutz vor automatisierten Bedrohungen

In diesem Dokument werden die empfohlenen Implementierungen von reCAPTCHA und Strategien zur Betrugsbekämpfung vor kritischen automatisierten Angriffen Bedrohungen (OWASP Automated Threats (OAT) to Web Applications). Unternehmensarchitekten und Technologie-Stakeholder können diese Informationen um eine fundierte Entscheidung über das reCAPTCHA zu treffen, Implementierungs- und Betrugsbekämpfungsstrategie für den jeweiligen Anwendungsfall.

Dieses Dokument enthält für jede Art von Bedrohung die folgenden Informationen:

  • Optimale Implementierung von reCAPTCHA. Diese Implementierung ist mit den relevanten reCAPTCHA-Funktionen entwickelt, Betrugsschutz.

  • Minimale Implementierung von reCAPTCHA. Diese Implementierung ist die für einen minimalen Betrugsschutz sorgen.

  • Empfohlene Strategien zur Betrugsbekämpfung

Wählen Sie die Implementierungs- und Betrugspräventionsstrategie aus, die am besten zu Ihrem Anwendungsfall passt. Die Implementierung und Betrugsbekämpfung kann durch folgende Faktoren beeinflusst werden: Strategie auswählen:

  • die Bedürfnisse und Fähigkeiten der Organisation zur Betrugsbekämpfung.
  • In der bestehenden Umgebung der Organisation.

Weitere Informationen zu den Strategien zur Betrugsprävention für Ihren Anwendungsfall erhalten Sie von unserem Vertriebsteam.

Kardieren

Carding ist eine automatisierte Bedrohung, bei der Angreifer mehrere Zahlungsautorisierungsversuche ausführen, um die Gültigkeit von gestohlenen Zahlungskartendaten in großen Mengen zu überprüfen.

Minimale Implementierung

  1. Installieren Sie Websiteschlüssel für Kästchen auf allen Seiten, auf denen Endnutzer ihre Kreditkartendaten eingeben müssen. Weitere Informationen zum Installieren von Websiteschlüsseln mit Kästchen finden Sie unter Websiteschlüssel mit Kästchen (Kästchen-Herausforderung) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Kreditkartendaten eingeben müssen. Geben Sie im action-Parameter eine Aktion an, z. B. card_entry. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Installieren Sie reCAPTCHA für den Zahlungsvorgang auf Ihrer Website. Weitere Informationen zum Schutz Informationen zu Ihrem Zahlungsablauf finden Sie unter Zahlungsabläufe schützen.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass der Wert mit action übereinstimmt, den Sie bei der Installation der punktebasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen

  4. Speichere alle Bewertungs-IDs und benote die Bewertungen, die zu betrügerischen Käufen oder Rückbuchungen führen, mit fraudulent. Informationen zum Annotieren von Bewertungen finden Sie unter Bewertungen mit Anmerkungen versehen.

Strategie zur Betrugsprävention

Verwenden Sie nach der Implementierung von reCAPTCHA eine der folgenden Optionen Strategien zur Betrugsbekämpfung, um Ihre Website vor Carding zu schützen:

  • Installieren Sie reCAPTCHA für den Zahlungs-Workflow auf Ihrer Website. Weitere Informationen zum Schutz Informationen zu Ihrem Zahlungsablauf finden Sie unter Zahlungsabläufe schützen.

  • APIs zur Kartenverwaltung so konfigurieren, dass die reCAPTCHA-Tokens gültig sind und die Werte über ihrem Schwellenwert liegen.

    Wenn die Bewertungen den angegebenen Grenzwert nicht erreichen oder überschreiten, führe keine Kartenautorisierung durch und erlaube dem Endnutzer nicht, die Karte zu verwenden. Erlauben Sie nach Möglichkeit, die Transaktion zum Zeitpunkt des Kaufs fortzuführen, aber stornieren Sie sie. um zu verhindern, dass der Angreifer abgelenkt wird.

  • Achten Sie beim Erstellen von Bewertungen darauf, dass sie die folgenden Kriterien für eine erfolgreiche Transaktion erfüllen:

    • Alle bewerteten Tokens sind gültig und haben einen Wert, der über einem bestimmten Schwellenwert liegt.
    • Der Wert von expectedAction muss mit dem Wert von action übereinstimmen, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel auf Ihren Webseiten angegeben haben. Informationen zum Überprüfen von Aktionen finden Sie unter Aktionen überprüfen.

    Wenn eine Transaktion diese Kriterien nicht erfüllt, führe keine Kartenautorisierung durch. oder dem Endnutzer erlauben, die Karte zu verwenden. Lassen Sie die Transaktion zum Zeitpunkt des Kaufs nach Möglichkeit zu, stornieren Sie sie aber später, um den Angreifer nicht zu warnen.

Card Cracking

„Card Cracking“ ist eine automatisierte Bedrohung, bei der Angreifer fehlende Werte für das Startdatum, Ablaufdatum und Sicherheitscodes für gestohlene Zahlungskartendaten, indem Sie verschiedene Werte ausprobieren.

Minimale Implementierung

  1. Installieren Sie Websiteschlüssel mit Kästchen auf allen Seiten, auf denen Endnutzer ihre Zahlungsdetails, einschließlich der Funktionen Zur Kasse und Zahlungsmethode hinzufügen. Weitere Informationen zum Installieren von Kästchen-Websiteschlüsseln finden Sie unter Kästchen-Websiteschlüssel (Kästchen-Abfrage) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Zahlungsdetails. Geben Sie im Parameter action eine Aktion an, z. B. checkout oder add_pmtmethod. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Installieren Sie reCAPTCHA für den Zahlungsvorgang auf Ihrer Website. Weitere Informationen zum Schutz Informationen zu Ihrem Zahlungsablauf finden Sie unter Zahlungsabläufe schützen.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass der Wert mit action übereinstimmt, den Sie bei der Installation der punktebasierten Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Bewertungen

  4. Speichern Sie alle Bewertungs-IDs und vermerken Sie die Bewertungen, die als betrügerisch eingestuft werden Käufe oder Rückbuchungen als fraudulent. Informationen zum Annotieren von Bewertungen finden Sie unter Bewertungen mit Anmerkungen versehen.

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA implementiert haben, können Sie eine der folgenden Strategien zur Betrugsprävention verwenden, um Ihre Website vor Kreditkartenbetrug zu schützen:

  • Installieren Sie reCAPTCHA für den Zahlungsvorgang auf Ihrer Website. Weitere Informationen zum Schutz Informationen zu Ihrem Zahlungsablauf finden Sie unter Zahlungsabläufe schützen.

  • Implementieren Sie ein Antwortmodell und erstellen Sie Bewertungen:

    1. Erstellen und implementieren Sie ein Antwortmodell, das an das risikobasierte Punktesystem angepasst ist.

      Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

      • Bei einem niedrigen bis mittleren Bewertungsgrenzwert (0,0–0,5) sollten Sie ein kontextbezogenes Risikomanagement verwenden, z. B. die Anzahl der Versuche begrenzen und Käufe über einem bestimmten Wert blockieren.
      • Für den höchsten Punktzahl-Schwellenwert (> 0,5) lassen Sie zu, dass der Endnutzer fortfahren kann, ohne jede Herausforderung.

    2. Achten Sie beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den Sie beim Erstellen die auf Punktzahlen basierenden Websiteschlüssel auf Ihren Webseiten installieren. Falls sie nicht übereinstimmen, führen Sie keine Kartenautorisierung durch. oder dem Endnutzer erlauben, die Karte zu verwenden. Erlauben Sie nach Möglichkeit, die Transaktion zum Zeitpunkt des Kaufs fortzuführen, aber stornieren Sie sie. um zu verhindern, dass der Angreifer abgelenkt wird.

Cracking von Anmeldedaten

Das Cracking von Anmeldedaten ist eine automatisierte Bedrohung, bei der Angreifer gültige Anmeldedaten identifizieren. Anmeldedaten durch unterschiedliche Werte für Nutzernamen und Passwörter.

Minimale Implementierung

  1. Installieren Sie Websiteschlüssel mit Kästchen auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen. einschließlich der Funktionen login und forgot my password. Weitere Informationen zum Installieren von Kästchen-Websiteschlüsseln finden Sie unter Kästchen-Websiteschlüssel (Kästchen-Abfrage) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie punktebasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen. Geben Sie im Parameter action eine Aktion an, z. B. login oder authenticate. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Empfohlen: reCAPTCHA-Erkennung von Passwortlecks für alle implementieren Authentifizierungsversuche. Weitere Informationen zur Erkennung von Passwortlecks finden Sie unter Passwortlecks und gehackte Anmeldedaten erkennen.
  3. Optional: Wenn Sie Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Bewertung blockieren möchten, können Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die WAF- und Google Cloud Armor-Einbindung verwenden.
  4. Implementieren Sie reCAPTCHA Account Defender, um das Endnutzerverhalten bei Anmeldungen zu analysieren und zusätzliche Signale zu erhalten, die auf eine Kontoübernahme hinweisen können. Informationen zur Verwendung von reCAPTCHA Account Defender finden Sie unter Kontobezogene betrügerische Aktivitäten erkennen und verhindern.
  5. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass der Wert mit action übereinstimmt, den Sie bei der Installation der punktebasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen
  6. Speichern Sie alle Bewertungs-IDs und fügen Sie der Bewertung, die betrügerisch erscheint, Anmerkungen hinzu, z. B. zu Kontoübernahmen oder anderen betrügerischen Aktivitäten. Weitere Informationen zum Anfertigen von Anmerkungen zu Bewertungen

Strategie zur Betrugsbekämpfung

Verwenden Sie nach der Implementierung von reCAPTCHA die folgende Betrugsbekämpfung Strategie zum Schutz Ihrer Website vor Anmeldedaten-Cracking:

  1. Erstellen und implementieren Sie ein Antwortmodell, das an das risikobasierte Bewertungssystem angepasst ist.

    Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

    • Bei einem niedrigen bis mittleren Grenzwert (0,0–0,5) muss der Endnutzer eine Multi-Faktor-Authentifizierung per E-Mail oder SMS durchführen.
    • Für den höchsten Punktzahl-Schwellenwert (> 0,5) lassen Sie zu, dass der Endnutzer fortfahren kann, ohne jede Herausforderung.
  2. Sitzungen für Endnutzer beenden oder unterbrechen, die sich erfolgreich authentifizieren, aber Eine credentialsLeaked: true-Antwort von reCAPTCHA erhalten und eine E-Mail an Endnutzer senden, in denen sie ihre Passwort.
  3. Achten Sie beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den Sie beim Erstellen die auf Punktzahlen basierenden Websiteschlüssel auf Ihren Webseiten installieren. Wenn sie nicht übereinstimmen, darf keine Authentifizierung erfolgen.

Credential Stuffing

Credential Stuffing ist eine automatisierte Bedrohung, bei der Angreifer mit Massenanmeldungen die Gültigkeit gestohlener Nutzername/Passwort-Paare prüfen.

Minimale Implementierung

  1. Installieren Sie Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen, einschließlich der Funktionen Anmelden und Passwort vergessen. Weitere Informationen zum Installieren von Kästchen-Websiteschlüsseln finden Sie unter Kästchen-Websiteschlüssel (Kästchen-Abfrage) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen. Geben Sie im Parameter action eine Aktion an, z. B. login oder authenticate. Weitere Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Empfohlen: Implementieren Sie die reCAPTCHA-Erkennung von Passwortlecks für alle Authentifizierungsversuche. Weitere Informationen zur Erkennung von Passwortlecks finden Sie unter Datenlecks und gehackte Anmeldedaten erkennen.
  3. Implementieren Sie reCAPTCHA Account Defender, um das Endnutzerverhalten bei Anmeldungen zu analysieren und zusätzliche Signale zu erhalten, die auf eine Kontoübernahme hinweisen können. Weitere Informationen zur Verwendung von reCAPTCHA Account Defender finden Sie unter Kontobezogene betrügerische Aktivitäten erkennen und verhindern.

  4. Optional: Zum Blockieren von Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Punktzahl müssen Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die Integration in WAF und Google Cloud Armor verwenden.

  5. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass der Wert mit action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Bewertungen

  6. Speichern Sie alle Bewertungs-IDs und vermerken Sie die Bewertungen, die als betrügerisch eingestuft werden Käufe oder Rückbuchungen als fraudulent. Informationen zum Annotieren von Bewertungen finden Sie unter Bewertungen mit Anmerkungen versehen.

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA implementiert haben, können Sie mit der folgenden Strategie zur Betrugsprävention Ihre Website vor Credential Stuffing schützen:

  1. Erstellen und implementieren Sie ein Reaktionsmodell, das an das wertbasierte Risiko angepasst ist.

    Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

    • Wenn Sie den niedrigsten reCAPTCHA-Schwellenwert (0,0) erreichen möchten, informieren Sie den Endnutzer, dass sein Passwort falsch ist.
    • Den Endnutzer für den mittleren Schwellenwert (0,1–0,5) mit Multi-Faktor-Authentifizierung herausfordern per E-Mail oder SMS.
    • Wenn der höchste Bewertungsgrenzwert überschritten wird (> 0,5), darf der Endnutzer fortfahren, ohne dass eine Bestätigung erforderlich ist.
  2. Sitzungen für Endnutzer beenden oder unterbrechen, die sich erfolgreich authentifizieren, aber Eine credentialsLeaked: true-Antwort von reCAPTCHA erhalten und eine E-Mail an Endnutzer senden, in denen sie ihre Passwort.
  3. Achten Sie beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel auf Ihren Webseiten angegeben haben. Wenn sie nicht übereinstimmen, lassen Sie keine Authentifizierung zu.
  4. Wenn accountDefenderAssessment = PROFILE_MATCH ist, darf der Endnutzer fortfahren, ohne dass eine Identitätsbestätigung erforderlich ist.

Auszahlungen

Cash-outs sind eine automatisierte Bedrohung, bei der Angreifer Geld oder einen hohen Wert erhalten mit gestohlenen, zuvor überprüften Zahlungskarten beschäftigt.

Mindestimplementierung

  1. Installieren Sie punktebasierte Websiteschlüssel auf allen Seiten, auf denen die Kasse aufgerufen werden kann. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie punktebasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkarteninformationen eingeben. Geben Sie eine Aktion wie add_gift_card an. Weitere Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass der Wert mit action übereinstimmt, den Sie bei der Installation der punktebasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen

  3. Speichern Sie alle Bewertungs-IDs und vermerken Sie die betrügerischen Transaktionen.

Strategie zur Betrugsbekämpfung

Verwenden Sie nach der Implementierung von reCAPTCHA die folgende Betrugsbekämpfung um Ihre Website vor Einnahmen zu schützen:

  • Installieren Sie reCAPTCHA für den Zahlungsvorgang auf Ihrer Website. Weitere Informationen zum Schutz Informationen zu Ihrem Zahlungsablauf finden Sie unter Zahlungsabläufe schützen.

  • Implementieren Sie ein Antwortmodell und erstellen Sie Bewertungen:

    1. Erstellen und implementieren Sie ein Antwortmodell, das an das risikobasierte Punktesystem angepasst ist.

      Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

      • Bei einem niedrigen bis mittleren Bewertungsgrenzwert (0,0–0,5) sollten Sie ein kontextbezogenes Risikomanagement verwenden, z. B. die Anzahl der Versuche begrenzen und Käufe über einem bestimmten Wert blockieren.
      • Für den höchsten Punktzahl-Schwellenwert (> 0,5) lassen Sie zu, dass der Endnutzer fortfahren kann, ohne jede Herausforderung.
    2. Achten Sie beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel auf Ihren Webseiten angegeben haben. Wenn sie nicht übereinstimmen, lassen Sie keine Authentifizierung zu. Erlauben Sie nach Möglichkeit, die Transaktion zum Zeitpunkt des Kaufs fortzuführen, aber stornieren Sie sie. um zu verhindern, dass der Angreifer abgelenkt wird.

Kontoerstellung

Die Kontoerstellung ist eine automatisierte Bedrohung, bei der Angreifer mehrere Konten erstellen für einen anschließenden Missbrauch.

Minimale Implementierung

  1. Installieren Sie Websiteschlüssel mit Kästchen auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen. einschließlich der Funktionen login und forgot my password. Weitere Informationen zum Installieren von Kästchen-Websiteschlüsseln finden Sie unter Kästchen-Websiteschlüssel (Kästchen-Abfrage) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie auf allen Seiten, auf denen Konten erstellt werden, wertbasierte Websiteschlüssel. Geben Sie im action-Parameter eine Aktion an, z. B. register. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Empfohlen: reCAPTCHA-Erkennung von Passwortlecks für alle implementieren Authentifizierungsversuche. Weitere Informationen zur Erkennung von Passwortlecks finden Sie unter Datenlecks und gehackte Anmeldedaten erkennen.
  3. Implementieren Sie reCAPTCHA Account Defender, um zusätzliche Signale, die auf gefälschte Kontoerstellungen hinweisen. Informationen zur Verwendung von reCAPTCHA Account Defender finden Sie unter Kontobezogene betrügerische Aktivitäten erkennen und verhindern.

  4. Optional: Zum Blockieren von Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Punktzahl müssen Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die Integration in WAF und Google Cloud Armor verwenden.

  5. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass der Wert mit action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Bewertungen

  6. Speichern Sie alle Bewertungs-IDs und kennzeichnen Sie die Transaktionen, die betrügerisch waren.

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA implementiert haben, können Sie mit der folgenden Strategie zur Betrugsprävention Ihre Website vor der Kontoerstellung schützen:

  1. Erstellen und implementieren Sie ein Reaktionsmodell, das an das wertbasierte Risiko angepasst ist.

    Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

    • Für den niedrigsten reCAPTCHA-Schwellenwert (0,0) sollten Sie die Aktionen des Kontos einschränken, bis es weitere Prüfungen auf Betrug durchlaufen hat.
    • Fordern Sie den Endnutzer für den mittleren Schwellenwert von 0,1–0,5 mit Multi-Faktor-Authentifizierung per E-Mail oder SMS an.
    • Wenn der höchste Bewertungsgrenzwert (> 0,5) erreicht wird, darf der Endnutzer fortfahren, ohne dass eine Bestätigung erforderlich ist.
  2. Beenden oder unterbrechen Sie Sitzungen für Endnutzer, die sich erfolgreich authentifizieren, aber eine credentialsLeaked: true-Antwort von reCAPTCHA erhalten, und fordern Sie den Nutzer auf, ein neues Passwort auszuwählen.
  3. Achten Sie beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den Sie beim Erstellen die auf Punktzahlen basierenden Websiteschlüssel auf Ihren Webseiten installieren. Wenn sie nicht übereinstimmen, dürfen Sie keine Kontoregistrierung oder Kontoerstellung zulassen.
  4. Wenn accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, gilt bei der Prüfung Folgendes: den Zugriff des Kontos einschränken, bis eine weitere Überprüfung durchgeführt werden kann.

Betrügerische Konto- und Adressänderungen

Angreifer können versuchen, Kontodetails wie E-Mail-Adressen, Telefonnummern oder Postanschriften im Rahmen von betrügerischen Aktivitäten oder Kontoübernahmen zu ändern.

Minimale Implementierung

  1. Installieren Sie Websiteschlüssel mit Kästchen auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen. einschließlich der Funktionen login und forgot my password. Weitere Informationen zum Installieren von Kästchen-Websiteschlüsseln finden Sie unter Kästchen-Websiteschlüssel (Kästchen-Abfrage) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Konten erstellt werden. Geben Sie im action-Parameter eine Aktion an, z. B. change_telephone oder change_physicalmail Weitere Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht die Sie bei der Installation der wertbasierten Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Bewertungen

  3. Implementieren Sie reCAPTCHA Account Defender, um das Endnutzerverhalten bei Anmeldungen zu analysieren und zusätzliche Signale zu erhalten, die auf eine Kontoübernahme hinweisen können. Informationen zur Verwendung von reCAPTCHA Account Defender finden Sie unter Kontobezogene betrügerische Aktivitäten erkennen und verhindern.

  4. Speichern Sie alle Bewertungs-IDs und kennzeichnen Sie die Transaktionen, die betrügerisch waren.

Strategie zur Betrugsprävention

Nachdem Sie reCAPTCHA implementiert haben, können Sie mit der folgenden Strategie zur Betrugsprävention Ihre Website vor betrügerischen Konto- und Adressänderungen schützen:

  1. Erstellen und implementieren Sie ein Reaktionsmodell, das an das wertbasierte Risiko angepasst ist.

    Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

    • Bei einem niedrigen bis mittleren Grenzwert (0,0–0,5) muss der Endnutzer eine Multi-Faktor-Authentifizierung per E-Mail oder SMS durchführen.
    • Für den höchsten Punktzahl-Schwellenwert (> 0,5) lassen Sie zu, dass der Endnutzer fortfahren kann, ohne jede Herausforderung.

  2. Achten Sie beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel auf Ihren Webseiten angegeben haben. Wenn sie nicht übereinstimmen, dürfen keine Kontoänderungen vorgenommen werden.

  3. Wenn accountDefenderAssessment in Ihrer Bewertung nicht die PROFILE_MATCH – Fordern Sie den Endnutzer mit Multi-Faktor-Authentifizierung an per E-Mail oder SMS.

Token-Cracking

Das Cracking von Token ist eine automatisierte Bedrohung, bei der Angreifer Gutscheinnummern, Gutscheincodes, Rabatttokens.

Mindestimplementierung

  1. Installieren Sie Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkartendaten eingeben müssen. Informationen zum Installieren von Websiteschlüsseln mit Kästchen finden Sie unter Websiteschlüssel mit Kästchen (Kästchen-Herausforderung) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkarteninformationen. Geben Sie eine Aktion wie gift_card_entry an. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Optional: Wenn Sie Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Bewertung blockieren möchten, können Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die WAF- und Google Cloud Armor-Einbindung verwenden.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass der Wert mit action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Bewertungen

  4. Speichern Sie alle Bewertungs-IDs und vermerken Sie die Bewertungen, die als betrügerisch eingestuft werden Geschenkkarten oder Gutscheine.

Strategie zur Betrugsprävention

Verwenden Sie nach der Implementierung von reCAPTCHA einen der folgenden Betrugsversuche Strategien zum Schutz Ihrer Website vor Token-Cracking:

  • APIs zur Kartenverwaltung so konfigurieren, dass die reCAPTCHA-Tokens gültig sind und die Werte über ihrem Schwellenwert liegen.

    Wenn die Bewertungen den angegebenen Grenzwert nicht erreichen oder überschreiten, führe keine Autorisierung für Geschenkkarten oder Kreditkarten durch und erlaube dem Endnutzer nicht, den Gutschein oder die Geschenkkarte zu verwenden. Lassen Sie die Transaktion zum Zeitpunkt des Kaufs nach Möglichkeit zu, stornieren Sie sie aber später, um den Angreifer nicht zu warnen.

  • Achten Sie beim Erstellen von Bewertungen darauf, dass sie die folgenden Kriterien für eine erfolgreiche Transaktion erfüllen:

    • Alle bewerteten Tokens sind gültig und haben einen Wert, der über einem bestimmten Schwellenwert liegt.
    • Der Wert von expectedAction muss mit dem Wert von action übereinstimmen, den Sie beim Installieren der auf Punktzahlen basierenden Websiteschlüssel auf Ihren Webseiten angegeben haben. Informationen zum Bestätigen von Aktionen finden Sie unter Aktionen bestätigen.

    Wenn eine Transaktion diese Kriterien nicht erfüllt, führe keine Autorisierung für eine Geschenkkarte oder Kreditkarte durch und erlaube dem Endnutzer nicht, den Gutschein oder die Geschenkkarte zu verwenden. Erlauben Sie nach Möglichkeit, die Transaktion zum Zeitpunkt des Kaufs fortzuführen, aber stornieren Sie sie. um zu verhindern, dass der Angreifer abgelenkt wird.

Scalping

Das Scalping ist eine automatisierte Bedrohung, bei der Angreifer Waren oder Dienstleistungen mit begrenzter Verfügbarkeit und bevorzugtem Status auf unfaire Weise erhalten.

Mindestimplementierung

  1. Installieren Sie punktebasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkarteninformationen eingeben müssen. Geben Sie im Parameter action eine Aktion an, z. B. add_to_cart. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht die Sie bei der Installation der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie punktebasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkarteninformationen eingeben müssen. Geben Sie im action-Parameter eine Aktion an, z. B. add_to_cart. Weitere Informationen

  2. Optional: Wenn Sie Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Bewertung blockieren möchten, können Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die WAF- und Google Cloud Armor-Einbindung verwenden.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass der Wert mit action übereinstimmt, den Sie bei der Installation der punktebasierten Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Bewertungen

  4. Speichern Sie alle Bewertungs-IDs und kennzeichnen Sie die betrügerischen Transaktionen.

Strategie zur Betrugsbekämpfung

Verwenden Sie nach der Implementierung von reCAPTCHA die folgende Betrugsbekämpfung um die Skalierung Ihrer Website zu verhindern:

  1. Erstellen und implementieren Sie ein Antwortmodell, das an das risikobasierte Bewertungssystem angepasst ist.

    Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

    • Bei einem niedrigen bis mittleren Bewertungsgrenzwert (0,0–0,5) sollten Sie ein kontextbezogenes Risikomanagement verwenden, z. B. die Anzahl der Versuche begrenzen und Käufe über einem bestimmten Wert blockieren.
    • Für den höchsten Punktzahl-Schwellenwert (> 0,5) lassen Sie zu, dass der Endnutzer fortfahren kann, ohne jede Herausforderung.

  2. Achten Sie beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den Sie beim Erstellen die auf Punktzahlen basierenden Websiteschlüssel auf Ihren Webseiten installieren. Andernfalls darf die Autorisierung der Geschenkkarte nicht ausgeführt werden.

Pendeln

Skewing ist eine automatisierte Bedrohung, bei der Angreifer wiederholte Klicks auf Links, Seiten oder Formulareinreichungen, um Messwerte zu ändern.

Minimale Implementierung

  1. Installieren Sie punktebasierte Websiteschlüssel auf allen Seiten, auf denen Messwertverzerrungen möglich sind. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Erstellen Sie Bewertungen für alle Tokens. Weitere Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie punktebasierte Websiteschlüssel auf allen Seiten, auf denen Messwertverzerrungen möglich sind. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Optional: Zum Blockieren von Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Punktzahl müssen Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die WAF- und Google Cloud Armor-Einbindung verwenden.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass der Wert mit action übereinstimmt, den Sie bei der Installation der punktebasierten Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Bewertungen

  4. Speichern Sie alle Bewertungs-IDs und kennzeichnen Sie die Transaktionen, die betrügerisch waren.

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA implementiert haben, können Sie mit der folgenden Strategie zur Betrugsprävention Ihre Website vor Verzerrungen schützen:

Erstellen und implementieren Sie ein Reaktionsmodell, das an das wertbasierte Risiko angepasst ist.

Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

  • Verwenden Sie für einen niedrigen bis mittleren Score-Schwellenwert (0,0–0, 5) kontextbasiertes Risikomanagement wie Die Häufigkeit, mit der ein Nutzer auf eine Anzeige geklickt hat, oder die Häufigkeit, mit der ein Nutzer hat die Seite aktualisiert. Anhand dieser Daten können Sie entscheiden, ob der Messwert gezählt werden soll.
  • Wenn der höchste Bewertungsgrenzwert überschritten wird (> 0,5), darf der Endnutzer fortfahren, ohne dass eine Bestätigung erforderlich ist.

Scraping

Das Scraping ist eine automatisierte Bedrohung, bei der Angreifer Websitedaten oder -artefakte auf automatisierte Weise erheben.

Minimale Implementierung

  1. Installieren Sie punktzahlbasierte Websiteschlüssel auf allen Seiten, auf denen sich wichtige Informationen befinden, und auf wichtigen allgemeinen auf Seiten mit Interaktionen von Endnutzern. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie punktebasierte Websiteschlüssel auf allen Seiten, auf denen wichtige Informationen zu finden sind, sowie auf wichtigen Seiten, auf denen häufig Interaktionen mit Endnutzern stattfinden. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Optional: Wenn Sie Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Bewertung blockieren möchten, können Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die WAF- und Google Cloud Armor-Einbindung verwenden.

  3. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen

  4. Speichern Sie alle Bewertungs-IDs und kennzeichnen Sie die betrügerischen Transaktionen.

Strategie zur Betrugsprävention

Nachdem Sie reCAPTCHA implementiert haben, können Sie mit den folgenden Strategien zur Betrugsprävention Ihre Website vor Scraping schützen:

CAPTCHA-Niederlage

CAPTCHA-Abwehr ist eine automatisierte Bedrohung, bei der Angreifer Automatisierung Versuch, die Antwort auf ein visuelles und/oder akustisches CAPTCHA zu analysieren und zu ermitteln Tests und verwandten Rätseln.

Minimale Implementierung

  1. Installieren Sie leistungsbasierte Websiteschlüssel auf allen Seiten, auf denen Eingaben von Endnutzern, Kontoerstellung, Zahlungsinformationen oder Interaktionen von Endnutzern mit Betrugspotenzial erforderlich sind. Geben Sie im Parameter action eine beschreibende Aktion an. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass der Wert mit action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel angegeben haben. Weitere Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie leistungsbasierte Websiteschlüssel auf allen Seiten, auf denen Eingaben von Endnutzern, Kontoerstellung, Zahlungsinformationen oder Interaktionen von Endnutzern mit Betrugspotenzial erforderlich sind. Geben Sie im Parameter action eine beschreibende Aktion an. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Punktebasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Optional: Wenn Sie Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Bewertung blockieren möchten, können Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die WAF- und Google Cloud Armor-Einbindung verwenden.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht die Sie bei der Installation der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen

  4. Speichern Sie alle Bewertungs-IDs und vermerken Sie die Bewertungen, die als betrügerisch eingestuft werden Käufe oder Rückbuchungen als fraudulent. Weitere Informationen zum Anfertigen von Anmerkungen zu Bewertungen

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA implementiert haben, können Sie eine der folgenden Strategien zur Betrugsprävention verwenden, um Ihre Website vor CAPTCHA-Bruch zu schützen:

  • Implementieren Sie ein Antwortmodell und erstellen Sie Bewertungen:

    1. Erstellen und implementieren Sie ein Antwortmodell, das an das risikobasierte Punktesystem angepasst ist.

      Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

      • Bei einem niedrigen bis mittleren Grenzwert (0,0–0,5) muss der Endnutzer eine Multi-Faktor-Authentifizierung per E-Mail oder SMS durchführen.
      • Für den höchsten Punktzahl-Schwellenwert (> 0,5) lassen Sie zu, dass der Endnutzer fortfahren kann, ohne jede Herausforderung.
    2. Achten Sie beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den Sie beim Installieren der punktebasierten Websiteschlüssel auf Ihren Webseiten angegeben haben. Wenn sie nicht übereinstimmen, darf keine Authentifizierung erfolgen.

  • Wenn Endnutzer Webbrowser verwenden, in denen JavaScript deaktiviert ist, gehen Sie so vor:

    1. Blockieren Sie diese Endnutzer.
    2. Informieren Sie die Endnutzer, dass für die Nutzung Ihrer Website JavaScript erforderlich ist.

  • Sorgen Sie dafür, dass das grecaptcha.enterprise.ready-Versprechen erfüllt wird, um zu verhindern, dass Browser von Endnutzern das Laden des Google-Scripts blockieren. Das bedeutet, dass reCAPTCHA vollständig geladen wurde und kein Fehler aufgetreten ist.

  • Bei Web-APIs empfehlen wir, das reCAPTCHA-Token oder das Ergebnis der reCAPTCHA-Bewertung an die Backend-API zu übergeben und die API-Aktion nur dann zuzulassen, wenn das reCAPTCHA-Token gültig ist und einen bestimmten Grenzwert erreicht. So wird sichergestellt, dass der Endnutzer die API nicht ohne die Website verwendet.

Nächste Schritte