Best Practices zum Schutz vor automatisierten Bedrohungen

In diesem Dokument werden die empfohlenen Implementierungen von reCAPTCHA und Strategien zur Betrugsbekämpfung beschrieben, um sich vor den kritischen automatisierten Bedrohungen (OWASP Automated Threats (OAT) to Web Applications) zu schützen. Enterprise Architects und Technologie-Stakeholder können diese Informationen prüfen, um eine fundierte Entscheidung über die reCAPTCHA-Implementierung und die Strategie zur Betrugsbekämpfung für ihren Anwendungsfall zu treffen.

Dieses Dokument enthält für jede Art von Bedrohung die folgenden Informationen:

  • Optimale Implementierung von reCAPTCHA Diese Implementierung ist mit den relevanten Funktionen von reCAPTCHA für den bestmöglichen Betrugsschutz konzipiert.

  • Minimale Implementierung von reCAPTCHA. Diese Implementierung ist für ein Mindestmaß an Betrugsschutz konzipiert.

  • Empfohlene Strategien zur Betrugsbekämpfung

Wählen Sie die Implementierungs- und Betrugsbekämpfungsstrategie aus, die am besten zu Ihrem Anwendungsfall passt. Die folgenden Faktoren können die Implementierungs- und Betrugsbekämpfungsstrategie beeinflussen, die Sie auswählen:

  • Anforderungen und Funktionen der Organisation in Bezug auf Betrugsbekämpfung.
  • Die vorhandene Umgebung der Organisation.

Weitere Informationen zu den Strategien zur Betrugsbekämpfung für Ihren Anwendungsfall erhalten Sie von unserem Vertriebsteam.

Kardieren

Carding ist eine automatisierte Bedrohung, bei der Angreifer mehrere Zahlungsautorisierungsversuche unternehmen, um die Gültigkeit von massenhaft gestohlenen Zahlungskartendaten zu überprüfen.

Mindestimplementierung

  1. Installieren Sie Checkbox-Website-Schlüssel auf allen Seiten, auf denen Endnutzer ihre Kreditkartendaten eingeben müssen. Informationen zum Installieren von Kästchen-Websiteschlüsseln finden Sie unter Kästchen-Websiteschlüssel (Kästchen-Abfrage) auf Websites installieren.

  2. Bewertungen für alle Tokens erstellen Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Kreditkarteninformationen eingeben müssen. Geben Sie im Parameter action eine Aktion wie card_entry an. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Auf Punktzahlen basierende Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Installieren Sie reCAPTCHA für den Zahlungsablauf auf Ihrer Website. Informationen zum Schutz Ihres Zahlungsworkflows finden Sie unter Zahlungsworkflows schützen.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass es dem Wert von action entspricht, den Sie bei der Installation der punktebasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

  4. Speichern Sie alle Prüfungs-IDs und kennzeichnen Sie die Prüfungen, die zu betrügerischen Käufen oder Rückbuchungen führen, mit fraudulent. Weitere Informationen zum Annotieren von Bewertungen

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA implementiert haben, können Sie Ihre Website mit einer der folgenden Strategien zur Betrugsabwehr vor Carding schützen:

  • Installieren Sie reCAPTCHA für den Zahlungsablauf auf Ihrer Website. Informationen zum Schutz Ihres Zahlungsworkflows finden Sie unter Zahlungsworkflows schützen.

  • Konfigurieren Sie die APIs zur Kartenverwaltung so, dass die reCAPTCHA-Tokens gültig sind und die Punktzahlen über dem Schwellenwert liegen.

    Wenn die Werte den angegebenen Grenzwert nicht erreichen oder überschreiten, führen Sie keine Kartenautorisierung durch und erlauben Sie dem Endnutzer nicht, die Karte zu verwenden. Lassen Sie die Transaktion nach Möglichkeit zum Zeitpunkt des Kaufs zu, stornieren Sie sie aber später, um den Angreifer nicht zu warnen.

  • Achten Sie beim Erstellen von Prüfungen darauf, dass diese die folgenden Kriterien für eine erfolgreiche Transaktion erfüllen:

    • Alle bewerteten Tokens sind gültig und haben einen Wert, der über einem bestimmten Schwellenwert liegt.
    • Der Wert von expectedAction entspricht dem Wert von action, den Sie bei der Installation der auf Punktzahlen basierenden Websiteschlüssel auf Ihren Webseiten angegeben haben. Informationen zum Bestätigen von Aktionen finden Sie hier.

    Wenn eine Transaktion diese Kriterien nicht erfüllt, führen Sie keine Kartenautorisierung durch und erlauben Sie dem Endnutzer nicht, die Karte zu verwenden. Lassen Sie die Transaktion nach Möglichkeit zum Zeitpunkt des Kaufs zu, stornieren Sie sie aber später, um den Angreifer nicht zu warnen.

Card Cracking

Beim Card Cracking handelt es sich um eine automatisierte Bedrohung, bei der Angreifer fehlende Werte für Startdatum, Ablaufdatum und Sicherheitscodes für gestohlene Zahlungskartendaten ermitteln, indem sie verschiedene Werte ausprobieren.

Mindestimplementierung

  1. Installieren Sie Checkbox-Website-Schlüssel auf allen Seiten, auf denen Endnutzer ihre Zahlungsdetails eingeben müssen, einschließlich der Funktionen Bezahlvorgang und Zahlungsmethode hinzufügen. Informationen zum Installieren von Kästchen-Websiteschlüsseln finden Sie unter Kästchen-Websiteschlüssel (Kästchen-Abfrage) auf Websites installieren.

  2. Bewertungen für alle Tokens erstellen Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Zahlungsdetails eingeben müssen. Geben Sie im Parameter action eine Aktion an, z. B. checkout oder add_pmtmethod. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Auf Punktzahlen basierende Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Installieren Sie reCAPTCHA für den Zahlungsablauf auf Ihrer Website. Informationen zum Schutz Ihres Zahlungsworkflows finden Sie unter Zahlungsworkflows schützen.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass es dem Wert von action entspricht, den Sie bei der Installation der punktebasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

  4. Speichern Sie alle Prüfungs-IDs und kennzeichnen Sie die Prüfungen, die zu betrügerischen Käufen oder Rückbuchungen führen, mit fraudulent. Weitere Informationen zum Annotieren von Bewertungen

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA implementiert haben, können Sie Ihre Website mit einer der folgenden Strategien zur Betrugsbekämpfung vor Card Cracking schützen:

  • Installieren Sie reCAPTCHA für den Zahlungsablauf auf Ihrer Website. Informationen zum Schutz Ihres Zahlungsworkflows finden Sie unter Zahlungsworkflows schützen.

  • Implementieren Sie ein Reaktionsmodell und erstellen Sie Bewertungen:

    1. Erstellen und implementieren Sie ein Antwortmodell, das an das scorebasierte Risiko angepasst ist.

      Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

      • Bei einem niedrigen bis mittleren Grenzwert für die Punktzahl (0,0–0, 5) sollten Sie ein kontextbasiertes Risikomanagement verwenden, z.B.die Anzahl der Versuche begrenzen und Käufe über einem bestimmten Wert blockieren.
      • Beim höchsten Score-Schwellenwert (> 0,5) kann der Endnutzer ohne zusätzliche Sicherheitsabfrage fortfahren.

    2. Achten Sie beim Erstellen von Tests darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den Sie bei der Installation der punktebasierten Websiteschlüssel auf Ihren Webseiten angegeben haben. Wenn sie nicht übereinstimmen, führen Sie keine Kartenautorisierung durch und erlauben Sie dem Endnutzer nicht, die Karte zu verwenden. Lassen Sie die Transaktion nach Möglichkeit zum Zeitpunkt des Kaufs zu, stornieren Sie sie aber später, um den Angreifer nicht zu warnen.

Knacken von Anmeldedaten

Beim Credential Cracking handelt es sich um eine automatisierte Bedrohung, bei der Angreifer gültige Anmeldedaten ermitteln, indem sie verschiedene Werte für Nutzernamen und Passwörter ausprobieren.

Mindestimplementierung

  1. Installieren Sie Checkbox-Website-Schlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen, einschließlich der Funktionen Anmelden und Passwort vergessen. Informationen zum Installieren von Kästchen-Websiteschlüsseln finden Sie unter Kästchen-Websiteschlüssel (Kästchen-Abfrage) auf Websites installieren.

  2. Bewertungen für alle Tokens erstellen Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen. Geben Sie im Parameter action eine Aktion an, z. B. login oder authenticate. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Auf Punktzahlen basierende Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Empfohlen: Implementieren Sie reCAPTCHA Password Defense für alle Authentifizierungsversuche. Informationen zur Verwendung von Password Defense finden Sie unter Datenlecks und gehackte Anmeldedaten erkennen.
  3. Optional: Wenn Sie Interaktionen mit hohem Volumen und niedrigem reCAPTCHA-Wert blockieren möchten, binden Sie reCAPTCHA in eine Web Application Firewall (WAF) ein. Sie können beispielsweise reCAPTCHA für die Integration in WAF und Google Cloud Armor verwenden.
  4. Implementieren Sie reCAPTCHA Account Defender, um das Verhalten von Endnutzern bei Anmeldungen zu analysieren und zusätzliche Signale zu erhalten, die auf eine Kontoübernahme hinweisen können. Informationen zur Verwendung von reCAPTCHA Account Defender finden Sie unter Betrügerische Aktivitäten im Zusammenhang mit Konten erkennen und verhindern.
  5. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass es dem Wert von action entspricht, den Sie bei der Installation der punktebasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.
  6. Speichere alle Prüf-IDs und kennzeichne die Prüfung, die betrügerisch erscheint, z. B. Kontoübernahmen oder andere betrügerische Aktivitäten. Weitere Informationen zum Annotieren von Bewertungen

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA implementiert haben, können Sie Ihre Website mit der folgenden Strategie zur Betrugsbekämpfung vor Credential Cracking schützen:

  1. Erstellen und implementieren Sie ein Antwortmodell, das an das scorebasierte Risiko angepasst ist.

    Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

    • Bei einem niedrigen bis mittleren Score-Grenzwert (0,0–0,5) wird der Endnutzer per E‑Mail oder SMS zur Multi-Faktor-Authentifizierung aufgefordert.
    • Beim höchsten Score-Schwellenwert (> 0,5) kann der Endnutzer ohne zusätzliche Sicherheitsabfrage fortfahren.
  2. Beenden oder unterbrechen Sie Sitzungen für Endnutzer, die sich erfolgreich authentifizieren, aber eine credentialsLeaked: true-Antwort von reCAPTCHA Password Defense erhalten, und senden Sie eine E-Mail an die Endnutzer, in der sie aufgefordert werden, ihr Passwort zu ändern.
  3. Achten Sie beim Erstellen von Tests darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den Sie bei der Installation der punktebasierten Websiteschlüssel auf Ihren Webseiten angegeben haben. Wenn sie nicht übereinstimmen, darf die Authentifizierung nicht zugelassen werden.

Credential Stuffing

Credential Stuffing ist eine automatisierte Bedrohung, bei der Angreifer versuchen, sich mit gestohlenen Nutzername/Passwort-Paaren anzumelden, um deren Gültigkeit zu überprüfen.

Mindestimplementierung

  1. Installieren Sie Checkbox-Website-Schlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen, einschließlich der Funktionen Anmelden und Passwort vergessen. Informationen zum Installieren von Kästchen-Websiteschlüsseln finden Sie unter Kästchen-Websiteschlüssel (Kästchen-Abfrage) auf Websites installieren.

  2. Bewertungen für alle Tokens erstellen Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen. Geben Sie im Parameter action eine Aktion an, z. B. login oder authenticate. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Auf Punktzahlen basierende Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Empfohlen: Implementieren Sie reCAPTCHA Password Defense für alle Authentifizierungsversuche. Informationen zur Verwendung von Password Defense finden Sie unter Datenlecks und gehackte Anmeldedaten erkennen.
  3. Implementieren Sie reCAPTCHA Account Defender, um das Verhalten von Endnutzern bei Anmeldungen zu analysieren und zusätzliche Signale zu erhalten, die auf eine Kontoübernahme hinweisen können. Informationen zur Verwendung von reCAPTCHA Account Defender finden Sie unter Betrügerische Aktivitäten im Zusammenhang mit Konten erkennen und verhindern.

  4. Optional: Wenn Sie Interaktionen mit hohem Volumen und niedrigem reCAPTCHA-Wert blockieren möchten, binden Sie reCAPTCHA in eine Web Application Firewall (WAF) ein. Sie können beispielsweise reCAPTCHA für die Integration in WAF und Google Cloud Armor verwenden.

  5. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass es dem Wert von action entspricht, den Sie bei der Installation der punktebasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

  6. Speichern Sie alle Prüfungs-IDs und kennzeichnen Sie die Prüfungen, die zu betrügerischen Käufen oder Rückbuchungen führen, mit fraudulent. Weitere Informationen zum Annotieren von Bewertungen

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA implementiert haben, können Sie Ihre Website mit der folgenden Strategie zur Betrugsabwehr vor Credential Stuffing schützen:

  1. Erstellen und implementieren Sie ein Antwortmodell, das an das scorebasierte Risiko angepasst ist.

    Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

    • Informieren Sie den Endnutzer bei der niedrigsten reCAPTCHA-Punktzahl (0,0) darüber, dass sein Passwort falsch ist.
    • Bei einem mittleren Grenzwert für die Punktzahl (0,1–0,5) wird der Endnutzer per E‑Mail oder SMS zur Multi-Faktor-Authentifizierung aufgefordert.
    • Beim höchsten Score-Schwellenwert (> 0,5) kann der Endnutzer ohne zusätzliche Sicherheitsabfrage fortfahren.
  2. Beenden oder unterbrechen Sie Sitzungen für Endnutzer, die sich erfolgreich authentifizieren, aber eine credentialsLeaked: true-Antwort von reCAPTCHA Password Defense erhalten, und senden Sie eine E-Mail an die Endnutzer, in der sie aufgefordert werden, ihr Passwort zu ändern.
  3. Achten Sie beim Erstellen von Tests darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den Sie bei der Installation der punktebasierten Websiteschlüssel auf Ihren Webseiten angegeben haben. Wenn sie nicht übereinstimmen, darf die Authentifizierung nicht zugelassen werden.
  4. Wenn accountDefenderAssessment=PROFILE_MATCH ist, lassen Sie den Endnutzer ohne Identitätsbestätigung fortfahren.

Auszahlung

Beim Cashing-out handelt es sich um eine automatisierte Bedrohung, bei der Angreifer durch die Verwendung gestohlener, zuvor bestätigter Zahlungskarten Währung oder hochwertige Artikel erhalten.

Mindestimplementierung

  1. Installieren Sie auf Punktzahlen basierende Websiteschlüssel auf allen Seiten, auf denen ein Checkout möglich ist. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Auf Punktzahlen basierende Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Bewertungen für alle Tokens erstellen Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkarteninformationen eingeben. Geben Sie eine Aktion wie add_gift_card an. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Auf Punktzahlen basierende Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass es dem Wert von action entspricht, den Sie bei der Installation der punktebasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

  3. Speichern Sie alle Bewertungs-IDs und kennzeichnen Sie die betrügerischen Transaktionen.

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA implementiert haben, können Sie Ihre Website mit der folgenden Strategie zur Betrugsbekämpfung vor dem Abheben von Guthaben schützen:

  • Installieren Sie reCAPTCHA für den Zahlungsablauf auf Ihrer Website. Informationen zum Schutz Ihres Zahlungsworkflows finden Sie unter Zahlungsworkflows schützen.

  • Implementieren Sie ein Reaktionsmodell und erstellen Sie Bewertungen:

    1. Erstellen und implementieren Sie ein Antwortmodell, das an das scorebasierte Risiko angepasst ist.

      Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

      • Bei einem niedrigen bis mittleren Grenzwert für die Punktzahl (0,0–0, 5) sollten Sie ein kontextbasiertes Risikomanagement verwenden, z.B.die Anzahl der Versuche begrenzen und Käufe über einem bestimmten Wert blockieren.
      • Beim höchsten Score-Schwellenwert (> 0,5) kann der Endnutzer ohne zusätzliche Sicherheitsabfrage fortfahren.
    2. Achten Sie beim Erstellen von Tests darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den Sie bei der Installation der punktebasierten Websiteschlüssel auf Ihren Webseiten angegeben haben. Wenn sie nicht übereinstimmen, darf die Authentifizierung nicht zugelassen werden. Lassen Sie die Transaktion nach Möglichkeit zum Zeitpunkt des Kaufs zu, stornieren Sie sie aber später, um den Angreifer nicht zu warnen.

Kontoerstellung

Die Kontoerstellung ist eine automatisierte Bedrohung, bei der Angreifer mehrere Konten erstellen, um sie später zu missbrauchen.

Mindestimplementierung

  1. Installieren Sie Checkbox-Website-Schlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen, einschließlich der Funktionen Anmelden und Passwort vergessen. Informationen zum Installieren von Kästchen-Websiteschlüsseln finden Sie unter Kästchen-Websiteschlüssel (Kästchen-Abfrage) auf Websites installieren.

  2. Bewertungen für alle Tokens erstellen Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

Optimale Implementierung

  1. Installieren Sie auf Punktzahlen basierende Websiteschlüssel auf allen Seiten, auf denen Konten erstellt werden. Geben Sie im Parameter action eine Aktion wie register an. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Auf Punktzahlen basierende Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Empfohlen: Implementieren Sie reCAPTCHA Password Defense für alle Authentifizierungsversuche. Informationen zur Verwendung von Password Defense finden Sie unter Datenlecks und gehackte Anmeldedaten erkennen.
  3. Implementieren Sie reCAPTCHA Account Defender, um zusätzliche Signale zu erhalten, die auf die Erstellung gefälschter Konten hinweisen. Informationen zur Verwendung von reCAPTCHA Account Defender finden Sie unter Betrügerische Aktivitäten im Zusammenhang mit Konten erkennen und verhindern.

  4. Optional: Wenn Sie Interaktionen mit hohem Volumen und niedrigem reCAPTCHA-Wert blockieren möchten, binden Sie reCAPTCHA in eine Web Application Firewall (WAF) ein. Sie können beispielsweise reCAPTCHA für die Integration in WAF und Google Cloud Armor verwenden.

  5. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass es dem Wert von action entspricht, den Sie bei der Installation der punktebasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

  6. Speichern Sie alle Bewertungs-IDs und kennzeichnen Sie die betrügerischen Transaktionen.

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA implementiert haben, können Sie Ihre Website mit der folgenden Strategie zur Betrugsbekämpfung vor Kontoerstellung schützen:

  1. Erstellen und implementieren Sie ein Antwortmodell, das an das scorebasierte Risiko angepasst ist.

    Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

    • Bei der niedrigsten reCAPTCHA-Punktzahl (0,0) sollten Sie die Aktionen des Kontos einschränken, bis weitere Betrugsprüfungen durchgeführt wurden.
    • Bei einem mittleren Grenzwert für die Punktzahl (0,1–0,5) wird der Endnutzer per E‑Mail oder SMS zur Multi-Faktor-Authentifizierung aufgefordert.
    • Beim höchsten Score-Schwellenwert (> 0,5) kann der Endnutzer ohne zusätzliche Sicherheitsabfrage fortfahren.
  2. Beenden oder unterbrechen Sie Sitzungen für Endnutzer, die sich erfolgreich authentifizieren, aber eine credentialsLeaked: true-Antwort von reCAPTCHA Password Defense erhalten, und fordern Sie den Nutzer auf, ein neues Passwort auszuwählen.
  3. Achten Sie beim Erstellen von Tests darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den Sie bei der Installation der punktebasierten Websiteschlüssel auf Ihren Webseiten angegeben haben. Wenn sie nicht übereinstimmen, dürfen Sie die Kontoregistrierung oder Kontoerstellung nicht zulassen.
  4. Wenn in Ihrer Bewertung accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION gilt, schränken Sie den Zugriff auf das Konto ein, bis eine weitere Validierung durchgeführt werden kann.

Betrügerische Konto- und Adressänderungen

Angreifer versuchen möglicherweise, Kontodetails wie E‑Mail-Adressen, Telefonnummern oder Postanschriften im Rahmen betrügerischer Aktivitäten oder Kontoübernahmen zu ändern.

Mindestimplementierung

  1. Installieren Sie Checkbox-Website-Schlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen, einschließlich der Funktionen Anmelden und Passwort vergessen. Informationen zum Installieren von Kästchen-Websiteschlüsseln finden Sie unter Kästchen-Websiteschlüssel (Kästchen-Abfrage) auf Websites installieren.

  2. Bewertungen für alle Tokens erstellen Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

Optimale Implementierung

  1. Installieren Sie auf Punktzahlen basierende Websiteschlüssel auf allen Seiten, auf denen Konten erstellt werden. Geben Sie im Parameter action eine Aktion an, z. B. change_telephone oder change_physicalmail. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Auf Punktzahlen basierende Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass es dem Wert von action entspricht, den Sie bei der Installation der punktebasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

  3. Implementieren Sie reCAPTCHA Account Defender, um das Verhalten von Endnutzern bei Anmeldungen zu analysieren und zusätzliche Signale zu erhalten, die auf eine Kontoübernahme hinweisen können. Informationen zur Verwendung von reCAPTCHA Account Defender finden Sie unter Betrügerische Aktivitäten im Zusammenhang mit Konten erkennen und verhindern.

  4. Speichern Sie alle Bewertungs-IDs und kennzeichnen Sie die betrügerischen Transaktionen.

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA implementiert haben, können Sie Ihre Website mit der folgenden Strategie zur Betrugsbekämpfung vor betrügerischen Konto- und Adressänderungen schützen:

  1. Erstellen und implementieren Sie ein Antwortmodell, das an das scorebasierte Risiko angepasst ist.

    Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

    • Bei einem niedrigen bis mittleren Score-Grenzwert (0,0–0,5) wird der Endnutzer per E‑Mail oder SMS zur Multi-Faktor-Authentifizierung aufgefordert.
    • Beim höchsten Score-Schwellenwert (> 0,5) kann der Endnutzer ohne zusätzliche Sicherheitsabfrage fortfahren.

  2. Achten Sie beim Erstellen von Tests darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den Sie bei der Installation der punktebasierten Websiteschlüssel auf Ihren Webseiten angegeben haben. Wenn sie nicht übereinstimmen, dürfen keine Kontoänderungen vorgenommen werden.

  3. Wenn accountDefenderAssessment in Ihrer Bewertung nicht das Label PROFILE_MATCH hat, fordern Sie den Endnutzer zur Multi-Faktor-Authentifizierung per E-Mail oder SMS auf.

Knacken von Tokens

Beim Token-Cracking handelt es sich um eine automatisierte Bedrohung, bei der Angreifer eine große Anzahl von Gutscheinnummern, Gutscheincodes und Rabatt-Tokens durchgehen.

Mindestimplementierung

  1. Installieren Sie Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkarteninformationen eingeben müssen. Informationen zum Installieren von Kästchen-Websiteschlüsseln finden Sie unter Kästchen-Websiteschlüssel (Kästchen-Abfrage) auf Websites installieren.

  2. Bewertungen für alle Tokens erstellen Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkarteninformationen eingeben müssen. Geben Sie eine Aktion wie gift_card_entry an. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Auf Punktzahlen basierende Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Optional: Wenn Sie Interaktionen mit hohem Volumen und niedrigem reCAPTCHA-Wert blockieren möchten, binden Sie reCAPTCHA in eine Web Application Firewall (WAF) ein. Sie können beispielsweise reCAPTCHA für die Integration in WAF und Google Cloud Armor verwenden.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass es dem Wert von action entspricht, den Sie bei der Installation der punktebasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

  4. Speichern Sie alle Prüfungs-IDs und kennzeichnen Sie die Prüfungen, die zu betrügerischen Geschenkkarten oder Gutscheinen führen.

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA implementiert haben, können Sie Ihre Website mit einer der folgenden Strategien zur Betrugsabwehr vor dem Knacken von Tokens schützen:

  • Konfigurieren Sie die APIs zur Kartenverwaltung so, dass die reCAPTCHA-Tokens gültig sind und die Punktzahlen über dem Schwellenwert liegen.

    Wenn die Werte den angegebenen Grenzwert nicht erreichen oder überschreiten, führen Sie keine Autorisierung für Geschenkkarten oder Kreditkarten durch und erlauben Sie dem Endnutzer nicht, den Gutschein oder die Geschenkkarte zu verwenden. Lassen Sie die Transaktion nach Möglichkeit zum Zeitpunkt des Kaufs zu, stornieren Sie sie aber später, um den Angreifer nicht zu warnen.

  • Achten Sie beim Erstellen von Prüfungen darauf, dass diese die folgenden Kriterien für eine erfolgreiche Transaktion erfüllen:

    • Alle bewerteten Tokens sind gültig und haben einen Wert, der über einem bestimmten Schwellenwert liegt.
    • Der Wert von expectedAction entspricht dem Wert von action, den Sie bei der Installation der auf Punktzahlen basierenden Websiteschlüssel auf Ihren Webseiten angegeben haben. Informationen zum Bestätigen von Aktionen finden Sie hier.

    Wenn eine Transaktion diese Kriterien nicht erfüllt, führen Sie keine Autorisierung für Geschenkkarten oder Kreditkarten durch und erlauben Sie dem Endnutzer nicht, den Gutschein oder die Geschenkkarte zu verwenden. Lassen Sie die Transaktion nach Möglichkeit zum Zeitpunkt des Kaufs zu, stornieren Sie sie aber später, um den Angreifer nicht zu warnen.

Scalping

Scalping ist eine automatisierte Bedrohung, bei der Angreifer auf unfaire Weise Waren oder Dienstleistungen mit begrenzter Verfügbarkeit oder bevorzugte Waren oder Dienstleistungen erwerben.

Mindestimplementierung

  1. Installieren Sie punktebasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkarteninformationen eingeben müssen. Geben Sie im Parameter action eine Aktion wie add_to_cart an. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Auf Punktzahlen basierende Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass es dem Wert von action entspricht, den Sie bei der Installation der punktebasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

Optimale Implementierung

  1. Installieren Sie punktebasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkarteninformationen eingeben müssen. Geben Sie im Parameter action eine Aktion wie add_to_cart an. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Auf Punktzahlen basierende Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Optional: Wenn Sie Interaktionen mit hohem Volumen und niedrigem reCAPTCHA-Wert blockieren möchten, binden Sie reCAPTCHA in eine Web Application Firewall (WAF) ein. Sie können beispielsweise reCAPTCHA für die Integration in WAF und Google Cloud Armor verwenden.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass es dem Wert von action entspricht, den Sie bei der Installation der punktebasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

  4. Speichern Sie alle Bewertungs-IDs und kennzeichnen Sie die betrügerischen Transaktionen.

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA implementiert haben, können Sie Ihre Website mit der folgenden Strategie zur Betrugsbekämpfung vor Scalping schützen:

  1. Erstellen und implementieren Sie ein Antwortmodell, das an das scorebasierte Risiko angepasst ist.

    Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

    • Bei einem niedrigen bis mittleren Grenzwert für die Punktzahl (0,0–0, 5) sollten Sie ein kontextbasiertes Risikomanagement verwenden, z.B.die Anzahl der Versuche begrenzen und Käufe über einem bestimmten Wert blockieren.
    • Beim höchsten Score-Schwellenwert (> 0,5) kann der Endnutzer ohne zusätzliche Sicherheitsabfrage fortfahren.

  2. Achten Sie beim Erstellen von Tests darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den Sie bei der Installation der punktebasierten Websiteschlüssel auf Ihren Webseiten angegeben haben. Wenn sie nicht übereinstimmen, führen Sie die Autorisierung der Geschenkkarte nicht aus.

Verzerrung

Bei der Manipulation handelt es sich um eine automatisierte Bedrohung, bei der Angreifer durch wiederholte Linkklicks, Seitenanfragen oder Formulareinsendungen bestimmte Messwerte ändern.

Mindestimplementierung

  1. Installieren Sie auf Punktzahlen basierende Websiteschlüssel auf allen Seiten, auf denen Messwerte verfälscht werden können. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Auf Punktzahlen basierende Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Bewertungen für alle Tokens erstellen Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

Optimale Implementierung

  1. Installieren Sie auf Punktzahlen basierende Websiteschlüssel auf allen Seiten, auf denen Messwerte verfälscht werden können. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Auf Punktzahlen basierende Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Optional: Wenn Sie Interaktionen mit hohem Volumen und niedrigem reCAPTCHA-Wert blockieren möchten, binden Sie reCAPTCHA in eine Web Application Firewall (WAF) ein. Sie können beispielsweise reCAPTCHA für die Integration in WAF und Google Cloud Armor verwenden.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass es dem Wert von action entspricht, den Sie bei der Installation der punktebasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

  4. Speichern Sie alle Bewertungs-IDs und kennzeichnen Sie die betrügerischen Transaktionen.

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA implementiert haben, können Sie Ihre Website mit der folgenden Strategie zur Betrugsbekämpfung vor Verfälschungen schützen:

Erstellen und implementieren Sie ein Antwortmodell, das an das scorebasierte Risiko angepasst ist.

Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

  • Verwenden Sie für niedrige bis mittlere Grenzwerte (0,0–0, 5) kontextbasiertes Risikomanagement, z.B.die Anzahl der Klicks eines Nutzers auf eine Anzeige oder die Anzahl der Seitenneuladungen. Anhand dieser Daten können Sie entscheiden, ob der Messwert berücksichtigt werden soll.
  • Beim höchsten Score-Schwellenwert (> 0,5) kann der Endnutzer ohne zusätzliche Sicherheitsabfrage fortfahren.

Scraping

Scraping ist eine automatisierte Bedrohung, bei der Angreifer auf automatisierte Weise Websitedaten oder Artefakte sammeln.

Mindestimplementierung

  1. Installieren Sie auf Punktzahlen basierende Websiteschlüssel auf allen Seiten mit wichtigen Informationen und auf wichtigen Seiten für die Interaktion mit Endnutzern. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Auf Punktzahlen basierende Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Bewertungen für alle Tokens erstellen Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

Optimale Implementierung

  1. Installieren Sie auf Punktzahlen basierende Websiteschlüssel auf allen Seiten mit wichtigen Informationen und auf wichtigen Seiten für die Interaktion mit Endnutzern. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Auf Punktzahlen basierende Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Optional: Wenn Sie Interaktionen mit hohem Volumen und niedrigem reCAPTCHA-Wert blockieren möchten, binden Sie reCAPTCHA in eine Web Application Firewall (WAF) ein. Sie können beispielsweise reCAPTCHA für die Integration in WAF und Google Cloud Armor verwenden.

  3. Bewertungen für alle Tokens erstellen Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

  4. Speichern Sie alle Bewertungs-IDs und kennzeichnen Sie die betrügerischen Transaktionen.

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA implementiert haben, können Sie Ihre Website mit den folgenden Strategien zur Betrugsbekämpfung vor Scraping schützen:

  • Sie können das Blockieren von Interaktionen mit hohem Volumen und niedrigem reCAPTCHA-Score aktivieren, indem Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise die reCAPTCHA-Integration für WAF und Google Cloud Armor verwenden.
  • Wenn für das Scraping APIs verwendet werden, können Sie die Apigee Management APIs für zusätzliche Maßnahmen zur Risikominderung nutzen.

CAPTCHA-Überlistung

Bei der CAPTCHA-Umgehung handelt es sich um eine automatisierte Bedrohung, bei der Angreifer versuchen, mithilfe von Automatisierung die Antwort auf visuelle und/oder akustische CAPTCHA-Tests und zugehörige Rätsel zu analysieren und zu ermitteln.

Mindestimplementierung

  1. Installieren Sie scorebasierte Website-Schlüssel auf allen Seiten, auf denen Endnutzer Eingaben machen, Konten erstellen, Zahlungsinformationen angeben oder mit denen Endnutzer interagieren und die potenziell betrügerisch sind. Geben Sie im Parameter action eine aussagekräftige Aktion an. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Auf Punktzahlen basierende Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass es dem Wert von action entspricht, den Sie bei der Installation der punktebasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

Optimale Implementierung

  1. Installieren Sie scorebasierte Website-Schlüssel auf allen Seiten, auf denen Endnutzer Eingaben machen, Konten erstellen, Zahlungsinformationen angeben oder mit denen Endnutzer interagieren und die potenziell betrügerisch sind. Geben Sie im Parameter action eine aussagekräftige Aktion an. Informationen zum Installieren von punktzahlbasierten Websiteschlüsseln finden Sie unter Auf Punktzahlen basierende Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Optional: Wenn Sie Interaktionen mit hohem Volumen und niedrigem reCAPTCHA-Wert blockieren möchten, binden Sie reCAPTCHA in eine Web Application Firewall (WAF) ein. Sie können beispielsweise reCAPTCHA für die Integration in WAF und Google Cloud Armor verwenden.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass es dem Wert von action entspricht, den Sie bei der Installation der punktebasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen finden Sie unter Bewertung erstellen.

  4. Speichern Sie alle Prüfungs-IDs und kennzeichnen Sie die Prüfungen, die zu betrügerischen Käufen oder Rückbuchungen führen, mit fraudulent. Weitere Informationen zum Annotieren von Bewertungen

Strategie zur Betrugsbekämpfung

Nachdem Sie reCAPTCHA implementiert haben, können Sie Ihre Website mit einer der folgenden Strategien zur Betrugsbekämpfung vor CAPTCHA-Umgehung schützen:

  • Implementieren Sie ein Reaktionsmodell und erstellen Sie Bewertungen:

    1. Erstellen und implementieren Sie ein Antwortmodell, das an das scorebasierte Risiko angepasst ist.

      Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

      • Bei einem niedrigen bis mittleren Score-Grenzwert (0,0–0,5) wird der Endnutzer per E‑Mail oder SMS zur Multi-Faktor-Authentifizierung aufgefordert.
      • Beim höchsten Score-Schwellenwert (> 0,5) kann der Endnutzer ohne zusätzliche Sicherheitsabfrage fortfahren.
    2. Achten Sie beim Erstellen von Tests darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den Sie bei der Installation der punktebasierten Websiteschlüssel auf Ihren Webseiten angegeben haben. Wenn sie nicht übereinstimmen, darf die Authentifizierung nicht zugelassen werden.

  • Wenn Endnutzer Webbrowser verwenden, in denen JavaScript deaktiviert ist, gehen Sie so vor:

    1. Blockieren Sie diese Endnutzer.
    2. Informieren Sie die Endnutzer, dass für die Nutzung Ihrer Website JavaScript erforderlich ist.

  • Achten Sie darauf, dass das grecaptcha.enterprise.ready-Versprechen eingehalten wird, damit die Browser der Endnutzer das Laden des Google-Scripts nicht blockieren. Dies bedeutet, dass reCAPTCHA vollständig geladen wurde und kein Fehler aufgetreten ist.

  • Bei reinen Web-APIs empfehlen wir, das reCAPTCHA-Token oder das reCAPTCHA-Bewertungsergebnis an die Backend-API zu übergeben und die API-Aktion nur zuzulassen, wenn das reCAPTCHA-Token gültig ist und einen Wertschwellenwert erreicht. So wird sichergestellt, dass der Endnutzer die API nicht ohne die Website verwendet.

Nächste Schritte