Este documento descreve as implementações recomendadas de reCAPTCHA e de mitigação de fraudes para se defender contra as ameaças críticas (OWASP Automated Threats (OAT) to Web Applications). Os arquitetos corporativos e as partes interessadas em tecnologia podem analisar essas informações para tomar uma decisão informada sobre a implementação do reCAPTCHA e a estratégia de redução de fraudes para o caso de uso.
Este documento contém as seguintes informações para cada tipo de ameaça:
Implementação ideal do reCAPTCHA. Esta implementação é desenvolvidos com os recursos relevantes do reCAPTCHA para a melhor proteção contra fraudes.
Implementação mínima do reCAPTCHA. Esta implementação é criada para proteger o mínimo contra fraudes.
Estratégias recomendadas de mitigação de fraudes.
Escolha a estratégia de implementação e redução de fraudes mais adequada ao seu caso de uso. Os seguintes fatores podem influenciar a implementação e a estratégia de redução de fraude escolhida:
- Necessidades e recursos antifraude da organização.
- ambiente atual da organização.
Para mais informações sobre as estratégias de redução de fraude para seu caso de uso, entre em contato com nossa equipe de vendas.
Carding
O uso de cartões é uma ameaça automatizada em que invasores fazem várias tentativas de autorização de pagamento para verificar a validade de dados de cartão de pagamento roubados em massa.
Implementação mínima
Instale chaves de site de caixa de seleção em todas as páginas em que os usuários finais precisam inserir as informações do cartão de crédito. Para saber como instalar chaves de site com caixa de seleção, consulte Instalar chaves de site com caixa de seleção (teste de caixa de seleção) em sites.
Criar avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.
Implementação ideal
Instale chaves de site com base em pontuação em todas as páginas em que os usuários finais precisam inserir as informações do cartão de crédito. Especifique uma ação no parâmetro
action
, comocard_entry
. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.Instale o reCAPTCHA para o fluxo de trabalho de pagamento no seu site. Para saber como proteger seu fluxo de trabalho de pagamento, consulte Proteger fluxos de trabalho de pagamento.
Crie avaliações para todos os tokens e defina
expectedAction
para corresponder ao valor deaction
especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.Salve todos os IDs de avaliação e anote as avaliações que se tornam compras fraudulentas ou chargebacks como
fraudulent
. Para saber como anotar avaliações, consulte Fazer anotações em uma avaliação.
Estratégia de redução de fraudes
Depois de implementar o reCAPTCHA, use uma das seguintes opções: estratégias de redução de fraudes para proteger seu site contra carding:
Instale o reCAPTCHA para o fluxo de trabalho de pagamento no seu site. Para saber como proteger seu fluxo de trabalho de pagamento, consulte Proteger fluxos de trabalho de pagamento.
Configurar as APIs de gerenciamento de cartões para garantir que os tokens reCAPTCHA sejam válidos e as pontuações são maiores que o valor limite.
Se as pontuações não atenderem ou excederem o valor de limite especificado, não execute uma autorização de cartão nem permita que o usuário final use o cartão. Quando possível, permitir que a transação prossiga no momento da compra, mas cancelá-la mais tarde para evitar apontar o atacante.
Ao criar avaliações, verifique se elas atendem aos seguintes critérios para o sucesso da transação:
- Todos os tokens avaliados são válidos e têm uma pontuação maior que o limite especificado.
- O valor de
expectedAction
corresponde ao valor deaction
que você especificou quando instalar as chaves do site baseadas em pontuação nas suas páginas da Web. Para aprender a verificar ações, consulte verificar ações.
Se uma transação não atender a esses critérios, não execute uma autorização de cartão ou permitir que o usuário final utilize o cartão. Quando possível, permitir que a transação prossiga no momento da compra, mas cancelá-la mais tarde para evitar apontar o atacante.
Quebra de cartão
O cracking de cartão é uma ameaça automatizada em que os invasores tentam valores diferentes para identificar valores ausentes de data de início, data de validade e códigos de segurança de dados de cartão de pagamento roubados.
Implementação mínima
Instale chaves de site de caixa de seleção em todas as páginas em que os usuários finais precisam inserir os detalhes de pagamento, incluindo as funções finalização de compra e adicionar forma de pagamento. Para saber como instalar chaves de site com caixa de seleção, consulte Instalar chaves de site com caixa de seleção (teste de caixa de seleção) em sites.
Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.
Implementação ideal
Instalar chaves de site baseadas em pontuação em todas as páginas em que os usuários finais precisam inserir os próprios detalhes de pagamento. Especifique uma ação no parâmetro
action
, comocheckout
ouadd_pmtmethod
. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.Instale o reCAPTCHA para o fluxo de trabalho de pagamento no seu site. Para saber como proteger seu fluxo de trabalho de pagamento, consulte Proteger fluxos de trabalho de pagamento.
Crie avaliações para todos os tokens e defina
expectedAction
para corresponder ao valor deaction
especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.Salve todos os IDs de avaliação e anote as avaliações que se tornarem fraudulentas compras ou estornos como
fraudulent
. Para saber como anotar avaliações, consulte Fazer anotações em uma avaliação.
Estratégia de redução de fraudes
Depois de implementar o reCAPTCHA, use uma das seguintes estratégias de redução de fraudes para proteger seu site contra cracking de cartão:
Instale o reCAPTCHA para o fluxo de trabalho de pagamento no seu site. Para saber como proteger seu fluxo de trabalho de pagamento, consulte Proteger fluxos de trabalho de pagamento.
Implemente um modelo de resposta e crie avaliações:
Criar e implementar um modelo de resposta que seja ajustado de acordo com o risco baseado em pontuação.
O exemplo a seguir mostra um modelo de resposta de exemplo:
- Para um limite de pontuação baixo a intermediário (0,0 a 0,5), use o gerenciamento de risco baseado em contexto, como limitar o número de tentativas e bloquear compras acima de um valor especificado.
- Para o limite de pontuação mais alto (> 0,5), permita que o usuário final prossiga sem qualquer desafio.
Ao criar avaliações, verifique se o valor de
expectedAction
corresponde ao valor deaction
que você especificou ao criar instalar as chaves do site baseadas em pontuação nas suas páginas da Web. Se eles não forem iguais, não execute uma autorização de cartão ou permitir que o usuário final utilize o cartão. Sempre que possível, permita que a transação prossiga no momento da compra, mas cancele-a mais tarde para não alertar o invasor.
Quebra de credenciais
A quebra de credenciais é uma ameaça automatizada em que os invasores identificam logins válidos credenciais, testando valores diferentes para nomes de usuário e senhas.
Implementação mínima
Instale as chaves de site com caixas de seleção em todas as páginas em que os usuários finais precisam inserir as credenciais. incluindo as funções login e forgot my password. Para saber como instalar chaves de site com caixa de seleção, consulte Instalar chaves de site com caixa de seleção (teste de caixa de seleção) em sites.
Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.
Implementação ideal
-
Instale as chaves de site com base em pontuação em todas as páginas em que os usuários finais precisam inserir as credenciais.
Especifique uma ação no parâmetro
action
, comologin
ouauthenticate
. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites. - Recomendado: implementar a detecção de vazamento de senhas do reCAPTCHA para todos os usuários de autenticação. Para saber como usar a detecção de vazamento de senhas, consulte Detectar vazamentos de senhas e credenciais violadas.
- Opcional: para permitir o bloqueio de interações de alto volume e baixa pontuação do reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF, na sigla em inglês). Por exemplo, você pode usar a integração do reCAPTCHA para WAF e Google Cloud Armor.
- Implemente o defensor da conta reCAPTCHA para acompanhar as tendências do usuário final o comportamento entre os logins e receber sinais adicionais que podem indicar ATO. Para saber como usar o defensor de conta reCAPTCHA, consulte Detectar e evitar atividades fraudulentas relacionadas à conta.
-
Criar avaliações para todos os tokens e definir
expectedAction
para corresponder ao valor deaction
especificado ao instalar as chaves de site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação. - Salve todos os IDs de avaliação e anote a avaliação que parece fraudulenta, como invasões de conta (ATOs, na sigla em inglês) ou qualquer outra atividade fraudulenta. Para saber como fazer anotações em avaliações, consulte Como anotar uma avaliação.
Estratégia de mitigação de fraudes
Depois de implementar o reCAPTCHA, use a seguinte estratégia de redução de fraudes para proteger seu site contra quebra de credenciais:
-
Crie e implemente um modelo de resposta ajustado para o risco com base na pontuação.
Confira abaixo um exemplo de modelo de resposta:
- Para um limite de pontuação baixo a intermediário (0,0 a 0,5), conteste o usuário final com a autenticação multifator. via e-mail ou SMS.
- Para o limite de pontuação mais alto (> 0,5), permita que o usuário final continue sem qualquer desafio.
-
Encerrar ou interromper sessões para usuários finais que autenticam, mas
receber uma resposta
credentialsLeaked: true
do reCAPTCHA. detectar vazamento de senha e enviar um e-mail para os usuários finais alterarem senha. -
Ao criar avaliações, verifique se o valor de
expectedAction
corresponde ao valor deaction
que você especificou ao instalar as chaves de site baseadas em pontuação nas suas páginas da Web. Se eles não forem iguais, não permitir a autenticação.
Preenchimento de credenciais
O preenchimento de credenciais é uma ameaça automatizada em que os invasores usam tentativas de login em massa para verificar a validade de pares de nome de usuário/senha roubados.
Implementação mínima
Instale chaves de site de caixa de seleção em todas as páginas em que os usuários finais precisam inserir as credenciais, incluindo as funções login e esqueci minha senha. Para aprender a instalar chaves de sites com caixas de seleção, consulte Instalar chaves de sites com caixas de seleção (desafio de caixas de seleção).
Criar avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.
Implementação ideal
-
Instale as chaves de site com base em pontuação em todas as páginas em que os usuários finais precisam inserir as credenciais.
Especifique uma ação no parâmetro
action
, comologin
ouauthenticate
. Para aprender a instalar chaves com base em pontuação, consulte Instalar chaves com base em pontuação (sem desafio) em sites. - Recomendado: implemente a detecção de vazamento de senhas do reCAPTCHA para todas as tentativas de autenticação. Para saber como usar a detecção de vazamento de senhas, consulte Detectar vazamentos de senhas e credenciais violadas.
- Implemente o reCAPTCHA Account Defender para analisar o comportamento do usuário final em relação aos logins e receber outros indicadores que podem indicar uma invasão de conta. Para saber como usar o defensor de conta reCAPTCHA, consulte Detectar e evitar atividades fraudulentas relacionadas à conta.
Opcional: para ativar o bloqueio de interações de alto volume e baixa pontuação de reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF). Por exemplo, é possível usar o reCAPTCHA para WAF e a integração do Google Cloud Armor.
Crie avaliações para todos os tokens e defina
expectedAction
para corresponder ao valor deaction
especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.Salve todos os IDs de avaliação e anote as avaliações que se tornam compras fraudulentas ou chargebacks como
fraudulent
. Para saber como anotar avaliações, consulte Fazer anotações em uma avaliação.
Estratégia de mitigação de fraude
Depois de implementar o reCAPTCHA, use as seguintes soluções de mitigação de fraudes para proteger seu site contra o preenchimento de credenciais:
-
Criar e implementar um modelo de resposta que seja ajustado de acordo com o risco baseado em pontuação.
Confira abaixo um exemplo de modelo de resposta:
- Para o menor limite de pontuação reCAPTCHA (0,0), informe ao usuário final que a senha está incorreta.
- Para o limite de pontuação intermediário (0,1 a 0,5), conteste o usuário final com a autenticação multifator. via e-mail ou SMS.
- Para o limite de pontuação mais alto (> 0,5), permita que o usuário final continue sem qualquer desafio.
-
Encerrar ou interromper sessões para usuários finais que autenticam, mas
receber uma resposta
credentialsLeaked: true
do reCAPTCHA. detectar vazamento de senha e enviar um e-mail para os usuários finais alterarem senha. -
Ao criar avaliações, verifique se o valor de
expectedAction
corresponde ao valor deaction
que você especificou ao criar instalar as chaves do site baseadas em pontuação nas suas páginas da Web. Se eles não forem iguais, não permitir a autenticação. - Na sua avaliação, se
accountDefenderAssessment
=PROFILE_MATCH
, permita que o usuário final prossiga sem nenhum desafio.
Saindo
O saque é uma ameaça automatizada na qual os atacantes obtêm moeda ou alto valor itens por meio da utilização de cartões de pagamento roubados e validados anteriormente.
Implementação mínima
- Instale chaves de site com base na pontuação em todas as páginas em que o processo de finalização de compra é possível. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.
- Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.
Implementação ideal
- Instalar chaves do site baseadas em pontuação em todas as páginas em que os usuários finais inserem o vale-presente
informações imprecisas ou inadequadas. Especifique uma ação, como
add_gift_card
. Para aprender a instalar chaves com base em pontuação, consulte Instalar chaves com base em pontuação (sem desafio) em sites. Crie avaliações para todos os tokens e defina
expectedAction
para corresponder ao valor deaction
especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.Salve todos os IDs de avaliação e anote as transações que foram fraudulentas.
Estratégia de redução de fraudes
Depois de implementar o reCAPTCHA, use as seguintes soluções de mitigação de fraudes estratégia para proteger seu site contra saques:
Instale o reCAPTCHA para o fluxo de trabalho de pagamento no seu site. Para saber como proteger seu fluxo de trabalho de pagamento, consulte Proteger fluxos de trabalho de pagamento.
Implemente um modelo de resposta e crie avaliações:
-
Criar e implementar um modelo de resposta que seja ajustado de acordo com o risco baseado em pontuação.
O exemplo a seguir mostra um modelo de resposta de exemplo:
- Para um limite de pontuação baixo a intermediário (0,0 a 0,5), use o gerenciamento de risco baseado em contexto, como limitar o número de tentativas e bloquear compras acima de um valor especificado.
- Para o limite de pontuação mais alto (> 0,5), permita que o usuário final prossiga sem qualquer desafio.
-
Ao criar avaliações, verifique se o valor de
expectedAction
corresponde ao valor deaction
que você especificou ao instalar as chaves de site baseadas em pontuação nas suas páginas da Web. Se eles não forem iguais, não permitir a autenticação. Quando possível, permitir que a transação prossiga no momento da compra, mas cancelá-la mais tarde para evitar apontar o atacante.
-
Criação de conta
A criação de contas é uma ameaça automatizada em que os invasores criam várias contas para uso indevido posterior.
Implementação mínima
Instale as chaves de site com caixas de seleção em todas as páginas em que os usuários finais precisam inserir as credenciais. incluindo as funções login e forgot my password. Para saber como instalar chaves de site com caixa de seleção, consulte Instalar chaves de site com caixa de seleção (teste de caixa de seleção) em sites.
Criar avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.
Implementação ideal
- Instale chaves de site baseadas em pontuação em todas as páginas em que as contas são criadas.
Especifique uma ação no parâmetro
action
, comoregister
. Para aprender a instalar chaves com base em pontuação, consulte Instalar chaves com base em pontuação (sem desafio) em sites. - Recomendado: implementar a detecção de vazamento de senhas do reCAPTCHA para todos os usuários de autenticação. Para saber como usar a detecção de vazamento de senhas, consulte Detectar vazamentos de senhas e credenciais violadas.
- Implemente o defensor da conta reCAPTCHA para receber que indicam a criação de contas falsas. Para saber como usar o defensor da conta do reCAPTCHA, consulte Detectar e impedir atividades fraudulentas relacionadas à conta.
Opcional: para permitir o bloqueio de interações de alto volume e baixa pontuação do reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF, na sigla em inglês). Por exemplo, é possível usar o reCAPTCHA para WAF e a integração do Google Cloud Armor.
Criar avaliações para todos os tokens e definir
expectedAction
para corresponder ao valor deaction
especificado ao instalar as chaves de site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.Salve todos os IDs de avaliação e anote as transações que foram fraudulentas.
Estratégia de redução de fraudes
Depois de implementar o reCAPTCHA, use as seguintes soluções de mitigação de fraudes estratégia para proteger seu site contra a criação de contas:
-
Criar e implementar um modelo de resposta que seja ajustado de acordo com o risco baseado em pontuação.
Confira abaixo um exemplo de modelo de resposta:
- Para o menor limite de pontuação reCAPTCHA (0,0), limite as ações da conta até que ela passe por outras verificações de fraude.
- Para o limite de pontuação intermediário (0,1 a 0,5), solicite ao usuário final a autenticação multifator por e-mail ou SMS.
- Para o limite de pontuação mais alto (> 0,5), permita que o usuário final prossiga sem qualquer desafio.
- Encerrar ou interromper sessões de usuários finais que se autenticam, mas
recebem uma resposta
credentialsLeaked: true
da detecção de vazamento de senha do reCAPTCHA e solicitar que o usuário selecione uma nova senha. -
Ao criar avaliações, verifique se o valor de
expectedAction
corresponde ao valor deaction
que você especificou ao criar instalar as chaves do site baseadas em pontuação nas suas páginas da Web. Se eles não forem iguais, não permita o registro da conta ou criação de conta. - Na sua avaliação, se
accountDefenderAssessment
=SUSPICIOUS_ACCOUNT_CREATION
, restringir o acesso da conta até que uma validação extra possa ser realizada.
Alterações fraudulentas de conta e endereço
Os invasores podem tentar mudar os detalhes da conta, incluindo endereços de e-mail, números de telefone ou endereços de correspondência como parte de atividades fraudulentas ou de invasões de contas.
Implementação mínima
Instale as chaves de site com caixas de seleção em todas as páginas em que os usuários finais precisam inserir as credenciais. incluindo as funções login e forgot my password. Para saber como instalar chaves de site com caixa de seleção, consulte Instalar chaves de site com caixa de seleção (teste de caixa de seleção) em sites.
Criar avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.
Implementação ideal
Instale chaves de site baseadas em pontuação em todas as páginas em que as contas são criadas. Especifique uma ação no parâmetro
action
, comochange_telephone
ouchange_physicalmail
. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.Criar avaliações para todos os tokens e definir
expectedAction
para corresponder ao valor deaction
especificado ao instalar as chaves de site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.Implemente o defensor da conta reCAPTCHA para acompanhar as tendências do usuário final o comportamento entre os logins e receber sinais adicionais que podem indicar ATO. Para saber como usar o defensor da conta do reCAPTCHA, consulte Detectar e impedir atividades fraudulentas relacionadas à conta.
Salve todos os IDs de avaliação e anote as transações que foram fraudulentas.
Estratégia de mitigação de fraude
Depois de implementar o reCAPTCHA, use o seguir uma estratégia de mitigação de fraudes para proteger seu site contra fraudes mudanças de conta e endereço:
Criar e implementar um modelo de resposta que seja ajustado de acordo com o risco baseado em pontuação.
Confira abaixo um exemplo de modelo de resposta:
- Para um limite de pontuação baixo a intermediário (0,0 a 0,5), conteste o usuário final com a autenticação multifator. via e-mail ou SMS.
- Para o limite de pontuação mais alto (> 0,5), permita que o usuário final continue sem qualquer desafio.
Ao criar avaliações, verifique se o valor de
expectedAction
corresponde ao valor deaction
que você especificou ao instalar as chaves de site baseadas em pontuação nas suas páginas da Web. Se eles não corresponderem, não permita mudanças na conta.Na sua avaliação, se
accountDefenderAssessment
não tiver o rótuloPROFILE_MATCH
, solicite ao usuário final a autenticação multifator por e-mail ou SMS.
Quebra de token
O cracking de token é uma ameaça automatizada em que os invasores fazem enumeração em massa de números de cupons, códigos de vales e tokens de desconto.
Implementação mínima
Instale chaves de site com caixa de seleção em todas as páginas em que os usuários finais precisam inserir as informações do vale-presente. Para saber como instalar chaves de site com caixa de seleção, consulte Instalar chaves de site com caixa de seleção (teste de caixa de seleção) em sites.
Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.
Implementação ideal
Instalar chaves de site baseadas em pontuação em todas as páginas em que os usuários finais precisam inserir os próprios informações do vale-presente. Especifique uma ação, como
gift_card_entry
. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.Opcional: para permitir o bloqueio de interações de alto volume e baixa pontuação do reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF, na sigla em inglês). Por exemplo, você pode usar a integração do reCAPTCHA para WAF e Google Cloud Armor.
Criar avaliações para todos os tokens e definir
expectedAction
para corresponder ao valor deaction
especificado ao instalar as chaves de site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.Salve todos os IDs de avaliação e anexe comentários às avaliações que se tornam cartões-presente ou cupons fraudulentos.
Estratégia de mitigação de fraude
Depois de implementar o reCAPTCHA, use uma das seguintes estratégias de mitigação de fraudes para proteger seu site contra o cracking de tokens:
Configure as APIs de gerenciamento de cartão para garantir que os tokens do reCAPTCHA sejam válidos e que as pontuações sejam maiores que o valor de limite.
Se as pontuações não atingirem ou excederem o limite especificado, não execute uma autorização de vale-presente ou cartão de crédito, ou permitir que o usuário final utilize o cupom, vale-presente. Sempre que possível, permita que a transação prossiga no momento da compra, mas cancele-a mais tarde para não alertar o invasor.
Ao criar avaliações, verifique se elas atendem aos seguintes critérios para o sucesso da transação:
- Todos os tokens avaliados são válidos e têm uma pontuação maior que o limite especificado.
- O valor de
expectedAction
corresponde ao valor deaction
que você especificou quando instalar as chaves do site baseadas em pontuação nas suas páginas da Web. Para saber como verificar ações, consulte verificar ações.
Se uma transação não atender a esses critérios, não execute um autorização de vale-presente ou cartão de crédito, ou permitir que o usuário final utilize o cupom ou vale-presente. Sempre que possível, permita que a transação prossiga no momento da compra, mas cancele-a mais tarde para não alertar o invasor.
Escalonar
O scalping é uma ameaça automatizada em que os invasores usam métodos injustos para conseguir bens ou serviços com disponibilidade limitada e preferidos.
Implementação mínima
- Instalar chaves de site baseadas em pontuação em todas as páginas em que os usuários finais precisam inserir
as informações do vale-presente. Especifique uma ação no parâmetro
action
, comoadd_to_cart
. Para aprender a instalar chaves com base em pontuação, consulte Instalar chaves com base em pontuação (sem desafio) em sites. -
Crie avaliações para todos os tokens e defina
expectedAction
para corresponder ao valor deaction
especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
Implementação ideal
Instalar chaves de site baseadas em pontuação em todas as páginas em que os usuários finais precisam inserir as informações do vale-presente. Especifique uma ação no parâmetro
action
, comoadd_to_cart
. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.Opcional: para permitir o bloqueio de interações de alto volume e baixa pontuação do reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF, na sigla em inglês). Por exemplo, é possível usar o reCAPTCHA para WAF e a integração do Google Cloud Armor.
Crie avaliações para todos os tokens e defina
expectedAction
para corresponder ao valor deaction
especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.Salve todos os IDs de avaliação e anote as transações fraudulentas.
Estratégia de redução de fraudes
Depois de implementar o reCAPTCHA, use as seguintes soluções de mitigação de fraudes estratégia para proteger seu site contra scalping:
Criar e implementar um modelo de resposta que seja ajustado de acordo com o risco baseado em pontuação.
O exemplo a seguir mostra um modelo de resposta de exemplo:
- Para um limite de pontuação baixo a intermediário (0,0 a 0,5), use o gerenciamento de risco baseado em contexto, como limitar o número de tentativas e bloquear compras acima de um valor especificado.
- Para o limite de pontuação mais alto (> 0,5), permita que o usuário final prossiga sem qualquer desafio.
Ao criar avaliações, verifique se o valor de
expectedAction
corresponde ao valor deaction
que você especificou ao criar instalar as chaves do site baseadas em pontuação nas suas páginas da Web. Se eles não forem iguais, não execute a autorização do vale-presente.
Distorção
Distorção é uma ameaça automatizada em que os invasores usam cliques repetidos em links, páginas ou envios de formulários para alterar alguma métrica.
Implementação mínima
- Instale chaves de site com base na pontuação em todas as páginas em que a distorção de métricas é possível. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.
- Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.
Implementação ideal
Instale chaves de site com base na pontuação em todas as páginas em que a distorção de métricas é possível. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.
Opcional: para permitir o bloqueio de interações de alto volume e baixa pontuação do reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF, na sigla em inglês). Por exemplo, é possível usar o reCAPTCHA para WAF e a integração do Google Cloud Armor.
Crie avaliações para todos os tokens e defina
expectedAction
para corresponder ao valor deaction
especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.Salve todos os IDs de avaliação e anote as transações que foram fraudulentas.
Estratégia de mitigação de fraude
Depois de implementar o reCAPTCHA, use as seguintes soluções de mitigação de fraudes estratégia para proteger seu site contra distorções:
Criar e implementar um modelo de resposta que seja ajustado de acordo com o risco baseado em pontuação.
O exemplo a seguir mostra um modelo de resposta de exemplo:
- Para um limite de pontuação baixo a intermediário (0,0-0,5), use o gerenciamento de risco com base no contexto, como acompanhar o número de vezes que um usuário clicou em um anúncio ou o número de vezes que um usuário clicou a página foi atualizada. Use esses dados para determinar se a métrica deve ser contada.
- Para o limite de pontuação mais alto (> 0,5), permita que o usuário final prossiga sem qualquer desafio.
Raspagem de dados
O scraping é uma ameaça automatizada em que os invasores coletam dados ou artefatos de sites de forma automatizada.
Implementação mínima
- Instale chaves de site baseadas em pontuação em todas as páginas com informações importantes e em conceitos essenciais páginas de interação do usuário final. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.
- Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.
Implementação ideal
Instale chaves de site com base na pontuação em todas as páginas com informações importantes e nas principais páginas de interação do usuário. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.
Opcional: para permitir o bloqueio de interações de alto volume e baixa pontuação do reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF, na sigla em inglês). Por exemplo, você pode usar a integração do reCAPTCHA para WAF e Google Cloud Armor.
Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.
Salve todos os IDs de avaliação e anote as transações que foram fraudulentas.
Estratégia de redução de fraudes
Depois de implementar o reCAPTCHA, use as seguintes estratégias de redução de fraudes para proteger seu site contra scraping:
- Ative o bloqueio de interações de alto volume e baixa pontuação de reCAPTCHA integrando o reCAPTCHA a um firewall de aplicativos da Web (WAF, na sigla em inglês). Por exemplo, é possível usar reCAPTCHA para WAF e integração do Google Cloud Armor
- Se a raspagem de dados envolver APIs, use as APIs de gerenciamento da Apigee para mitigação adicional.
Derrota do CAPTCHA
A derrota do CAPTCHA é uma ameaça automatizada na qual os atacantes usam a automação em um tentar analisar e determinar a resposta para um CAPTCHA visual e/ou auditivo e quebra-cabeças relacionados.
Implementação mínima
Instale chaves de site baseadas em pontuação em todas as páginas que envolvem entrada do usuário final. criação de conta, informações de pagamento ou interações do usuário final com o o potencial de fraude. Especifique uma ação descritiva no parâmetro
action
. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites.Criar avaliações para todos os tokens e definir
expectedAction
para corresponder ao valor deaction
especificado ao instalar as chaves de site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
Implementação ideal
- Instale chaves de site com base na pontuação em todas as páginas que envolvem entrada do usuário final,
criação de conta, informações de pagamento ou interações do usuário final com
potencial de fraude. Especifique uma ação descritiva no parâmetro
action
. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem desafio) em sites. Opcional: para ativar o bloqueio de interações de alto volume e baixa pontuação de reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF). Por exemplo, é possível usar o reCAPTCHA para WAF e a integração do Google Cloud Armor.
Crie avaliações para todos os tokens e defina
expectedAction
para corresponder ao valor deaction
especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.Salve todos os IDs de avaliação e anote as avaliações que se tornarem fraudulentas compras ou estornos como
fraudulent
. Para saber como fazer anotações em avaliações, consulte Como anotar uma avaliação.
Estratégia de mitigação de fraude
Depois de implementar o reCAPTCHA, use uma das seguintes fraudes estratégias de mitigação para proteger seu site contra a derrota do CAPTCHA:
Implemente um modelo de resposta e crie avaliações:
-
Criar e implementar um modelo de resposta que seja ajustado de acordo com o risco baseado em pontuação.
Confira abaixo um exemplo de modelo de resposta:
- Para um limite de pontuação baixo a intermediário (0,0 a 0,5), conteste o usuário final com a autenticação multifator. via e-mail ou SMS.
- Para o limite de pontuação mais alto (> 0,5), permita que o usuário final continue sem qualquer desafio.
-
Ao criar avaliações, verifique se o valor de
expectedAction
corresponde ao valor deaction
que você especificou ao instalar as chaves de site baseadas em pontuação nas suas páginas da Web. Se eles não corresponderem, não permita a autenticação.
-
Se os usuários finais utilizarem navegadores da Web com o JavaScript desativado, faça o seguinte:
- Bloqueie esses usuários finais.
- Notifique os usuários finais de que seu site exige JavaScript para continuar.
Verifique se a promessa
grecaptcha.enterprise.ready
foi cumprida para evitar dos usuários finais navegadores que impedem o carregamento do script do Google. Isso indica que o reCAPTCHA foi totalmente carregado e não encontrou um erro.Para APIs apenas da Web, recomendamos passar o token reCAPTCHA ou teste reCAPTCHA. o resultado para a API de back-end e só permitir a ação da API se o é válido e atende a um valor de limite de pontuação. Isso garante que o fim o usuário não está usando a API sem passar pelo site.
A seguir
- Instale chaves de site baseadas em pontuação.
- Instale as chaves de site da caixa de seleção.
- Crie avaliações.
- Anotar avaliações.
- Implemente a detecção de vazamento de senhas.
- Implementar o defensor da conta.