Praktik terbaik perlindungan dari ancaman otomatis

Dokumen ini menjelaskan implementasi reCAPTCHA dan strategi mitigasi penipuan yang direkomendasikan untuk melindungi dari ancaman otomatis kritis (Serangan Otomatis OWASP (OAT) terhadap Aplikasi Web). Enterprise architect dan pemangku kepentingan teknologi dapat meninjau informasi ini untuk membuat keputusan yang tepat tentang penerapan reCAPTCHA dan strategi mitigasi penipuan untuk kasus penggunaan mereka.

Dokumen ini berisi informasi berikut untuk setiap jenis ancaman:

• Implementasi reCAPTCHA yang optimal. Implementasi ini dirancang dengan fitur reCAPTCHA yang relevan untuk perlindungan penipuan terbaik.

• Implementasi reCAPTCHA minimal. Implementasi ini dirancang untuk perlindungan penipuan minimal.

• Strategi mitigasi penipuan yang direkomendasikan.

Pilih penerapan dan strategi mitigasi penipuan yang paling sesuai dengan kasus penggunaan Anda. Faktor-faktor berikut dapat memengaruhi penerapan dan strategi mitigasi penipuan yang Anda pilih:

• Kebutuhan dan kemampuan anti-penipuan organisasi.
• Lingkungan organisasi yang ada.

Untuk mengetahui informasi selengkapnya tentang strategi mitigasi penipuan untuk kasus penggunaan Anda, hubungi tim penjualan kami.

Carding

Carding adalah ancaman otomatis yang dilakukan penyerang dengan melakukan beberapa upaya otorisasi pembayaran untuk memverifikasi validitas data kartu pembayaran yang dicuri secara massal.

Implementasi minimum

1. Instal kunci situs kotak centang di semua halaman tempat pengguna akhir perlu memasukkan informasi kartu kredit mereka. Untuk mempelajari cara menginstal kunci situs kotak centang, lihat Menginstal kunci situs kotak centang (tantangan kotak centang) di situs.

2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Penerapan yang optimal

1. Instal kunci situs berbasis skor di semua halaman tempat pengguna akhir harus memasukkan informasi kartu kredit mereka. Tentukan tindakan dalam parameter action seperti card_entry. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

2. Instal reCAPTCHA untuk alur kerja pembayaran di situs Anda. Untuk mempelajari cara melindungi alur kerja pembayaran, lihat Melindungi alur kerja pembayaran.

3. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

4. Simpan semua ID penilaian dan anotasikan penilaian yang berubah menjadi pembelian atau penagihan balik yang menipu sebagai fraudulent. Untuk mempelajari cara menganotasi penilaian, lihat Menganotasi penilaian.

Strategi mitigasi penipuan

Setelah Anda menerapkan reCAPTCHA, gunakan salah satu strategi mitigasi penipuan berikut untuk melindungi situs Anda dari carding:

• Instal reCAPTCHA untuk alur kerja pembayaran di situs Anda. Untuk mempelajari cara melindungi alur kerja pembayaran, lihat Melindungi alur kerja pembayaran.

• Konfigurasikan API pengelolaan kartu untuk memastikan token reCAPTCHA valid dan skornya lebih besar dari nilai minimumnya.

  Jika skor tidak memenuhi atau melebihi nilai nilai minimum yang ditentukan, jangan jalankan otorisasi kartu atau izinkan pengguna akhir menggunakan kartu. Jika memungkinkan, izinkan transaksi dilanjutkan pada saat pembelian, tetapi batalkan transaksi nanti untuk menghindari pemberitahuan kepada penyerang.

• Saat membuat penilaian, pastikan penilaian Anda memenuhi kriteria berikut untuk transaksi yang berhasil:

  • Semua token yang dinilai valid dan memiliki skor lebih besar dari nilai minimum yang ditentukan.
  • Nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web. Untuk mempelajari cara memverifikasi tindakan, lihat memverifikasi tindakan.

  Jika transaksi tidak memenuhi kriteria ini, jangan jalankan otorisasi kartu atau izinkan pengguna akhir menggunakan kartu. Jika memungkinkan, izinkan transaksi dilanjutkan pada saat pembelian, tetapi batalkan transaksi nanti untuk menghindari pemberitahuan kepada penyerang.

Cracking kartu

Pemecahan kartu adalah ancaman otomatis yang dilakukan penyerang untuk mengidentifikasi nilai yang tidak ada untuk tanggal mulai, tanggal habis masa berlaku, dan kode keamanan untuk data kartu pembayaran yang dicuri dengan mencoba berbagai nilai.

Implementasi minimum

1. Instal kunci situs kotak centang di semua halaman tempat pengguna akhir harus memasukkan detail pembayaran, termasuk fungsi checkout dan tambahkan metode pembayaran. Untuk mempelajari cara menginstal kunci situs kotak centang, lihat Menginstal kunci situs kotak centang (tantangan kotak centang) di situs.

2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Penerapan yang optimal

1. Instal kunci situs berbasis skor di semua halaman tempat pengguna akhir harus memasukkan detail pembayaran mereka. Tentukan tindakan dalam parameter action seperti checkout atau add_pmtmethod. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

2. Instal reCAPTCHA untuk alur kerja pembayaran di situs Anda. Untuk mempelajari cara melindungi alur kerja pembayaran, lihat Melindungi alur kerja pembayaran.

3. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

4. Simpan semua ID penilaian dan anotasikan penilaian yang berubah menjadi pembelian atau penagihan balik yang menipu sebagai fraudulent. Untuk mempelajari cara menganotasi penilaian, lihat Menganotasi penilaian.

Strategi mitigasi penipuan

Setelah Anda menerapkan reCAPTCHA, gunakan salah satu strategi mitigasi penipuan berikut untuk melindungi situs Anda dari cracking kartu:

• Instal reCAPTCHA untuk alur kerja pembayaran di situs Anda. Untuk mempelajari cara melindungi alur kerja pembayaran, lihat Melindungi alur kerja pembayaran.

• Terapkan model respons dan buat penilaian:

  1. Buat dan terapkan model respons yang disesuaikan untuk risiko berbasis skor.

     Contoh berikut menunjukkan contoh model respons:

     • Untuk nilai minimum skor rendah hingga sedang (0,0-0,5), gunakan pengelolaan risiko berbasis konteks, seperti membatasi jumlah percobaan, dan memblokir pembelian di atas nilai yang ditentukan.
     • Untuk nilai minimum skor tertinggi (> 0,5), izinkan pengguna akhir melanjutkan tanpa tantangan apa pun.

  2. Saat membuat penilaian, pastikan nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Jika tidak cocok, jangan jalankan otorisasi kartu atau izinkan pengguna akhir menggunakan kartu. Jika memungkinkan, izinkan transaksi dilanjutkan pada saat pembelian, tetapi batalkan transaksi nanti untuk menghindari pemberitahuan kepada penyerang.

Peretasan kredensial

Pemecahan kredensial adalah ancaman otomatis yang dilakukan penyerang untuk mengidentifikasi kredensial login yang valid dengan mencoba berbagai nilai untuk nama pengguna dan sandi.

Implementasi minimum

1. Instal kunci situs kotak centang di semua halaman tempat pengguna akhir harus memasukkan kredensial mereka, termasuk fungsi login dan lupa sandi saya. Untuk mempelajari cara menginstal kunci situs kotak centang, lihat Menginstal kunci situs kotak centang (tantangan kotak centang) di situs.

2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Penerapan yang optimal

1. Instal kunci situs berbasis skor di semua halaman tempat pengguna akhir harus memasukkan kredensial mereka. Tentukan tindakan dalam parameter action seperti login atau authenticate. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.
2. Direkomendasikan: Terapkan deteksi kebocoran sandi reCAPTCHA untuk semua upaya autentikasi. Untuk mempelajari cara menggunakan deteksi kebocoran sandi, lihat Mendeteksi kebocoran sandi dan kredensial yang diretas.
3. Opsional: Untuk mengaktifkan pemblokiran interaksi dengan skor reCAPTCHA rendah dan bervolume tinggi, integrasikan reCAPTCHA dengan firewall aplikasi web (WAF). Misalnya, Anda dapat menggunakan reCAPTCHA untuk integrasi WAF dan Google Cloud Armor.
4. Terapkan reCAPTCHA account defender untuk melacak tren perilaku pengguna akhir di seluruh login dan menerima sinyal tambahan yang dapat menunjukkan ATO. Untuk mempelajari cara menggunakan reCAPTCHA Account Defender, lihat Mendeteksi dan mencegah aktivitas penipuan terkait akun.
5. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.
6. Simpan semua ID Penilaian dan anotasikan penilaian yang tampak menipu, seperti Pengambilalihan Akun (ATO) atau aktivitas penipuan lainnya. Untuk mempelajari cara menganotasi penilaian, lihat Menganotasi penilaian.

Strategi mitigasi penipuan

Setelah Anda menerapkan reCAPTCHA, gunakan strategi mitigasi penipuan berikut untuk melindungi situs Anda dari peretasan kredensial:

1. Buat dan terapkan model respons yang disesuaikan untuk risiko berbasis skor.

   Contoh berikut menunjukkan contoh model respons:

   • Untuk nilai minimum skor rendah hingga sedang (0,0-0,5), minta pengguna akhir untuk melakukan autentikasi multi-faktor melalui email atau SMS.
   • Untuk nilai minimum skor tertinggi (> 0,5), izinkan pengguna akhir melanjutkan tanpa tantangan apa pun.
2. Akhiri atau ganggu sesi untuk pengguna akhir yang berhasil melakukan autentikasi, tetapi menerima respons credentialsLeaked: true dari deteksi kebocoran sandi reCAPTCHA, dan kirim email kepada pengguna akhir untuk mengubah sandi mereka.
3. Saat membuat penilaian, pastikan nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Jika tidak cocok, jangan izinkan autentikasi.

Penjejalan kredensial

Credential stuffing adalah ancaman otomatis yang dilakukan penyerang dengan menggunakan upaya login massal untuk memverifikasi validitas pasangan nama pengguna/sandi yang dicuri.

Implementasi minimum

1. Instal kunci situs kotak centang di semua halaman tempat pengguna akhir harus memasukkan kredensial mereka, termasuk fungsi login dan lupa sandi. Untuk mempelajari cara menginstal kunci situs kotak centang, lihat Menginstal kunci situs kotak centang (tantangan kotak centang) di situs.

2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Penerapan yang optimal

1. Instal kunci situs berbasis skor di semua halaman tempat pengguna akhir harus memasukkan kredensial mereka. Tentukan tindakan dalam parameter action seperti login atau authenticate. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.
2. Direkomendasikan: Terapkan deteksi kebocoran sandi reCAPTCHA untuk semua upaya autentikasi. Untuk mempelajari cara menggunakan deteksi kebocoran sandi, lihat Mendeteksi kebocoran sandi dan kredensial yang diretas.
3. Terapkan reCAPTCHA account defender untuk melacak tren perilaku pengguna akhir di seluruh login dan menerima sinyal tambahan yang dapat menunjukkan ATO. Untuk mempelajari cara menggunakan reCAPTCHA Account Defender, lihat Mendeteksi dan mencegah aktivitas penipuan terkait akun.

4. Opsional: Untuk mengaktifkan pemblokiran interaksi dengan skor reCAPTCHA rendah dan bervolume tinggi, integrasikan reCAPTCHA dengan firewall aplikasi web (WAF). Misalnya, Anda dapat menggunakan reCAPTCHA untuk integrasi WAF dan Google Cloud Armor.

5. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

6. Simpan semua ID penilaian dan anotasikan penilaian yang berubah menjadi pembelian atau penagihan balik yang menipu sebagai fraudulent. Untuk mempelajari cara menganotasi penilaian, lihat Menganotasi penilaian.

Strategi mitigasi penipuan

Setelah Anda menerapkan reCAPTCHA, gunakan strategi mitigasi penipuan berikut untuk melindungi situs Anda dari credential stuffing:

1. Buat dan terapkan model respons yang disesuaikan untuk risiko berbasis skor.

   Contoh berikut menunjukkan contoh model respons:

   • Untuk nilai minimum skor reCAPTCHA (0,0), beri tahu pengguna akhir bahwa sandinya salah.
   • Untuk nilai minimum skor menengah (0,1-0,5), minta pengguna akhir untuk melakukan autentikasi multi-faktor melalui email atau SMS.
   • Untuk nilai minimum skor tertinggi (> 0,5), izinkan pengguna akhir melanjutkan tanpa tantangan apa pun.
2. Akhiri atau ganggu sesi untuk pengguna akhir yang berhasil melakukan autentikasi, tetapi menerima respons credentialsLeaked: true dari deteksi kebocoran sandi reCAPTCHA, dan kirim email kepada pengguna akhir untuk mengubah sandi mereka.
3. Saat membuat penilaian, pastikan nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Jika tidak cocok, jangan izinkan autentikasi.
4. Dalam penilaian Anda, jika accountDefenderAssessment=PROFILE_MATCH, izinkan pengguna akhir untuk melanjutkan tanpa tantangan apa pun.

Mencairkan saldo

Pencairan dana adalah ancaman otomatis yang memungkinkan penyerang memperoleh mata uang atau item bernilai tinggi melalui penggunaan kartu pembayaran yang dicuri dan sebelumnya divalidasi.

Implementasi minimum

1. Instal kunci situs berbasis skor di semua halaman tempat checkout dapat dilakukan. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.
2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Penerapan yang optimal

1. Instal kunci situs berbasis skor di semua halaman tempat pengguna akhir memasukkan informasi kartu voucher mereka. Tentukan tindakan seperti add_gift_card. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

2. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

3. Simpan semua ID penilaian dan anotasikan transaksi yang bersifat menipu.

Strategi mitigasi penipuan

Setelah Anda menerapkan reCAPTCHA, gunakan strategi mitigasi penipuan berikut untuk melindungi situs Anda dari pencurian dana:

• Instal reCAPTCHA untuk alur kerja pembayaran di situs Anda. Untuk mempelajari cara melindungi alur kerja pembayaran, lihat Melindungi alur kerja pembayaran.

• Terapkan model respons dan buat penilaian:

  1. Buat dan terapkan model respons yang disesuaikan untuk risiko berbasis skor.

     Contoh berikut menunjukkan contoh model respons:

     • Untuk nilai minimum skor rendah hingga sedang (0,0-0,5), gunakan pengelolaan risiko berbasis konteks, seperti membatasi jumlah percobaan, dan memblokir pembelian di atas nilai yang ditentukan.
     • Untuk nilai minimum skor tertinggi (> 0,5), izinkan pengguna akhir melanjutkan tanpa tantangan apa pun.
  2. Saat membuat penilaian, pastikan nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Jika tidak cocok, jangan izinkan autentikasi. Jika memungkinkan, izinkan transaksi dilanjutkan pada saat pembelian, tetapi batalkan transaksi nanti untuk menghindari pemberitahuan kepada penyerang.

Pembuatan akun

Pembuatan akun adalah ancaman otomatis yang dilakukan penyerang dengan membuat beberapa akun untuk penyalahgunaan berikutnya.

Implementasi minimum

1. Instal kunci situs kotak centang di semua halaman tempat pengguna akhir harus memasukkan kredensial mereka, termasuk fungsi login dan lupa sandi saya. Untuk mempelajari cara menginstal kunci situs kotak centang, lihat Menginstal kunci situs kotak centang (tantangan kotak centang) di situs.

2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Penerapan yang optimal

1. Instal kunci situs berbasis skor di semua halaman tempat akun dibuat. Tentukan tindakan dalam parameter action seperti register. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.
2. Direkomendasikan: Terapkan deteksi kebocoran sandi reCAPTCHA untuk semua upaya autentikasi. Untuk mempelajari cara menggunakan deteksi kebocoran sandi, lihat Mendeteksi kebocoran sandi dan kredensial yang diretas.
3. Terapkan reCAPTCHA account defender untuk menerima sinyal tambahan yang menunjukkan pembuatan akun palsu. Untuk mempelajari cara menggunakan reCAPTCHA Account Defender, lihat Mendeteksi dan mencegah aktivitas penipuan terkait akun.

4. Opsional: Untuk mengaktifkan pemblokiran interaksi dengan skor reCAPTCHA rendah dan bervolume tinggi, integrasikan reCAPTCHA dengan firewall aplikasi web (WAF). Misalnya, Anda dapat menggunakan reCAPTCHA untuk integrasi WAF dan Google Cloud Armor.

5. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

6. Simpan semua ID penilaian dan anotasikan transaksi yang bersifat menipu.

Strategi mitigasi penipuan

Setelah Anda menerapkan reCAPTCHA, gunakan strategi mitigasi penipuan berikut untuk melindungi situs Anda dari pembuatan akun:

1. Buat dan terapkan model respons yang disesuaikan untuk risiko berbasis skor.

   Contoh berikut menunjukkan contoh model respons:

   • Untuk nilai minimum skor reCAPTCHA (0,0), batasi tindakan akun hingga akun tersebut menjalani pemeriksaan penipuan lebih lanjut.
   • Untuk nilai minimum skor menengah (0,1-0,5), minta pengguna akhir untuk melakukan autentikasi multi-faktor melalui email atau SMS.
   • Untuk nilai minimum skor tertinggi (> 0,5), izinkan pengguna akhir melanjutkan tanpa tantangan apa pun.
2. Akhiri atau ganggu sesi untuk pengguna akhir yang berhasil melakukan autentikasi, tetapi menerima respons credentialsLeaked: true dari deteksi kebocoran sandi reCAPTCHA, dan minta pengguna untuk memilih sandi baru.
3. Saat membuat penilaian, pastikan nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Jika tidak cocok, jangan izinkan pendaftaran akun atau pembuatan akun.
4. Dalam penilaian Anda, jika accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, batasi akses akun hingga validasi lebih lanjut dapat dilakukan.

Perubahan alamat dan akun yang bersifat menipu

Penyerang mungkin mencoba mengubah detail akun, termasuk alamat email, nomor telepon, atau alamat surat sebagai bagian dari aktivitas penipuan atau pengambilalihan akun.

Implementasi minimum

1. Instal kunci situs kotak centang di semua halaman tempat pengguna akhir harus memasukkan kredensial mereka, termasuk fungsi login dan lupa sandi. Untuk mempelajari cara menginstal kunci situs kotak centang, lihat Menginstal kunci situs kotak centang (tantangan kotak centang) di situs.

2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Penerapan yang optimal

1. Instal kunci situs berbasis skor di semua halaman tempat akun dibuat. Tentukan tindakan dalam parameter action seperti change_telephone atau change_physicalmail. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

2. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

3. Terapkan reCAPTCHA account defender untuk melacak tren perilaku pengguna akhir di seluruh login dan menerima sinyal tambahan yang dapat menunjukkan ATO. Untuk mempelajari cara menggunakan reCAPTCHA Account Defender, lihat Mendeteksi dan mencegah aktivitas penipuan terkait akun.

4. Simpan semua ID penilaian dan anotasikan transaksi yang bersifat menipu.

Strategi mitigasi penipuan

Setelah Anda menerapkan reCAPTCHA, gunakan strategi mitigasi penipuan berikut untuk melindungi situs Anda dari perubahan alamat dan akun penipuan:

1. Buat dan terapkan model respons yang disesuaikan untuk risiko berbasis skor.

   Contoh berikut menunjukkan contoh model respons:

   • Untuk nilai minimum skor rendah hingga sedang (0,0-0,5), minta pengguna akhir untuk melakukan autentikasi multi-faktor melalui email atau SMS.
   • Untuk nilai minimum skor tertinggi (> 0,5), izinkan pengguna akhir melanjutkan tanpa tantangan apa pun.

2. Saat membuat penilaian, pastikan nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Jika tidak cocok, jangan izinkan perubahan akun.

3. Dalam penilaian Anda, jika accountDefenderAssessment tidak memiliki label PROFILE_MATCH, minta pengguna akhir untuk melakukan autentikasi multi-faktor melalui email atau SMS.

Cracking token

Pemecahan token adalah ancaman otomatis yang dilakukan penyerang dengan melakukan enumerasi massal nomor kupon, kode voucher, token diskon.

Implementasi minimum

1. Instal kunci situs kotak centang di semua halaman tempat pengguna akhir harus memasukkan informasi kartu voucher mereka. Untuk mempelajari cara menginstal kunci situs kotak centang, lihat Menginstal kunci situs kotak centang (tantangan kotak centang) di situs.

2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Penerapan yang optimal

1. Instal kunci situs berbasis skor di semua halaman tempat pengguna akhir harus memasukkan informasi kartu voucher mereka. Tentukan tindakan seperti gift_card_entry. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

2. Opsional: Untuk mengaktifkan pemblokiran interaksi dengan skor reCAPTCHA rendah dan bervolume tinggi, integrasikan reCAPTCHA dengan firewall aplikasi web (WAF). Misalnya, Anda dapat menggunakan reCAPTCHA untuk integrasi WAF dan Google Cloud Armor.

3. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

4. Simpan semua ID penilaian dan beri anotasi pada penilaian yang berubah menjadi kartu voucher atau kupon penipuan.

Strategi mitigasi penipuan

Setelah Anda menerapkan reCAPTCHA, gunakan salah satu strategi mitigasi penipuan berikut untuk melindungi situs Anda dari peretasan token:

• Konfigurasikan API pengelolaan kartu untuk memastikan token reCAPTCHA valid dan skornya lebih besar dari nilai minimumnya.

  Jika skor tidak memenuhi atau melebihi nilai minimum yang ditentukan, jangan jalankan otorisasi kartu voucher atau kartu kredit, atau izinkan pengguna akhir menggunakan kupon, kartu voucher. Jika memungkinkan, izinkan transaksi dilanjutkan pada saat pembelian, tetapi batalkan transaksi nanti untuk menghindari pemberitahuan kepada penyerang.

• Saat membuat penilaian, pastikan penilaian Anda memenuhi kriteria berikut untuk transaksi yang berhasil:

  • Semua token yang dinilai valid dan memiliki skor lebih besar dari nilai minimum yang ditentukan.
  • Nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web. Untuk mempelajari cara memverifikasi tindakan, lihat memverifikasi tindakan.

  Jika transaksi tidak memenuhi kriteria ini, jangan jalankan otorisasi kartu voucher atau kartu kredit, atau izinkan pengguna akhir menggunakan kupon atau kartu voucher. Jika memungkinkan, izinkan transaksi dilanjutkan pada saat pembelian, tetapi batalkan transaksi nanti untuk menghindari pemberitahuan kepada penyerang.

Scalping

Scalping adalah ancaman otomatis yang dilakukan penyerang untuk mendapatkan barang atau layanan yang tersedia terbatas dan disukai dengan metode yang tidak adil.

Implementasi minimum

1. Instal kunci situs berbasis skor di semua halaman tempat pengguna akhir harus memasukkan informasi kartu voucher mereka. Tentukan tindakan dalam parameter action seperti add_to_cart. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.
2. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Penerapan yang optimal

1. Instal kunci situs berbasis skor di semua halaman tempat pengguna akhir harus memasukkan informasi kartu voucher mereka. Tentukan tindakan dalam parameter action seperti add_to_cart. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

2. Opsional: Untuk mengaktifkan pemblokiran interaksi dengan skor reCAPTCHA rendah dan bervolume tinggi, integrasikan reCAPTCHA dengan firewall aplikasi web (WAF). Misalnya, Anda dapat menggunakan reCAPTCHA untuk integrasi WAF dan Google Cloud Armor.

3. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

4. Simpan semua ID penilaian dan anotasikan transaksi yang bersifat menipu.

Strategi mitigasi penipuan

Setelah Anda menerapkan reCAPTCHA, gunakan strategi mitigasi penipuan berikut untuk melindungi situs Anda dari scalping:

1. Buat dan terapkan model respons yang disesuaikan untuk risiko berbasis skor.

   Contoh berikut menunjukkan contoh model respons:

   • Untuk nilai minimum skor rendah hingga sedang (0,0-0,5), gunakan pengelolaan risiko berbasis konteks, seperti membatasi jumlah percobaan, dan memblokir pembelian di atas nilai yang ditentukan.
   • Untuk nilai minimum skor tertinggi (> 0,5), izinkan pengguna akhir melanjutkan tanpa tantangan apa pun.

2. Saat membuat penilaian, pastikan nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Jika tidak cocok, jangan jalankan otorisasi kartu voucher.

Skewing

Penyimpangan adalah ancaman otomatis yang dilakukan penyerang dengan menggunakan klik link berulang, permintaan halaman, atau pengiriman formulir untuk mengubah beberapa metrik.

Implementasi minimum

1. Instal kunci situs berbasis skor di semua halaman yang memungkinkan terjadinya penyimpangan metrik. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.
2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Penerapan yang optimal

1. Instal kunci situs berbasis skor di semua halaman yang memungkinkan terjadinya penyimpangan metrik. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

2. Opsional: Untuk mengaktifkan pemblokiran interaksi dengan skor reCAPTCHA rendah dan bervolume tinggi, integrasikan reCAPTCHA dengan firewall aplikasi web (WAF). Misalnya, Anda dapat menggunakan reCAPTCHA untuk integrasi WAF dan Google Cloud Armor.

3. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

4. Simpan semua ID penilaian dan anotasikan transaksi yang bersifat menipu.

Strategi mitigasi penipuan

Setelah Anda menerapkan reCAPTCHA, gunakan strategi mitigasi penipuan berikut untuk melindungi situs Anda dari penyimpangan:

Buat dan terapkan model respons yang disesuaikan untuk risiko berbasis skor.

Contoh berikut menunjukkan contoh model respons:

• Untuk nilai minimum skor rendah hingga sedang (0,0-0,5), gunakan pengelolaan risiko berbasis konteks, seperti melacak frekuensi pengguna mengklik iklan, atau frekuensi pengguna memuat ulang halaman. Gunakan data ini untuk menentukan apakah akan menghitung metrik.
• Untuk nilai minimum skor tertinggi (> 0,5), izinkan pengguna akhir melanjutkan tanpa tantangan apa pun.

Scraping

Scraping adalah ancaman otomatis yang dilakukan penyerang untuk mengumpulkan data atau artefak situs secara otomatis.

Implementasi minimum

1. Instal kunci situs berbasis skor di semua halaman tempat informasi penting berada dan di halaman interaksi pengguna akhir utama yang umum. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.
2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Penerapan yang optimal

1. Instal kunci situs berbasis skor di semua halaman tempat informasi penting berada dan di halaman interaksi pengguna akhir utama yang umum. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

2. Opsional: Untuk mengaktifkan pemblokiran interaksi dengan skor reCAPTCHA rendah dan bervolume tinggi, integrasikan reCAPTCHA dengan firewall aplikasi web (WAF). Misalnya, Anda dapat menggunakan reCAPTCHA untuk integrasi WAF dan Google Cloud Armor.

3. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

4. Simpan semua ID penilaian dan anotasikan transaksi yang bersifat menipu.

Strategi mitigasi penipuan

Setelah Anda menerapkan reCAPTCHA, gunakan strategi mitigasi penipuan berikut untuk melindungi situs Anda dari scraping:

• Aktifkan pemblokiran interaksi dengan skor reCAPTCHA rendah dan volume tinggi dengan mengintegrasikan reCAPTCHA dengan firewall aplikasi web (WAF). Misalnya, Anda dapat menggunakan reCAPTCHA untuk integrasi WAF dan Google Cloud Armor
• Jika scraping melibatkan API, gunakan Apigee Management API untuk mitigasi tambahan.

Kegagalan CAPTCHA

Penipuan CAPTCHA adalah ancaman otomatis yang dilakukan penyerang dengan menggunakan otomatisasi dalam upaya menganalisis dan menentukan jawaban untuk uji CAPTCHA visual dan/atau auditif serta teka-teki terkait.

Implementasi minimum

1. Instal kunci situs berbasis skor di semua halaman yang melibatkan input pengguna akhir, pembuatan akun, informasi pembayaran, atau interaksi pengguna akhir dengan potensi penipuan. Tentukan tindakan deskriptif dalam parameter action. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

2. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Penerapan yang optimal

1. Instal kunci situs berbasis skor di semua halaman yang melibatkan input pengguna akhir, pembuatan akun, informasi pembayaran, atau interaksi pengguna akhir dengan potensi penipuan. Tentukan tindakan deskriptif dalam parameter action. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

2. Opsional: Untuk mengaktifkan pemblokiran interaksi dengan skor reCAPTCHA rendah dan bervolume tinggi, integrasikan reCAPTCHA dengan firewall aplikasi web (WAF). Misalnya, Anda dapat menggunakan reCAPTCHA untuk integrasi WAF dan Google Cloud Armor.

3. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

4. Simpan semua ID penilaian dan anotasikan penilaian yang berubah menjadi pembelian atau penagihan balik yang menipu sebagai fraudulent. Untuk mempelajari cara menganotasi penilaian, lihat Menganotasi penilaian.

Strategi mitigasi penipuan

Setelah Anda menerapkan reCAPTCHA, gunakan salah satu strategi mitigasi penipuan berikut untuk melindungi situs Anda dari CAPTCHA yang dibobol:

• Terapkan model respons dan buat penilaian:

  1. Buat dan terapkan model respons yang disesuaikan untuk risiko berbasis skor.

     Contoh berikut menunjukkan contoh model respons:

     • Untuk nilai minimum skor rendah hingga sedang (0,0-0,5), minta pengguna akhir untuk melakukan autentikasi multi-faktor melalui email atau SMS.
     • Untuk nilai minimum skor tertinggi (> 0,5), izinkan pengguna akhir melanjutkan tanpa tantangan apa pun.
  2. Saat membuat penilaian, pastikan nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Jika tidak cocok, jangan izinkan autentikasi.

• Jika pengguna akhir menggunakan browser web yang menonaktifkan JavaScript, lakukan tindakan berikut:

  1. Blokir pengguna akhir tersebut.
  2. Beri tahu pengguna akhir bahwa situs Anda memerlukan JavaScript untuk melanjutkan.

• Pastikan promise grecaptcha.enterprise.ready terpenuhi untuk mencegah browser pengguna akhir yang memblokir pemuatan skrip Google. Hal ini menunjukkan bahwa reCAPTCHA dimuat sepenuhnya dan tidak mengalami error.

• Untuk API khusus web, sebaiknya teruskan token reCAPTCHA atau hasil penilaian reCAPTCHA ke API backend, lalu hanya izinkan tindakan API jika token reCAPTCHA valid dan memenuhi nilai nilai minimum skor. Hal ini memastikan bahwa pengguna akhir tidak menggunakan API tanpa membuka situs.

Langkah selanjutnya

• Instal kunci situs berbasis skor.
• Instal kunci situs kotak centang.
• Membuat penilaian.
• Buat anotasi penilaian.
• Terapkan deteksi kebocoran sandi.
• Menerapkan Account Defender.