Práticas recomendadas para proteção contra ameaças automatizadas

Neste documento, descrevemos as implementações recomendadas do reCAPTCHA e estratégias de mitigação de fraude para se defender contra as ameaças automatizadas críticas (OWASP Automated Threats (OAT) para aplicativos da Web). Os arquitetos empresariais e as partes interessadas em tecnologia podem analisar essas informações para tomar uma decisão embasada sobre a implementação do reCAPTCHA e a estratégia de mitigação de fraudes para o caso de uso deles.

Este documento contém as seguintes informações para cada tipo de ameaça:

• Implementação ideal do reCAPTCHA. Essa implementação foi criada com os recursos relevantes do reCAPTCHA para oferecer a melhor proteção contra fraudes.

• Implementação mínima do reCAPTCHA. Essa implementação foi projetada para uma proteção mínima contra fraudes.

• Estratégias recomendadas de mitigação de fraudes.

Escolha a estratégia de implementação e mitigação de fraudes mais adequada ao seu caso de uso. Os seguintes fatores podem influenciar a estratégia de implementação e mitigação de fraudes escolhida:

• Necessidades e recursos antifraude da organização.
• Ambiente atual da organização.

Para mais informações sobre as estratégias de mitigação de fraude para seu caso de uso, entre em contato com nossa equipe de vendas.

Cardagem

O carding é uma ameaça automatizada em que os invasores fazem várias tentativas de autorização de pagamento para verificar a validade dos dados de cartão de pagamento roubados em massa.

Implementação mínima

1. Instale chaves de site de caixa de seleção em todas as páginas em que os usuários finais precisam inserir as informações do cartão de crédito. Para saber como instalar chaves de site com caixa de seleção, consulte Instalar chaves de site com caixa de seleção (teste de caixa de seleção) em sites.

2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

1. Instale chaves de site baseadas em pontuação em todas as páginas em que os usuários finais precisam inserir as informações do cartão de crédito. Especifique uma ação no parâmetro action, como card_entry. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem teste) em sites.

2. Instale o reCAPTCHA para o fluxo de trabalho de pagamento no seu site. Para saber como proteger seu fluxo de trabalho de pagamento, consulte Proteger fluxos de trabalho de pagamento.

3. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

4. Salve todos os IDs de avaliação e anote as avaliações que se transformam em compras ou estornos fraudulentos como fraudulent. Para saber como anotar avaliações, consulte Anotar uma avaliação.

Estratégia de mitigação de fraude

Depois de implementar o reCAPTCHA, use uma das seguintes estratégias de mitigação de fraudes para proteger seu site contra carding:

• Instale o reCAPTCHA para o fluxo de trabalho de pagamento no seu site. Para saber como proteger seu fluxo de trabalho de pagamento, consulte Proteger fluxos de trabalho de pagamento.

• Configure as APIs de gerenciamento de cartão para garantir que os tokens do reCAPTCHA sejam válidos e que as pontuações sejam maiores que o valor de limite.

  Se as pontuações não atingirem ou excederem o valor de limite especificado, não execute uma autorização de cartão nem permita que o usuário final use o cartão. Quando possível, permita que a transação prossiga no momento da compra, mas cancele-a depois para evitar alertar o invasor.

• Ao criar avaliações, verifique se elas atendem aos seguintes critérios para uma transação bem-sucedida:

  • Todos os tokens avaliados são válidos e têm uma pontuação maior que um valor de limite especificado.
  • O valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site com base na pontuação nas suas páginas da Web. Para saber como verificar ações, consulte verificar ações.

  Se uma transação não atender a esses critérios, não faça uma autorização de cartão nem permita que o usuário final use o cartão. Quando possível, permita que a transação prossiga no momento da compra, mas cancele-a depois para evitar alertar o invasor.

Card cracking

O card cracking é uma ameaça automatizada em que os invasores identificam valores ausentes para data de início, data de validade e códigos de segurança de dados de cartão de pagamento roubados testando valores diferentes.

Implementação mínima

1. Instale chaves de site de caixa de seleção em todas as páginas em que os usuários finais precisam inserir os detalhes de pagamento, incluindo as funções finalizar compra e adicionar forma de pagamento. Para saber como instalar chaves de site com caixa de seleção, consulte Instalar chaves de site com caixa de seleção (teste de caixa de seleção) em sites.

2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

1. Instale chaves de site com base em pontuação em todas as páginas em que os usuários finais precisam inserir os detalhes de pagamento. Especifique uma ação no parâmetro action, como checkout ou add_pmtmethod. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem teste) em sites.

2. Instale o reCAPTCHA para o fluxo de trabalho de pagamento no seu site. Para saber como proteger seu fluxo de trabalho de pagamento, consulte Proteger fluxos de trabalho de pagamento.

3. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

4. Salve todos os IDs de avaliação e anote as avaliações que se transformam em compras ou estornos fraudulentos como fraudulent. Para saber como anotar avaliações, consulte Anotar uma avaliação.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA, use uma das seguintes estratégias de mitigação de fraudes para proteger seu site contra o cracking de cartões:

• Instale o reCAPTCHA para o fluxo de trabalho de pagamento no seu site. Para saber como proteger seu fluxo de trabalho de pagamento, consulte Proteger fluxos de trabalho de pagamento.

• Implemente um modelo de resposta e crie avaliações:

  1. Crie e implemente um modelo de resposta ajustado para o risco com base em pontuação.

     O exemplo a seguir mostra um modelo de resposta de amostra:

     • Para um limite de pontuação baixo a intermediário (0,0 a 0,5), use o gerenciamento de risco com base no contexto, como limitar o número de tentativas e bloquear compras acima de um valor especificado.
     • Para o limite de pontuação mais alto (> 0,5), permita que o usuário final continue sem nenhum desafio.

  2. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site baseadas em pontuação nas suas páginas da Web. Se não corresponderem, não execute uma autorização de cartão nem permita que o usuário final use o cartão. Quando possível, permita que a transação prossiga no momento da compra, mas cancele-a depois para evitar alertar o invasor.

Quebra de credenciais

A invasão de credenciais é uma ameaça automatizada em que os invasores identificam credenciais de login válidas tentando valores diferentes para nomes de usuário e senhas.

Implementação mínima

1. Instale chaves de site de caixa de seleção em todas as páginas em que os usuários finais precisam inserir as credenciais, incluindo as funções login e esqueci minha senha. Para saber como instalar chaves de site com caixa de seleção, consulte Instalar chaves de site com caixa de seleção (teste de caixa de seleção) em sites.

2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

1. Instale chaves de site com base na pontuação em todas as páginas em que os usuários finais precisam inserir as credenciais. Especifique uma ação no parâmetro action, como login ou authenticate. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem teste) em sites.
2. Recomendado: implemente a defesa de senhas do reCAPTCHA em todas as tentativas de autenticação. Para saber como usar a defesa de senhas, consulte Detectar vazamentos de senha e credenciais violadas.
3. Opcional: para ativar o bloqueio de interações de alto volume e baixa pontuação do reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF, na sigla em inglês). Por exemplo, você pode usar a integração do reCAPTCHA para WAF e Google Cloud Armor.
4. Implemente o reCAPTCHA Account Defender para acompanhar o comportamento do usuário final em todos os logins e receber sinais adicionais que podem indicar uma ATO. Para saber como usar o defensor da conta do reCAPTCHA, consulte Detectar e evitar atividades fraudulentas relacionadas à conta.
5. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
6. Salve todos os IDs de avaliação e anote a avaliação que parece fraudulenta, como roubos de conta (ATOs) ou qualquer outra atividade fraudulenta. Para saber como anotar avaliações, consulte Anotar uma avaliação.

Estratégia de mitigação de fraude

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger seu site contra invasão de credenciais:

1. Crie e implemente um modelo de resposta ajustado para o risco com base em pontuação.

   O exemplo a seguir mostra um modelo de resposta de amostra:

   • Para um limite de pontuação baixo a intermediário (0,0 a 0,5), desafie o usuário final com a autenticação multifator por e-mail ou SMS.
   • Para o limite de pontuação mais alto (> 0,5), permita que o usuário final continue sem nenhum desafio.
2. Encerre ou interrompa as sessões dos usuários finais que se autenticarem, mas receberem uma resposta credentialsLeaked: true da defesa de senha do reCAPTCHA e envie um e-mail para os usuários finais para que eles mudem a senha.
3. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site baseadas em pontuação nas suas páginas da Web. Se eles não forem iguais, não permita a autenticação.

Preenchimento de credenciais

O credential stuffing é uma ameaça automatizada em que invasores usam tentativas de login em massa para verificar a validade de pares de nome de usuário/senha roubados.

Implementação mínima

1. Instale chaves de site de caixa de seleção em todas as páginas em que os usuários finais precisam inserir as credenciais, incluindo as funções login e esqueci minha senha. Para saber como instalar chaves de site com caixa de seleção, consulte Instalar chaves de site com caixa de seleção (teste de caixa de seleção) em sites.

2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

1. Instale chaves de site com base na pontuação em todas as páginas em que os usuários finais precisam inserir as credenciais. Especifique uma ação no parâmetro action, como login ou authenticate. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem teste) em sites.
2. Recomendado: implemente a defesa de senhas do reCAPTCHA em todas as tentativas de autenticação. Para saber como usar a defesa de senhas, consulte Detectar vazamentos de senha e credenciais violadas.
3. Implemente o reCAPTCHA Account Defender para acompanhar o comportamento do usuário final em todos os logins e receber sinais adicionais que podem indicar uma ATO. Para saber como usar o defensor da conta do reCAPTCHA, consulte Detectar e evitar atividades fraudulentas relacionadas à conta.

4. Opcional: para ativar o bloqueio de interações de alto volume e baixa pontuação do reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF, na sigla em inglês). Por exemplo, você pode usar a integração do reCAPTCHA para WAF e Google Cloud Armor.

5. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

6. Salve todos os IDs de avaliação e anote as avaliações que se transformam em compras ou estornos fraudulentos como fraudulent. Para saber como anotar avaliações, consulte Anotar uma avaliação.

Estratégia de mitigação de fraude

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger seu site contra o preenchimento de credenciais:

1. Crie e implemente um modelo de resposta ajustado para o risco com base em pontuação.

   O exemplo a seguir mostra um modelo de resposta de amostra:

   • Para o limite de pontuação mais baixo do reCAPTCHA (0,0), informe ao usuário final que a senha está incorreta.
   • Para o limite de pontuação intermediária (0,1 a 0,5), desafie o usuário final com a autenticação multifator por e-mail ou SMS.
   • Para o limite de pontuação mais alto (> 0,5), permita que o usuário final continue sem nenhum desafio.
2. Encerre ou interrompa as sessões dos usuários finais que se autenticarem, mas receberem uma resposta credentialsLeaked: true da defesa de senha do reCAPTCHA e envie um e-mail para os usuários finais para que eles mudem a senha.
3. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site baseadas em pontuação nas suas páginas da Web. Se eles não forem iguais, não permita a autenticação.
4. Na sua avaliação, se accountDefenderAssessment=PROFILE_MATCH, permita que o usuário final continue sem nenhum desafio.

Sacar

O saque é uma ameaça automatizada em que invasores obtêm moeda ou itens de alto valor usando cartões de pagamento roubados e validados anteriormente.

Implementação mínima

1. Instale chaves de site baseadas em pontuação em todas as páginas em que o pagamento é possível. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem teste) em sites.
2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

1. Instale chaves de site com base em pontuação em todas as páginas em que os usuários finais inserem as informações do vale-presente. Especifique uma ação como add_gift_card. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem teste) em sites.

2. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

3. Salve todos os IDs de avaliação e anote as transações fraudulentas.

Estratégia de mitigação de fraude

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger seu site contra saques:

• Instale o reCAPTCHA para o fluxo de trabalho de pagamento no seu site. Para saber como proteger seu fluxo de trabalho de pagamento, consulte Proteger fluxos de trabalho de pagamento.

• Implemente um modelo de resposta e crie avaliações:

  1. Crie e implemente um modelo de resposta ajustado para o risco com base em pontuação.

     O exemplo a seguir mostra um modelo de resposta de amostra:

     • Para um limite de pontuação baixo a intermediário (0,0 a 0,5), use o gerenciamento de risco com base no contexto, como limitar o número de tentativas e bloquear compras acima de um valor especificado.
     • Para o limite de pontuação mais alto (> 0,5), permita que o usuário final continue sem nenhum desafio.
  2. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site baseadas em pontuação nas suas páginas da Web. Se eles não forem iguais, não permita a autenticação. Quando possível, permita que a transação prossiga no momento da compra, mas cancele-a depois para evitar alertar o invasor.

Criação de conta

A criação de contas é uma ameaça automatizada em que os invasores criam várias contas para uso indevido posterior.

Implementação mínima

1. Instale chaves de site de caixa de seleção em todas as páginas em que os usuários finais precisam inserir as credenciais, incluindo as funções login e esqueci minha senha. Para saber como instalar chaves de site com caixa de seleção, consulte Instalar chaves de site com caixa de seleção (teste de caixa de seleção) em sites.

2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

1. Instale chaves de site baseadas em pontuação em todas as páginas em que as contas são criadas. Especifique uma ação no parâmetro action, como register. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem teste) em sites.
2. Recomendado: implemente a defesa de senhas do reCAPTCHA em todas as tentativas de autenticação. Para saber como usar a defesa de senhas, consulte Detectar vazamentos de senha e credenciais violadas.
3. Implemente o defensor da conta do reCAPTCHA para receber mais sinais que indicam criações de contas falsas. Para saber como usar o defensor da conta do reCAPTCHA, consulte Detectar e evitar atividades fraudulentas relacionadas à conta.

4. Opcional: para ativar o bloqueio de interações de alto volume e baixa pontuação do reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF, na sigla em inglês). Por exemplo, você pode usar a integração do reCAPTCHA para WAF e Google Cloud Armor.

5. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

6. Salve todos os IDs de avaliação e anote as transações fraudulentas.

Estratégia de mitigação de fraude

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger seu site contra a criação de contas:

1. Crie e implemente um modelo de resposta ajustado para o risco com base em pontuação.

   O exemplo a seguir mostra um modelo de resposta de amostra:

   • Para o limite mínimo de pontuação do reCAPTCHA (0,0), limite as ações da conta até que ela passe por mais verificações de fraude.
   • Para o limite de pontuação intermediária (0,1 a 0,5), desafie o usuário final com a autenticação multifator por e-mail ou SMS.
   • Para o limite de pontuação mais alto (> 0,5), permita que o usuário final continue sem nenhum desafio.
2. Encerrar ou interromper sessões de usuários finais que se autenticam com sucesso, mas recebem uma resposta credentialsLeaked: true da defesa de senha do reCAPTCHA e pedir que o usuário selecione uma nova senha.
3. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site baseadas em pontuação nas suas páginas da Web. Se eles não corresponderem, não permita o registro ou a criação da conta.
4. Na sua avaliação, se accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, restrinja o acesso da conta até que mais validações possam ser realizadas.

Mudanças fraudulentas de conta e endereço

Os invasores podem tentar mudar os detalhes da conta, incluindo endereços de e-mail, números de telefone ou endereços de correspondência, como parte de atividades fraudulentas ou invasões de conta.

Implementação mínima

1. Instale chaves de site de caixa de seleção em todas as páginas em que os usuários finais precisam inserir as credenciais, incluindo as funções login e esqueci minha senha. Para saber como instalar chaves de site com caixa de seleção, consulte Instalar chaves de site com caixa de seleção (teste de caixa de seleção) em sites.

2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

1. Instale chaves de site baseadas em pontuação em todas as páginas em que as contas são criadas. Especifique uma ação no parâmetro action, como change_telephone ou change_physicalmail. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem teste) em sites.

2. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

3. Implemente o reCAPTCHA Account Defender para acompanhar o comportamento do usuário final em todos os logins e receber sinais adicionais que podem indicar uma ATO. Para saber como usar o defensor da conta do reCAPTCHA, consulte Detectar e evitar atividades fraudulentas relacionadas à conta.

4. Salve todos os IDs de avaliação e anote as transações fraudulentas.

Estratégia de mitigação de fraudes

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger seu site contra mudanças fraudulentas de conta e endereço:

1. Crie e implemente um modelo de resposta ajustado para o risco com base em pontuação.

   O exemplo a seguir mostra um modelo de resposta de amostra:

   • Para um limite de pontuação baixo a intermediário (0,0 a 0,5), desafie o usuário final com a autenticação multifator por e-mail ou SMS.
   • Para o limite de pontuação mais alto (> 0,5), permita que o usuário final continue sem nenhum desafio.

2. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site baseadas em pontuação nas suas páginas da Web. Se eles não corresponderem, não permita mudanças na conta.

3. Na sua avaliação, se accountDefenderAssessment não tiver o rótulo PROFILE_MATCH, desafie o usuário final com a autenticação multifator por e-mail ou SMS.

Quebra de token

O cracking de tokens é uma ameaça automatizada em que os invasores fazem uma enumeração em massa de números de cupons, códigos de vouchers e tokens de desconto.

Implementação mínima

1. Instale chaves de site de caixa de seleção em todas as páginas em que os usuários finais precisam inserir as informações do vale-presente. Para saber como instalar chaves de site com caixa de seleção, consulte Instalar chaves de site com caixa de seleção (teste de caixa de seleção) em sites.

2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

1. Instale chaves de site baseadas em pontuação em todas as páginas em que os usuários finais precisam inserir as informações do vale-presente. Especifique uma ação como gift_card_entry. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem teste) em sites.

2. Opcional: para ativar o bloqueio de interações de alto volume e baixa pontuação do reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF, na sigla em inglês). Por exemplo, você pode usar a integração do reCAPTCHA para WAF e Google Cloud Armor.

3. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

4. Salve todos os IDs de avaliação e anote as avaliações que se transformam em cartões-presente ou cupons fraudulentos.

Estratégia de mitigação de fraude

Depois de implementar o reCAPTCHA, use uma das seguintes estratégias de mitigação de fraudes para proteger seu site contra a quebra de tokens:

• Configure as APIs de gerenciamento de cartão para garantir que os tokens do reCAPTCHA sejam válidos e que as pontuações sejam maiores que o valor de limite.

  Se as pontuações não atingirem ou excederem o limite especificado, não execute uma autorização de cartão-presente ou de crédito nem permita que o usuário final use o cupom ou o cartão-presente. Quando possível, permita que a transação prossiga no momento da compra, mas cancele-a depois para evitar alertar o invasor.

• Ao criar avaliações, verifique se elas atendem aos seguintes critérios para uma transação bem-sucedida:

  • Todos os tokens avaliados são válidos e têm uma pontuação maior que um valor de limite especificado.
  • O valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site com base na pontuação nas suas páginas da Web. Para saber como verificar ações, consulte verificar ações.

  Se uma transação não atender a esses critérios, não execute uma autorização de cartão-presente ou de crédito nem permita que o usuário final use o cupom ou o cartão-presente. Quando possível, permita que a transação prossiga no momento da compra, mas cancele-a depois para evitar alertar o invasor.

Scalping

O scalping é uma ameaça automatizada em que invasores obtêm produtos ou serviços preferenciais e de disponibilidade limitada por métodos desleais.

Implementação mínima

1. Instale chaves de site baseadas em pontuação em todas as páginas em que os usuários finais precisam inserir as informações do vale-presente. Especifique uma ação no parâmetro action, como add_to_cart. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem teste) em sites.
2. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

1. Instale chaves de site baseadas em pontuação em todas as páginas em que os usuários finais precisam inserir as informações do vale-presente. Especifique uma ação no parâmetro action, como add_to_cart. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem teste) em sites.

2. Opcional: para ativar o bloqueio de interações de alto volume e baixa pontuação do reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF, na sigla em inglês). Por exemplo, você pode usar a integração do reCAPTCHA para WAF e Google Cloud Armor.

3. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

4. Salve todos os IDs de avaliação e anote as transações fraudulentas.

Estratégia de mitigação de fraude

Depois de implementar o reCAPTCHA, use a seguinte estratégia de redução de fraudes para proteger seu site contra a venda ilegal de ingressos:

1. Crie e implemente um modelo de resposta ajustado para o risco com base em pontuação.

   O exemplo a seguir mostra um modelo de resposta de amostra:

   • Para um limite de pontuação baixo a intermediário (0,0 a 0,5), use o gerenciamento de risco com base no contexto, como limitar o número de tentativas e bloquear compras acima de um valor especificado.
   • Para o limite de pontuação mais alto (> 0,5), permita que o usuário final continue sem nenhum desafio.

2. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site baseadas em pontuação nas suas páginas da Web. Se eles não forem iguais, não execute a autorização do vale-presente.

Desvio

O viés é uma ameaça automatizada em que os invasores usam cliques repetidos em links, solicitações de página ou envios de formulários para alterar alguma métrica.

Implementação mínima

1. Instale chaves de site baseadas em pontuação em todas as páginas em que o viés de métricas é possível. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem teste) em sites.
2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

1. Instale chaves de site baseadas em pontuação em todas as páginas em que o viés de métricas é possível. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem teste) em sites.

2. Opcional: para ativar o bloqueio de interações de alto volume e baixa pontuação do reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF, na sigla em inglês). Por exemplo, você pode usar a integração do reCAPTCHA para WAF e Google Cloud Armor.

3. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

4. Salve todos os IDs de avaliação e anote as transações fraudulentas.

Estratégia de mitigação de fraude

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger seu site contra distorções:

Crie e implemente um modelo de resposta ajustado para o risco com base em pontuação.

O exemplo a seguir mostra um modelo de resposta de amostra:

• Para um limite de pontuação baixo a intermediário (0,0 a 0,5), use o gerenciamento de risco com base no contexto, como rastrear o número de vezes que um usuário clicou em um anúncio ou recarregou a página. Use esses dados para determinar se a métrica deve ser contada.
• Para o limite de pontuação mais alto (> 0,5), permita que o usuário final continue sem nenhum desafio.

Raspagem de dados

A raspagem é uma ameaça automatizada em que invasores coletam dados ou artefatos de sites de forma automatizada.

Implementação mínima

1. Instale chaves de site com base na pontuação em todas as páginas com informações importantes e nas principais páginas de interação comuns do usuário final. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem teste) em sites.
2. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

1. Instale chaves de site com base na pontuação em todas as páginas com informações importantes e nas principais páginas de interação comuns do usuário final. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem teste) em sites.

2. Opcional: para ativar o bloqueio de interações de alto volume e baixa pontuação do reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF, na sigla em inglês). Por exemplo, você pode usar a integração do reCAPTCHA para WAF e Google Cloud Armor.

3. Crie avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

4. Salve todos os IDs de avaliação e anote as transações fraudulentas.

Estratégia de mitigação de fraude

Depois de implementar o reCAPTCHA, use as seguintes estratégias de mitigação de fraudes para proteger seu site contra raspagem:

• Ative o bloqueio de interações de alto volume e baixa pontuação do reCAPTCHA integrando o reCAPTCHA a um firewall de aplicativos da Web (WAF). Por exemplo, você pode usar a integração do reCAPTCHA para WAF e Google Cloud Armor.
• Se a raspagem envolver APIs, use as APIs de gerenciamento da Apigee para mais medidas de mitigação.

Resolução de CAPTCHA

A derrota do CAPTCHA é uma ameaça automatizada em que invasores usam a automação para tentar analisar e determinar a resposta a testes de CAPTCHA visuais e/ou auditivos e quebra-cabeças relacionados.

Implementação mínima

1. Instale chaves de site baseadas em pontuação em todas as páginas que envolvem entrada do usuário final, criação de conta, informações de pagamento ou interações do usuário final com potencial de fraude. Especifique uma ação descritiva no parâmetro action. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem teste) em sites.

2. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

1. Instale chaves de site baseadas em pontuação em todas as páginas que envolvem entrada do usuário final, criação de conta, informações de pagamento ou interações do usuário final com potencial de fraude. Especifique uma ação descritiva no parâmetro action. Para saber como instalar chaves de site baseadas em pontuação, consulte Instalar chaves de site baseadas em pontuação (sem teste) em sites.

2. Opcional: para ativar o bloqueio de interações de alto volume e baixa pontuação do reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF, na sigla em inglês). Por exemplo, você pode usar a integração do reCAPTCHA para WAF e Google Cloud Armor.

3. Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves de site baseadas em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

4. Salve todos os IDs de avaliação e anote as avaliações que se transformam em compras ou estornos fraudulentos como fraudulent. Para saber como anotar avaliações, consulte Anotar uma avaliação.

Estratégia de mitigação de fraude

Depois de implementar o reCAPTCHA, use uma das seguintes estratégias de mitigação de fraudes para proteger seu site contra a derrota do CAPTCHA:

• Implemente um modelo de resposta e crie avaliações:

  1. Crie e implemente um modelo de resposta ajustado para o risco com base em pontuação.

     O exemplo a seguir mostra um modelo de resposta de amostra:

     • Para um limite de pontuação baixo a intermediário (0,0 a 0,5), desafie o usuário final com a autenticação multifator por e-mail ou SMS.
     • Para o limite de pontuação mais alto (> 0,5), permita que o usuário final continue sem nenhum desafio.
  2. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves de site baseadas em pontuação nas suas páginas da Web. Se eles não forem iguais, não permita a autenticação.

• Se os usuários finais usarem navegadores da Web com o JavaScript desativado, faça o seguinte:

  1. Bloqueie esses usuários finais.
  2. Notifique os usuários finais de que seu site requer JavaScript para continuar.

• Verifique se a promessa grecaptcha.enterprise.ready foi cumprida para evitar que os navegadores dos usuários finais bloqueiem o carregamento do script do Google. Isso indica que o reCAPTCHA foi totalmente carregado e não encontrou um erro.

• Para APIs somente da Web, recomendamos transmitir o token ou o resultado da avaliação do reCAPTCHA para a API de back-end e permitir a ação da API somente se o token do reCAPTCHA for válido e atender a um valor de limite de pontuação. Isso garante que o usuário final não esteja usando a API sem acessar o site.

A seguir

• Instale chaves de site baseadas em pontuação.
• Instale chaves de site com caixa de seleção.
• Criar avaliações.
• Anotar as avaliações.
• Implemente a proteção por senha.
• Implementar o Defensor da conta.