Cette page a été traduite par l'API Cloud Translation.

Bonnes pratiques pour se protéger contre les menaces automatisées

Ce document décrit les implémentations recommandées de reCAPTCHA et les stratégies d'atténuation des fraudes pour se protéger contre les menaces automatisées critiques (OWASP Automated Threats (OAT) to Web Applications). Les architectes d'entreprise et les partenaires technologiques peuvent examiner ces informations pour prendre une décision éclairée concernant l'implémentation de reCAPTCHA et la stratégie de réduction des fraudes pour leur cas d'utilisation.

Ce document contient les informations suivantes pour chaque type de menace :

Implémentation optimale de reCAPTCHA. Cette implémentation est conçue avec les fonctionnalités reCAPTCHA pertinentes pour une protection optimale contre la fraude.
Implémentation minimale de reCAPTCHA. Cette implémentation est conçue pour une protection minimale contre la fraude.
Stratégies recommandées pour limiter la fraude

Choisissez la stratégie d'implémentation et d'atténuation des fraudes qui correspond le mieux à votre cas d'utilisation. Les facteurs suivants peuvent influencer la stratégie d'implémentation et d'atténuation des fraudes que vous choisissez :

Besoins et capacités de l'organisation en matière de lutte contre la fraude.
Environnement existant de l'organisation.

Pour en savoir plus sur les stratégies d'atténuation de la fraude pour votre cas d'utilisation, contactez notre équipe commerciale.

Carding

Le carding est une menace automatisée qui consiste pour les pirates informatiques à effectuer plusieurs tentatives d'autorisation de paiement pour vérifier la validité des données de cartes de paiement volées en masse.

Implémentation minimale

Installez des clés de site de case à cocher sur toutes les pages où les utilisateurs finaux doivent saisir les informations de leur carte de crédit. Pour savoir comment installer des clés de site avec case à cocher, consultez Installer des clés de site avec case à cocher (test par case à cocher) sur des sites Web.

Remarque : Les clés de site de case à cocher augmentent les frictions de l'utilisateur et peuvent affecter les taux de conversion.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages où les utilisateurs finaux doivent saisir les informations de leur carte de crédit. Spécifiez une action dans le paramètre action, par exemple card_entry. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Installez reCAPTCHA pour le workflow de paiement sur votre site Web. Pour savoir comment protéger votre workflow de paiement, consultez Protéger les workflows de paiement.
Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'il corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les évaluations qui se transforment en achats frauduleux ou en demandes de remboursement comme fraudulent. Pour savoir comment annoter des évaluations, consultez Annoter une évaluation.

Stratégie d'atténuation des fraudes

Après avoir implémenté reCAPTCHA, utilisez l'une des stratégies de réduction des fraudes suivantes pour protéger votre site Web contre le carding :

Installez reCAPTCHA pour le workflow de paiement sur votre site Web. Pour savoir comment protéger votre workflow de paiement, consultez Protéger les workflows de paiement.
Configurez les API de gestion des cartes pour vous assurer que les jetons reCAPTCHA sont valides et que les scores sont supérieurs à leur valeur seuil.

Si les scores n'atteignent pas ou ne dépassent pas la valeur seuil spécifiée, n'exécutez pas d'autorisation de carte et n'autorisez pas l'utilisateur final à utiliser la carte. Si possible, autorisez la transaction au moment de l'achat, mais annulez-la plus tard pour éviter d'alerter le pirate informatique.
Lorsque vous créez des évaluations, assurez-vous qu'elles répondent aux critères suivants pour que la transaction soit validée :
- Tous les jetons évalués sont valides et ont un score supérieur à une valeur seuil spécifiée.
- La valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Pour savoir comment valider des actions, consultez Valider des actions.
Si une transaction ne répond pas à ces critères, n'exécutez pas d'autorisation de carte et ne permettez pas à l'utilisateur final d'utiliser la carte. Si possible, autorisez la transaction au moment de l'achat, mais annulez-la plus tard pour éviter d'alerter le pirate informatique.

Card cracking

Le card cracking est une menace automatisée qui consiste pour les pirates informatiques à identifier les valeurs manquantes (date de début, date d'expiration et codes de sécurité) des données de cartes de paiement volées en essayant différentes valeurs.

Implémentation minimale

Installez des clés de site de case à cocher sur toutes les pages où les utilisateurs finaux doivent saisir leurs informations de paiement, y compris les fonctions Paiement et Ajouter un mode de paiement. Pour savoir comment installer des clés de site avec case à cocher, consultez Installer des clés de site avec case à cocher (test par case à cocher) sur des sites Web.

Remarque : Les clés de site de case à cocher augmentent les frictions de l'utilisateur et peuvent affecter les taux de conversion.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages sur lesquelles les utilisateurs finaux doivent saisir leurs informations de paiement. Spécifiez une action dans le paramètre action, par exemple checkout ou add_pmtmethod. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Installez reCAPTCHA pour le workflow de paiement sur votre site Web. Pour savoir comment protéger votre workflow de paiement, consultez Protéger les workflows de paiement.
Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'il corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les évaluations qui se transforment en achats frauduleux ou en demandes de remboursement comme fraudulent. Pour savoir comment annoter des évaluations, consultez Annoter une évaluation.

Stratégie d'atténuation des fraudes

Après avoir implémenté reCAPTCHA, utilisez l'une des stratégies de réduction des fraudes suivantes pour protéger votre site Web contre le card cracking :

Installez reCAPTCHA pour le workflow de paiement sur votre site Web. Pour savoir comment protéger votre workflow de paiement, consultez Protéger les workflows de paiement.
Implémenter un modèle de réponse et créer des évaluations :
1. Créez et implémentez un modèle de réponse ajusté au risque basé sur le score.
  
  L'exemple suivant illustre un exemple de modèle de réponse :
  - Pour les seuils de risque faibles à intermédiaires (0,0 à 0,5), utilisez la gestion des risques basée sur le contexte, par exemple en limitant le nombre de tentatives et en bloquant les achats d'une valeur spécifiée.
  - Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans aucun défi.
  Remarque : Vos seuils de score peuvent varier en fonction de vos utilisateurs et des pirates informatiques. Nous vous recommandons d'utiliser le tableau de bord des données analytiques reCAPTCHA pour déterminer les meilleurs scores sur lesquels agir.
2. Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Si elles ne correspondent pas, n'autorisez pas la carte ni l'utilisateur final à l'utiliser. Si possible, autorisez la transaction au moment de l'achat, mais annulez-la plus tard pour éviter d'alerter le pirate informatique.

Piratage d'identifiants

Le forçage d'identifiants est une menace automatisée dans laquelle les pirates informatiques identifient des identifiants de connexion valides en essayant différentes valeurs pour les noms d'utilisateur et les mots de passe.

Implémentation minimale

Installez des clés de site de type case à cocher sur toutes les pages où les utilisateurs finaux doivent saisir leurs identifiants, y compris les fonctions Connexion et Mot de passe oublié. Pour savoir comment installer des clés de site avec case à cocher, consultez Installer des clés de site avec case à cocher (test par case à cocher) sur des sites Web.

Remarque : Les clés de site de case à cocher augmentent les frictions de l'utilisateur et peuvent affecter les taux de conversion.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages où les utilisateurs finaux doivent saisir leurs identifiants. Spécifiez une action dans le paramètre action, par exemple login ou authenticate. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Recommandation : implémentez reCAPTCHA Password Defense pour toutes les tentatives d'authentification. Pour savoir comment utiliser la protection des mots de passe, consultez Détecter les fuites de mots de passe et les vols d'identifiants.
Facultatif : Pour activer le blocage des interactions à volume élevé et à faible score reCAPTCHA, intégrez reCAPTCHA à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser l'intégration de reCAPTCHA pour WAF et Google Cloud Armor.
Implémentez reCAPTCHA Account Defender pour suivre l'évolution du comportement des utilisateurs finaux lors des connexions et recevoir des signaux supplémentaires pouvant indiquer un piratage de compte. Pour savoir comment utiliser reCAPTCHA Account Defender, consultez Détecter et prévenir les activités frauduleuses liées aux comptes.
Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'il corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez l'évaluation qui semble frauduleuse, comme les piratages de compte ou toute autre activité frauduleuse. Pour savoir comment annoter des évaluations, consultez Annoter une évaluation.

Stratégie d'atténuation des fraudes

Après avoir implémenté reCAPTCHA, utilisez la stratégie de réduction des fraudes suivante pour protéger votre site Web contre le forçage d'identifiants :

Créez et implémentez un modèle de réponse ajusté au risque basé sur le score.

L'exemple suivant illustre un exemple de modèle de réponse :
- Pour les seuils de score faibles à intermédiaires (0,0 à 0,5), testez l'utilisateur final avec l'authentification multifacteur par e-mail ou SMS.
- Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans aucun défi.
Remarque : Vos seuils de score peuvent varier en fonction de vos utilisateurs et des pirates informatiques. Nous vous recommandons d'utiliser le tableau de bord des données analytiques reCAPTCHA pour déterminer les meilleurs scores sur lesquels agir.
Mettez fin aux sessions ou interrompez-les pour les utilisateurs finaux qui s'authentifient correctement, mais qui reçoivent une réponse credentialsLeaked: true de la protection par mot de passe reCAPTCHA. Envoyez un e-mail à ces utilisateurs pour qu'ils modifient leur mot de passe.
Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. S'ils ne correspondent pas, n'autorisez pas l'authentification.

Bourrage d'identifiants

Le credential stuffing est une menace automatisée dans laquelle les pirates informatiques utilisent des tentatives de connexion massives pour vérifier la validité des paires nom d'utilisateur/mot de passe volées.

Implémentation minimale

Installez des clés de site de type case à cocher sur toutes les pages où les utilisateurs finaux doivent saisir leurs identifiants, y compris les fonctions Connexion et Mot de passe oublié. Pour savoir comment installer des clés de site avec case à cocher, consultez Installer des clés de site avec case à cocher (test par case à cocher) sur des sites Web.

Remarque : Les clés de site de case à cocher augmentent les frictions de l'utilisateur et peuvent affecter les taux de conversion.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages où les utilisateurs finaux doivent saisir leurs identifiants. Spécifiez une action dans le paramètre action, par exemple login ou authenticate. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Recommandation : implémentez reCAPTCHA Password Defense pour toutes les tentatives d'authentification. Pour savoir comment utiliser la protection des mots de passe, consultez Détecter les fuites de mots de passe et les vols d'identifiants.
Implémentez reCAPTCHA Account Defender pour suivre l'évolution du comportement des utilisateurs finaux lors des connexions et recevoir des signaux supplémentaires pouvant indiquer un piratage de compte. Pour savoir comment utiliser reCAPTCHA Account Defender, consultez Détecter et prévenir les activités frauduleuses liées aux comptes.
Facultatif : Pour activer le blocage des interactions à volume élevé et à faible score reCAPTCHA, intégrez reCAPTCHA à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser l'intégration de reCAPTCHA pour WAF et Google Cloud Armor.
Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'il corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les évaluations qui se transforment en achats frauduleux ou en demandes de remboursement comme fraudulent. Pour savoir comment annoter des évaluations, consultez Annoter une évaluation.

Stratégie d'atténuation des fraudes

Après avoir implémenté reCAPTCHA, utilisez la stratégie de réduction des fraudes suivante pour protéger votre site Web contre le bourrage d'identifiants :

Créez et implémentez un modèle de réponse ajusté au risque basé sur le score.

L'exemple suivant illustre un exemple de modèle de réponse :
- Pour le seuil de score reCAPTCHA le plus bas (0,0), informez l'utilisateur final que son mot de passe est incorrect.
- Pour le seuil de score intermédiaire (0,1 à 0,5), testez l'utilisateur final avec l'authentification multifacteur par e-mail ou SMS.
- Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans aucun défi.
Remarque : Vos seuils de score peuvent varier en fonction de vos utilisateurs et des pirates informatiques. Nous vous recommandons d'utiliser le tableau de bord des données analytiques reCAPTCHA pour déterminer les meilleurs scores sur lesquels agir.
Mettez fin aux sessions ou interrompez-les pour les utilisateurs finaux qui s'authentifient correctement, mais qui reçoivent une réponse credentialsLeaked: true de la protection par mot de passe reCAPTCHA. Envoyez un e-mail à ces utilisateurs pour qu'ils modifient leur mot de passe.
Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. S'ils ne correspondent pas, n'autorisez pas l'authentification.
Dans votre évaluation, si accountDefenderAssessment=PROFILE_MATCH, autorisez l'utilisateur final à continuer sans aucun défi.

Retirer de l'argent

Le retrait d'espèces est une menace automatisée dans laquelle des pirates informatiques obtiennent de l'argent ou des articles de grande valeur en utilisant des cartes de paiement volées et validées précédemment.

Implémentation minimale

Installez des clés de site basées sur des scores sur toutes les pages où il est possible de passer à la caisse. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages où les utilisateurs finaux saisissent les informations de leur carte cadeau. Spécifiez une action telle que add_gift_card. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'il corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les transactions frauduleuses.

Stratégie d'atténuation des fraudes

Après avoir implémenté reCAPTCHA, utilisez la stratégie de réduction des fraudes suivante pour protéger votre site Web contre les encaissements :

Installez reCAPTCHA pour le workflow de paiement sur votre site Web. Pour savoir comment protéger votre workflow de paiement, consultez Protéger les workflows de paiement.
Implémenter un modèle de réponse et créer des évaluations :
1. Créez et implémentez un modèle de réponse ajusté au risque basé sur le score.
  
  L'exemple suivant illustre un exemple de modèle de réponse :
  - Pour les seuils de risque faibles à intermédiaires (0,0 à 0,5), utilisez la gestion des risques basée sur le contexte, par exemple en limitant le nombre de tentatives et en bloquant les achats d'une valeur spécifiée.
  - Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans aucun défi.
  Remarque : Vos seuils de score peuvent varier en fonction de vos utilisateurs et des pirates informatiques. Nous vous recommandons d'utiliser le tableau de bord des données analytiques reCAPTCHA pour déterminer les meilleurs scores sur lesquels agir.
2. Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. S'ils ne correspondent pas, n'autorisez pas l'authentification. Si possible, autorisez la transaction au moment de l'achat, mais annulez-la plus tard pour éviter d'alerter le pirate informatique.

Création d'un compte

La création de comptes est une menace automatisée qui consiste pour les pirates informatiques à créer plusieurs comptes pour les utiliser de manière abusive par la suite.

Implémentation minimale

Installez des clés de site de type case à cocher sur toutes les pages où les utilisateurs finaux doivent saisir leurs identifiants, y compris les fonctions Connexion et Mot de passe oublié. Pour savoir comment installer des clés de site avec case à cocher, consultez Installer des clés de site avec case à cocher (test par case à cocher) sur des sites Web.

Remarque : Les clés de site de case à cocher augmentent les frictions de l'utilisateur et peuvent affecter les taux de conversion.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages où des comptes sont créés. Spécifiez une action dans le paramètre action, par exemple register. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Recommandation : implémentez reCAPTCHA Password Defense pour toutes les tentatives d'authentification. Pour savoir comment utiliser la protection des mots de passe, consultez Détecter les fuites de mots de passe et les vols d'identifiants.
Implémentez reCAPTCHA Account Defender pour recevoir des signaux supplémentaires indiquant la création de faux comptes. Pour savoir comment utiliser reCAPTCHA Account Defender, consultez Détecter et prévenir les activités frauduleuses liées aux comptes.
Facultatif : Pour activer le blocage des interactions à volume élevé et à faible score reCAPTCHA, intégrez reCAPTCHA à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser l'intégration de reCAPTCHA pour WAF et Google Cloud Armor.
Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'il corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les transactions frauduleuses.

Stratégie d'atténuation des fraudes

Après avoir implémenté reCAPTCHA, utilisez la stratégie de réduction des fraudes suivante pour protéger votre site Web contre la création de comptes :

Créez et implémentez un modèle de réponse ajusté au risque basé sur le score.

L'exemple suivant illustre un exemple de modèle de réponse :
- Pour le seuil de score reCAPTCHA le plus bas (0,0), limitez les actions du compte jusqu'à ce qu'il fasse l'objet d'autres vérifications de fraude.
- Pour le seuil de score intermédiaire (0,1 à 0,5), testez l'utilisateur final avec l'authentification multifacteur par e-mail ou SMS.
- Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans aucun défi.
Remarque : Vos seuils de score peuvent varier en fonction de vos utilisateurs et des pirates informatiques. Nous vous recommandons d'utiliser le tableau de bord des données analytiques reCAPTCHA pour déterminer les meilleurs scores sur lesquels agir.
Mettez fin aux sessions ou interrompez-les pour les utilisateurs finaux qui s'authentifient correctement, mais qui reçoivent une réponse credentialsLeaked: true de la protection par mot de passe reCAPTCHA. Demandez-leur de sélectionner un nouveau mot de passe.
Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Si elles ne correspondent pas, n'autorisez pas l'inscription ni la création du compte.
Dans votre évaluation, si accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, restreignez l'accès au compte jusqu'à ce qu'une validation supplémentaire puisse être effectuée.

Modifications frauduleuses de compte et d'adresse

Les pirates informatiques peuvent tenter de modifier les informations de compte, y compris les adresses e-mail, les numéros de téléphone ou les adresses postales, dans le cadre d'activités frauduleuses ou de piratages de compte.

Implémentation minimale

Installez des clés de site de type case à cocher sur toutes les pages où les utilisateurs finaux doivent saisir leurs identifiants, y compris les fonctions Connexion et Mot de passe oublié. Pour savoir comment installer des clés de site avec case à cocher, consultez Installer des clés de site avec case à cocher (test par case à cocher) sur des sites Web.

Remarque : Les clés de site de case à cocher augmentent les frictions de l'utilisateur et peuvent affecter les taux de conversion.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages où des comptes sont créés. Spécifiez une action dans le paramètre action, par exemple change_telephone ou change_physicalmail. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'il corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.
Implémentez reCAPTCHA Account Defender pour suivre l'évolution du comportement des utilisateurs finaux lors des connexions et recevoir des signaux supplémentaires pouvant indiquer un piratage de compte. Pour savoir comment utiliser reCAPTCHA Account Defender, consultez Détecter et prévenir les activités frauduleuses liées aux comptes.
Enregistrez tous les ID d'évaluation et annotez les transactions frauduleuses.

Stratégie d'atténuation des fraudes

Après avoir implémenté reCAPTCHA, utilisez la stratégie de réduction des fraudes suivante pour protéger votre site Web contre les modifications frauduleuses de compte et d'adresse :

Créez et implémentez un modèle de réponse ajusté au risque basé sur le score.

L'exemple suivant illustre un exemple de modèle de réponse :
- Pour les seuils de score faibles à intermédiaires (0,0 à 0,5), testez l'utilisateur final avec l'authentification multifacteur par e-mail ou SMS.
- Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans aucun défi.
Remarque : Vos seuils de score peuvent varier en fonction de vos utilisateurs et des pirates informatiques. Nous vous recommandons d'utiliser le tableau de bord des données analytiques reCAPTCHA pour déterminer les meilleurs scores sur lesquels agir.
Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. S'ils ne correspondent pas, n'autorisez pas les modifications du compte.
Dans votre évaluation, si accountDefenderAssessment ne comporte pas le libellé PROFILE_MATCH, demandez à l'utilisateur final de s'authentifier à l'aide de l'authentification multifacteur par e-mail ou SMS.

Piratage de jetons

Le forçage de jetons est une menace automatisée qui consiste à énumérer massivement les numéros de bons de réduction, les codes promotionnels et les jetons de remise.

Implémentation minimale

Installez des clés de site à cocher sur toutes les pages où les utilisateurs finaux doivent saisir les informations de leur carte cadeau. Pour savoir comment installer des clés de site avec case à cocher, consultez Installer des clés de site avec case à cocher (test par case à cocher) sur des sites Web.

Remarque : Les clés de site de case à cocher augmentent les frictions de l'utilisateur et peuvent affecter les taux de conversion.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages où les utilisateurs finaux doivent saisir les informations de leur carte cadeau. Spécifiez une action telle que gift_card_entry. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Facultatif : Pour activer le blocage des interactions à volume élevé et à faible score reCAPTCHA, intégrez reCAPTCHA à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser l'intégration de reCAPTCHA pour WAF et Google Cloud Armor.
Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'il corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les évaluations qui se transforment en cartes ou bons d'achat frauduleux.

Stratégie d'atténuation des fraudes

Une fois reCAPTCHA implémenté, utilisez l'une des stratégies de réduction des risques de fraude suivantes pour protéger votre site Web contre le piratage de jetons :

Configurez les API de gestion des cartes pour vous assurer que les jetons reCAPTCHA sont valides et que les scores sont supérieurs à leur valeur seuil.

Si les scores ne sont pas supérieurs ou égaux au seuil spécifié, n'exécutez pas d'autorisation de carte ou de crédit, et n'autorisez pas l'utilisateur final à utiliser le bon ou la carte. Si possible, autorisez la transaction au moment de l'achat, mais annulez-la plus tard pour éviter d'alerter le pirate informatique.
Lorsque vous créez des évaluations, assurez-vous qu'elles répondent aux critères suivants pour que la transaction soit validée :
- Tous les jetons évalués sont valides et ont un score supérieur à une valeur seuil spécifiée.
- La valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Pour savoir comment valider des actions, consultez Valider des actions.
Si une transaction ne répond pas à ces critères, n'exécutez pas d'autorisation de carte de crédit ou de bon cadeau, et n'autorisez pas l'utilisateur final à utiliser le bon de réduction ou le bon cadeau. Si possible, autorisez la transaction au moment de l'achat, mais annulez-la plus tard pour éviter d'alerter le pirate informatique.

Scalping

Le scalping est une menace automatisée qui consiste pour les pirates informatiques à obtenir des produits ou services à disponibilité limitée ou privilégiée par des méthodes déloyales.

Implémentation minimale

Installez des clés de site basées sur des scores sur toutes les pages où les utilisateurs finaux doivent saisir les informations de leur carte cadeau. Spécifiez une action dans le paramètre action, par exemple add_to_cart. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'il corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages où les utilisateurs finaux doivent saisir les informations de leur carte cadeau. Spécifiez une action dans le paramètre action, par exemple add_to_cart. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Facultatif : Pour activer le blocage des interactions à volume élevé et à faible score reCAPTCHA, intégrez reCAPTCHA à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser l'intégration de reCAPTCHA pour WAF et Google Cloud Armor.
Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'il corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les transactions frauduleuses.

Stratégie d'atténuation des fraudes

Après avoir implémenté reCAPTCHA, utilisez la stratégie de réduction des fraudes suivante pour protéger votre site Web contre le scalping :

Créez et implémentez un modèle de réponse ajusté au risque basé sur le score.

L'exemple suivant illustre un exemple de modèle de réponse :
- Pour les seuils de risque faibles à intermédiaires (0,0 à 0,5), utilisez la gestion des risques basée sur le contexte, par exemple en limitant le nombre de tentatives et en bloquant les achats d'une valeur spécifiée.
- Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans aucun défi.
Remarque : Vos seuils de score peuvent varier en fonction de vos utilisateurs et des pirates informatiques. Nous vous recommandons d'utiliser le tableau de bord des données analytiques reCAPTCHA pour déterminer les meilleurs scores sur lesquels agir.
Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. Si elles ne correspondent pas, n'exécutez pas l'autorisation de la carte cadeau.

Inclinaison

La distorsion est une menace automatisée dans laquelle les pirates informatiques utilisent des clics répétés sur des liens, des demandes de pages ou des envois de formulaires pour modifier une métrique.

Implémentation minimale

Installez des clés de site basées sur des scores sur toutes les pages où les métriques peuvent être faussées. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages où les métriques peuvent être faussées. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Facultatif : Pour activer le blocage des interactions à volume élevé et à faible score reCAPTCHA, intégrez reCAPTCHA à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser l'intégration de reCAPTCHA pour WAF et Google Cloud Armor.
Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'il corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les transactions frauduleuses.

Stratégie d'atténuation des fraudes

Une fois reCAPTCHA implémenté, utilisez la stratégie de réduction des fraudes suivante pour protéger votre site Web contre les biais :

Créez et implémentez un modèle de réponse ajusté au risque basé sur le score.

L'exemple suivant illustre un exemple de modèle de réponse :

Pour les seuils de risque faibles à intermédiaires (0,0 à 0,5), utilisez la gestion des risques basée sur le contexte, par exemple en suivant le nombre de fois qu'un utilisateur a cliqué sur une annonce ou rechargé la page. Utilisez ces données pour déterminer si la métrique doit être comptabilisée.
Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans aucun défi.

Scraping

Le scraping est une menace automatisée qui consiste pour les pirates informatiques à collecter des données ou des artefacts de sites Web de manière automatisée.

Implémentation minimale

Installez des clés de site basées sur des scores sur toutes les pages où se trouvent des informations importantes et sur les principales pages d'interaction courantes avec les utilisateurs finaux. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur des scores sur toutes les pages où se trouvent des informations importantes et sur les principales pages d'interaction courantes avec les utilisateurs finaux. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Facultatif : Pour activer le blocage des interactions à volume élevé et à faible score reCAPTCHA, intégrez reCAPTCHA à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser l'intégration de reCAPTCHA pour WAF et Google Cloud Armor.
Créez des évaluations pour tous les jetons. Pour savoir comment créer des évaluations, consultez Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les transactions frauduleuses.

Stratégie d'atténuation des fraudes

Après avoir implémenté reCAPTCHA, utilisez les stratégies de réduction des fraudes suivantes pour protéger votre site Web contre le scraping :

Activez le blocage des interactions à volume élevé et à faible score reCAPTCHA en intégrant reCAPTCHA à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser l'intégration de reCAPTCHA pour WAF et Google Cloud Armor.
Si le scraping implique des API, utilisez les API Apigee Management pour une protection supplémentaire.

Contournement du CAPTCHA

Le contournement de CAPTCHA est une menace automatisée dans laquelle les pirates informatiques utilisent l'automatisation pour tenter d'analyser et de déterminer la réponse aux tests CAPTCHA visuels et/ou sonores, ainsi qu'aux énigmes associées.

Implémentation minimale

Installez des clés de site basées sur le score sur toutes les pages qui impliquent la saisie de données par l'utilisateur final, la création de compte, les informations de paiement ou les interactions de l'utilisateur final susceptibles de générer une fraude. Spécifiez une action descriptive dans le paramètre action. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'il corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.

Implémentation optimale

Installez des clés de site basées sur le score sur toutes les pages qui impliquent la saisie de données par l'utilisateur final, la création de compte, les informations de paiement ou les interactions de l'utilisateur final susceptibles de générer une fraude. Spécifiez une action descriptive dans le paramètre action. Pour savoir comment installer des clés de site basées sur des scores, consultez Installer des clés de site basées sur des scores (sans test) sur les sites Web.
Facultatif : Pour activer le blocage des interactions à volume élevé et à faible score reCAPTCHA, intégrez reCAPTCHA à un pare-feu d'application Web (WAF). Par exemple, vous pouvez utiliser l'intégration de reCAPTCHA pour WAF et Google Cloud Armor.
Créez des évaluations pour tous les jetons et définissez expectedAction pour qu'il corresponde à la valeur de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores. Pour savoir comment créer des évaluations, consultez Créer une évaluation.
Enregistrez tous les ID d'évaluation et annotez les évaluations qui se transforment en achats frauduleux ou en demandes de remboursement comme fraudulent. Pour savoir comment annoter des évaluations, consultez Annoter une évaluation.

Stratégie d'atténuation des fraudes

Après avoir implémenté reCAPTCHA, utilisez l'une des stratégies de réduction des fraudes suivantes pour protéger votre site Web contre le contournement de CAPTCHA :

Implémenter un modèle de réponse et créer des évaluations :
1. Créez et implémentez un modèle de réponse ajusté au risque basé sur le score.
  
  L'exemple suivant illustre un exemple de modèle de réponse :
  - Pour les seuils de score faibles à intermédiaires (0,0 à 0,5), testez l'utilisateur final avec l'authentification multifacteur par e-mail ou SMS.
  - Pour le seuil de score le plus élevé (> 0,5), autorisez l'utilisateur final à continuer sans aucun défi.
  Remarque : Vos seuils de score peuvent varier en fonction de vos utilisateurs et des pirates informatiques. Nous vous recommandons d'utiliser le tableau de bord des données analytiques reCAPTCHA pour déterminer les meilleurs scores sur lesquels agir.
2. Lorsque vous créez des évaluations, assurez-vous que la valeur de expectedAction correspond à celle de action que vous avez spécifiée lors de l'installation des clés de site basées sur des scores sur vos pages Web. S'ils ne correspondent pas, n'autorisez pas l'authentification.
Si les utilisateurs finaux utilisent des navigateurs Web sur lesquels JavaScript est désactivé, procédez comme suit :
1. Bloquez ces utilisateurs finaux.
2. Informez les utilisateurs finaux que votre site Web nécessite JavaScript pour continuer.
Assurez-vous que la promesse grecaptcha.enterprise.ready est tenue pour éviter que les navigateurs des utilisateurs finaux qui bloquent le script de Google ne se chargent. Cela indique que reCAPTCHA est entièrement chargé et n'a rencontré aucune erreur.
Pour les API Web uniquement, nous vous recommandons de transmettre le jeton reCAPTCHA ou le résultat de l'évaluation reCAPTCHA à l'API de backend, puis d'autoriser l'action d'API uniquement si le jeton reCAPTCHA est valide et répond à une valeur seuil de score. Cela permet de s'assurer que l'utilisateur final n'utilise pas l'API sans passer par le site Web.

Bonnes pratiques pour se protéger contre les menaces automatisées Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Carding

Implémentation minimale

Implémentation optimale

Stratégie d'atténuation des fraudes

Card cracking

Implémentation minimale

Implémentation optimale

Stratégie d'atténuation des fraudes

Piratage d'identifiants

Implémentation minimale

Implémentation optimale

Stratégie d'atténuation des fraudes

Bourrage d'identifiants

Implémentation minimale

Implémentation optimale

Stratégie d'atténuation des fraudes

Retirer de l'argent

Implémentation minimale

Implémentation optimale

Stratégie d'atténuation des fraudes

Création d'un compte

Implémentation minimale

Implémentation optimale

Stratégie d'atténuation des fraudes

Modifications frauduleuses de compte et d'adresse

Implémentation minimale

Implémentation optimale

Stratégie d'atténuation des fraudes

Piratage de jetons

Implémentation minimale

Implémentation optimale

Stratégie d'atténuation des fraudes

Scalping

Implémentation minimale

Implémentation optimale

Stratégie d'atténuation des fraudes

Inclinaison

Implémentation minimale

Implémentation optimale

Stratégie d'atténuation des fraudes

Scraping

Implémentation minimale

Implémentation optimale

Stratégie d'atténuation des fraudes

Contournement du CAPTCHA

Implémentation minimale

Implémentation optimale

Stratégie d'atténuation des fraudes

Étapes suivantes

Bonnes pratiques pour se protéger contre les menaces automatisées