Best practice per la protezione dalle minacce automatizzate

Questo documento descrive le implementazioni consigliate di reCAPTCHA e le strategie di mitigazione delle frodi per difendersi dalle minacce automatizzate critiche (OWASP Automated Threats (OAT) to Web Applications). Gli architetti aziendali e gli stakeholder tecnologici possono esaminare queste informazioni per prendere una decisione informata sull'implementazione di reCAPTCHA e sulla strategia di mitigazione delle frodi per il loro caso d'uso.

Questo documento contiene le seguenti informazioni per ogni tipo di minaccia:

• Implementazione ottimale di reCAPTCHA. Questa implementazione è progettata con le funzionalità pertinenti di reCAPTCHA per la migliore protezione dalle frodi.

• Implementazione minima di reCAPTCHA. Questa implementazione è progettata per una protezione antifrode minima.

• Strategie di mitigazione delle frodi consigliate.

Scegli l'implementazione e la strategia di mitigazione delle frodi più adatte al tuo caso d'uso. I seguenti fattori potrebbero influenzare l'implementazione e la strategia di mitigazione delle frodi che scegli:

• Esigenze e capacità antifrode dell'organizzazione.
• L'ambiente esistente dell'organizzazione.

Per ulteriori informazioni sulle strategie di mitigazione delle frodi per il tuo caso d'uso, contatta il nostro team di vendita.

Carding

Il carding è una minaccia automatizzata in cui i malintenzionati effettuano più tentativi di autorizzazione di pagamento per verificare la validità dei dati delle carte di pagamento rubate in blocco.

Implementazione minima

1. Installa le chiavi del sito con casella di controllo su tutte le pagine in cui gli utenti finali devono inserire i dati della carta di credito. Per scoprire come installare le chiavi di sito della casella di controllo, consulta l'articolo Installare chiavi di sito della casella di controllo (verifica della casella di controllo) sui siti web.

2. Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

1. Installa le chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire i dati della carta di credito. Specifica un'azione nel parametro action, ad esempio card_entry. Per scoprire come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.

2. Installa reCAPTCHA per il flusso di pagamento sul tuo sito web. Per scoprire come proteggere il tuo flusso di lavoro di pagamento, consulta Proteggere i flussi di lavoro di pagamento.

3. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action che hai specificato durante l'installazione delle chiavi del sito basate sul punteggio. Per scoprire come creare valutazioni, consulta Creare una valutazione.

4. Salva tutti gli ID test e annota i test che si trasformano in acquisti fraudolenti o storni come fraudulent. Per scoprire come annotare le valutazioni, consulta Annotare una valutazione.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza una delle seguenti strategie di mitigazione delle frodi per proteggere il tuo sito web dal carding:

• Installa reCAPTCHA per il flusso di pagamento sul tuo sito web. Per scoprire come proteggere il tuo flusso di lavoro di pagamento, consulta Proteggere i flussi di lavoro di pagamento.

• Configura le API di gestione delle carte per assicurarti che i token reCAPTCHA siano validi e che i punteggi siano superiori al valore di soglia.

  Se i punteggi non raggiungono o superano il valore di soglia specificato, non eseguire un'autorizzazione della carta né consentire all'utente finale di utilizzare la carta. Se possibile, consenti l'elaborazione della transazione al momento dell'acquisto, ma annullala in un secondo momento per evitare di allertare l'autore dell'attacco.

• Quando crei le valutazioni, assicurati che soddisfino i seguenti criteri per una transazione riuscita:

  • Tutti i token valutati sono validi e hanno un punteggio superiore a un valore di soglia specificato.
  • Il valore di expectedAction corrisponde al valore di action che hai specificato durante l'installazione delle chiavi del sito basate sul punteggio nelle tue pagine web. Per scoprire come verificare le azioni, consulta Verificare le azioni.

  Se una transazione non soddisfa questi criteri, non eseguire un'autorizzazione della carta o non consentire all'utente finale di utilizzare la carta. Se possibile, consenti l'elaborazione della transazione al momento dell'acquisto, ma annullala in un secondo momento per evitare di allertare l'autore dell'attacco.

Card cracking

Il cracking delle carte è una minaccia automatizzata in cui gli autori degli attacchi identificano i valori mancanti per la data di inizio, la data di scadenza e i codici di sicurezza dei dati delle carte di pagamento rubate provando valori diversi.

Implementazione minima

1. Installa le chiavi del sito della casella di controllo su tutte le pagine in cui gli utenti finali devono inserire i propri dati di pagamento, incluse le funzioni Pagamento e Aggiungi metodo di pagamento. Per scoprire come installare le chiavi di sito della casella di controllo, consulta l'articolo Installare chiavi di sito della casella di controllo (verifica della casella di controllo) sui siti web.

2. Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire i propri dettagli di pagamento. Specifica un'azione nel parametro action, ad esempio checkout o add_pmtmethod. Per scoprire come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.

2. Installa reCAPTCHA per il flusso di pagamento sul tuo sito web. Per scoprire come proteggere il tuo flusso di lavoro di pagamento, consulta Proteggere i flussi di lavoro di pagamento.

3. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action che hai specificato durante l'installazione delle chiavi del sito basate sul punteggio. Per scoprire come creare valutazioni, consulta Creare una valutazione.

4. Salva tutti gli ID test e annota i test che si trasformano in acquisti fraudolenti o storni come fraudulent. Per scoprire come annotare le valutazioni, consulta Annotare una valutazione.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza una delle seguenti strategie di mitigazione delle frodi per proteggere il tuo sito web dal card cracking:

• Installa reCAPTCHA per il flusso di pagamento sul tuo sito web. Per scoprire come proteggere il tuo flusso di lavoro di pagamento, consulta Proteggere i flussi di lavoro di pagamento.

• Implementa un modello di risposta e crea valutazioni:

  1. Crea e implementa un modello di risposta aggiustato per il rischio basato sul punteggio.

     L'esempio seguente mostra un modello di risposta di esempio:

     • Per la soglia di punteggio da basso a intermedio (0,0-0,5), utilizza la gestione del rischio basata sul contesto, ad esempio limitando il numero di tentativi e bloccando gli acquisti superiori a un valore specificato.
     • Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcun test.

  2. Quando crei valutazioni, assicurati che il valore di expectedAction corrisponda al valore di action che hai specificato durante l'installazione delle chiavi del sito basate sul punteggio nelle tue pagine web. Se non corrispondono, non eseguire un'autorizzazione della carta o non consentire all'utente finale di utilizzare la carta. Se possibile, consenti l'elaborazione della transazione al momento dell'acquisto, ma annullala in un secondo momento per evitare di allertare l'autore dell'attacco.

Cracking delle credenziali

Il cracking delle credenziali è una minaccia automatizzata in cui gli autori degli attacchi identificano credenziali di accesso valide provando valori diversi per nomi utente e password.

Implementazione minima

1. Installa le chiavi del sito con casella di controllo in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali, incluse le funzioni di accesso e recupero password. Per scoprire come installare le chiavi di sito della casella di controllo, consulta l'articolo Installare chiavi di sito della casella di controllo (verifica della casella di controllo) sui siti web.

2. Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

1. Installa le chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali. Specifica un'azione nel parametro action, ad esempio login o authenticate. Per scoprire come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.
2. Consigliato: implementa la protezione reCAPTCHA per tutti i tentativi di autenticazione. Per scoprire come utilizzare la protezione delle password, consulta Rileva la divulgazione di password e le violazioni delle credenziali.
3. (Facoltativo) Per attivare il blocco delle interazioni con punteggio reCAPTCHA basso e volume elevato, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA per WAF e Google Cloud Armor.
4. Implementa reCAPTCHA Account Defender per monitorare il comportamento degli utenti finali durante gli accessi e ricevere ulteriori indicatori che possono segnalare un ATO. Per scoprire come utilizzare reCAPTCHA Account Defender, consulta Rilevare e prevenire attività fraudolente correlate all'account.
5. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action che hai specificato durante l'installazione delle chiavi del sito basate sul punteggio. Per scoprire come creare valutazioni, consulta Creare una valutazione.
6. Salva tutti gli ID valutazione e annota la valutazione che appare fraudolenta, ad esempio compromissioni dell'account (ATO) o qualsiasi altra attività fraudolenta. Per scoprire come annotare le valutazioni, consulta Annotare una valutazione.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web dal credential cracking:

1. Crea e implementa un modello di risposta aggiustato per il rischio basato sul punteggio.

   L'esempio seguente mostra un modello di risposta di esempio:

   • Per la soglia di punteggio da basso a intermedio (0,0-0,5), verifica l'utente finale con l'autenticazione a più fattori tramite email o SMS.
   • Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcun test.
2. Termina o interrompi le sessioni per gli utenti finali che hanno eseguito l'autenticazione, ma ricevono una risposta credentialsLeaked: true da reCAPTCHA Password Defense e invia un'email agli utenti finali per cambiare la password.
3. Quando crei valutazioni, assicurati che il valore di expectedAction corrisponda al valore di action che hai specificato durante l'installazione delle chiavi del sito basate sul punteggio nelle tue pagine web. Se non corrispondono, non consentire l'autenticazione.

Credential stuffing

Il credential stuffing è una minaccia automatizzata in cui gli autori degli attacchi utilizzano tentativi di accesso di massa per verificare la validità delle coppie nome utente/password rubate.

Implementazione minima

1. Installa le chiavi del sito con casella di controllo in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali, incluse le funzioni di accesso e recupero password. Per scoprire come installare le chiavi di sito della casella di controllo, consulta l'articolo Installare chiavi di sito della casella di controllo (verifica della casella di controllo) sui siti web.

2. Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

1. Installa le chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali. Specifica un'azione nel parametro action, ad esempio login o authenticate. Per scoprire come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.
2. Consigliato: implementa la protezione delle password reCAPTCHA per tutti i tentativi di autenticazione. Per scoprire come utilizzare la protezione delle password, consulta Rileva la divulgazione di password e le violazioni delle credenziali.
3. Implementa reCAPTCHA Account Defender per monitorare il comportamento degli utenti finali durante gli accessi e ricevere ulteriori indicatori che possono segnalare un ATO. Per scoprire come utilizzare reCAPTCHA Account Defender, consulta Rilevare e prevenire attività fraudolente correlate all'account.

4. (Facoltativo) Per attivare il blocco delle interazioni con punteggio reCAPTCHA basso e volume elevato, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA per WAF e Google Cloud Armor.

5. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action che hai specificato durante l'installazione delle chiavi del sito basate sul punteggio. Per scoprire come creare valutazioni, consulta Creare una valutazione.

6. Salva tutti gli ID test e annota i test che si trasformano in acquisti fraudolenti o storni come fraudulent. Per scoprire come annotare le valutazioni, consulta Annotare una valutazione.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web dal credential stuffing:

1. Crea e implementa un modello di risposta aggiustato per il rischio basato sul punteggio.

   L'esempio seguente mostra un modello di risposta di esempio:

   • Per la soglia di punteggio reCAPTCHA più bassa (0,0), informa l'utente finale che la password non è corretta.
   • Per la soglia del punteggio intermedio (0,1-0,5), verifica l'utente finale con l'autenticazione a più fattori tramite email o SMS.
   • Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcun test.
2. Termina o interrompi le sessioni per gli utenti finali che hanno eseguito l'autenticazione, ma ricevono una risposta credentialsLeaked: true da reCAPTCHA Password Defense e invia un'email agli utenti finali per cambiare la password.
3. Quando crei valutazioni, assicurati che il valore di expectedAction corrisponda al valore di action che hai specificato durante l'installazione delle chiavi del sito basate sul punteggio nelle tue pagine web. Se non corrispondono, non consentire l'autenticazione.
4. Nella valutazione, se accountDefenderAssessment=PROFILE_MATCH, consenti all'utente finale di procedere senza alcuna verifica.

Incasso

Il prelievo di contanti è una minaccia automatizzata in cui gli autori degli attacchi ottengono valuta o articoli di alto valore utilizzando carte di pagamento rubate e convalidati in precedenza.

Implementazione minima

1. Installa chiavi di sito basate sul punteggio su tutte le pagine in cui è possibile effettuare il pagamento. Per scoprire come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.
2. Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali inseriscono i dati della carta regalo. Specifica un'azione come add_gift_card. Per scoprire come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.

2. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action che hai specificato durante l'installazione delle chiavi del sito basate sul punteggio. Per scoprire come creare valutazioni, consulta Creare una valutazione.

3. Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web dal prelievo di contanti:

• Installa reCAPTCHA per il flusso di pagamento sul tuo sito web. Per scoprire come proteggere il tuo flusso di lavoro di pagamento, consulta Proteggere i flussi di lavoro di pagamento.

• Implementa un modello di risposta e crea valutazioni:

  1. Crea e implementa un modello di risposta aggiustato per il rischio basato sul punteggio.

     L'esempio seguente mostra un modello di risposta di esempio:

     • Per la soglia di punteggio da basso a intermedio (0,0-0,5), utilizza la gestione del rischio basata sul contesto, ad esempio limitando il numero di tentativi e bloccando gli acquisti superiori a un valore specificato.
     • Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcun test.
  2. Quando crei valutazioni, assicurati che il valore di expectedAction corrisponda al valore di action che hai specificato durante l'installazione delle chiavi del sito basate sul punteggio nelle tue pagine web. Se non corrispondono, non consentire l'autenticazione. Se possibile, consenti l'elaborazione della transazione al momento dell'acquisto, ma annullala in un secondo momento per evitare di allertare l'autore dell'attacco.

Creazione account

La creazione di account è una minaccia automatizzata in cui gli autori degli attacchi creano più account per un successivo uso improprio.

Implementazione minima

1. Installa le chiavi del sito con casella di controllo in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali, incluse le funzioni di accesso e recupero password. Per scoprire come installare le chiavi di sito della casella di controllo, consulta l'articolo Installare chiavi di sito della casella di controllo (verifica della casella di controllo) sui siti web.

2. Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi di sito basate sul punteggio in tutte le pagine in cui vengono creati gli account. Specifica un'azione nel parametro action, ad esempio register. Per scoprire come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.
2. Consigliato: implementa la protezione reCAPTCHA per tutti i tentativi di autenticazione. Per scoprire come utilizzare la protezione delle password, consulta Rileva la divulgazione di password e le violazioni delle credenziali.
3. Implementa reCAPTCHA Account Defender per ricevere ulteriori indicatori che segnalano la creazione di account falsi. Per scoprire come utilizzare reCAPTCHA Account Defender, consulta Rilevare e prevenire attività fraudolente correlate all'account.

4. (Facoltativo) Per attivare il blocco delle interazioni con punteggio reCAPTCHA basso e volume elevato, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA per WAF e Google Cloud Armor.

5. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action che hai specificato durante l'installazione delle chiavi del sito basate sul punteggio. Per scoprire come creare valutazioni, consulta Creare una valutazione.

6. Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web dalla creazione di account:

1. Crea e implementa un modello di risposta aggiustato per il rischio basato sul punteggio.

   L'esempio seguente mostra un modello di risposta di esempio:

   • Per la soglia di punteggio reCAPTCHA più bassa (0,0), limita le azioni dell'account finché non vengono eseguiti ulteriori controlli antifrode.
   • Per la soglia del punteggio intermedio (0,1-0,5), verifica l'utente finale con l'autenticazione a più fattori tramite email o SMS.
   • Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcun test.
2. Termina o interrompi le sessioni per gli utenti finali che eseguono l'autenticazione, ma ricevono una risposta credentialsLeaked: true da reCAPTCHA Password Defense e chiedi all'utente di selezionare una nuova password.
3. Quando crei valutazioni, assicurati che il valore di expectedAction corrisponda al valore di action che hai specificato durante l'installazione delle chiavi del sito basate sul punteggio nelle tue pagine web. Se non corrispondono, non consentire la registrazione dell'account o la creazione dell'account.
4. Nella tua valutazione, se accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, limita l'accesso all'account finché non è possibile eseguire un'ulteriore convalida.

Modifiche fraudolente di account e indirizzi

Gli autori di attacchi potrebbero tentare di modificare i dettagli dell'account, inclusi indirizzi email, numeri di telefono o indirizzi postali nell'ambito di attività fraudolente o compromissioni dell'account.

Implementazione minima

1. Installa le chiavi del sito con casella di controllo in tutte le pagine in cui gli utenti finali devono inserire le proprie credenziali, incluse le funzioni di accesso e recupero password. Per scoprire come installare le chiavi di sito della casella di controllo, consulta l'articolo Installare chiavi di sito della casella di controllo (verifica della casella di controllo) sui siti web.

2. Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi di sito basate sul punteggio in tutte le pagine in cui vengono creati gli account. Specifica un'azione nel parametro action, ad esempio change_telephone o change_physicalmail. Per scoprire come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.

2. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action che hai specificato durante l'installazione delle chiavi del sito basate sul punteggio. Per scoprire come creare valutazioni, consulta Creare una valutazione.

3. Implementa reCAPTCHA Account Defender per monitorare il comportamento degli utenti finali durante gli accessi e ricevere ulteriori indicatori che possono segnalare un ATO. Per scoprire come utilizzare reCAPTCHA Account Defender, consulta Rilevare e prevenire attività fraudolente correlate all'account.

4. Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web da modifiche fraudolente di account e indirizzi:

1. Crea e implementa un modello di risposta aggiustato per il rischio basato sul punteggio.

   L'esempio seguente mostra un modello di risposta di esempio:

   • Per la soglia di punteggio da basso a intermedio (0,0-0,5), verifica l'utente finale con l'autenticazione a più fattori tramite email o SMS.
   • Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcun test.

2. Quando crei valutazioni, assicurati che il valore di expectedAction corrisponda al valore di action che hai specificato durante l'installazione delle chiavi del sito basate sul punteggio nelle tue pagine web. Se non corrispondono, non consentire le modifiche all'account.

3. Nella valutazione, se accountDefenderAssessment non ha l'etichetta PROFILE_MATCH, verifica l'identità dell'utente finale con l'autenticazione a più fattori tramite email o SMS.

Cracking dei token

Il cracking dei token è una minaccia automatizzata in cui gli autori degli attacchi eseguono l'enumerazione di massa di numeri di coupon, codici voucher e token di sconto.

Implementazione minima

1. Installa le chiavi di sito con casella di controllo in tutte le pagine in cui gli utenti finali devono inserire i dati della carta regalo. Per scoprire come installare le chiavi di sito della casella di controllo, consulta l'articolo Installare chiavi di sito della casella di controllo (verifica della casella di controllo) sui siti web.

2. Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire i dati della carta regalo. Specifica un'azione come gift_card_entry. Per scoprire come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.

2. (Facoltativo) Per attivare il blocco delle interazioni con punteggio reCAPTCHA basso e volume elevato, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA per WAF e Google Cloud Armor.

3. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action che hai specificato durante l'installazione delle chiavi del sito basate sul punteggio. Per scoprire come creare valutazioni, consulta Creare una valutazione.

4. Salva tutti gli ID valutazione e annota le valutazioni che si trasformano in buoni regalo o coupon fraudolenti.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza una delle seguenti strategie di mitigazione delle frodi per proteggere il tuo sito web dal cracking dei token:

• Configura le API di gestione delle carte per assicurarti che i token reCAPTCHA siano validi e che i punteggi siano superiori al valore di soglia.

  Se i punteggi non raggiungono o superano la soglia specificata, non eseguire un'autorizzazione della carta regalo o della carta di credito oppure non consentire all'utente finale di utilizzare il coupon o la carta regalo. Se possibile, consenti l'elaborazione della transazione al momento dell'acquisto, ma annullala in un secondo momento per evitare di allertare l'autore dell'attacco.

• Quando crei le valutazioni, assicurati che soddisfino i seguenti criteri per una transazione riuscita:

  • Tutti i token valutati sono validi e hanno un punteggio superiore a un valore di soglia specificato.
  • Il valore di expectedAction corrisponde al valore di action che hai specificato durante l'installazione delle chiavi del sito basate sul punteggio nelle tue pagine web. Per scoprire come verificare le azioni, consulta Verificare le azioni.

  Se una transazione non soddisfa questi criteri, non eseguire un'autorizzazione della carta regalo o della carta di credito e non consentire all'utente finale di utilizzare il coupon o la carta regalo. Se possibile, consenti l'elaborazione della transazione al momento dell'acquisto, ma annullala in un secondo momento per evitare di allertare l'autore dell'attacco.

Scalping

Lo scalping è una minaccia automatizzata in cui gli autori degli attacchi ottengono beni o servizi con disponibilità limitata e preferiti con metodi sleali.

Implementazione minima

1. Installa le chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire i dati della carta regalo. Specifica un'azione nel parametro action, ad esempio add_to_cart. Per scoprire come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.
2. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action che hai specificato durante l'installazione delle chiavi del sito basate sul punteggio. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

1. Installa le chiavi di sito basate sul punteggio in tutte le pagine in cui gli utenti finali devono inserire i dati della carta regalo. Specifica un'azione nel parametro action, ad esempio add_to_cart. Per scoprire come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.

2. (Facoltativo) Per attivare il blocco delle interazioni con punteggio reCAPTCHA basso e volume elevato, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA per WAF e Google Cloud Armor.

3. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action che hai specificato durante l'installazione delle chiavi del sito basate sul punteggio. Per scoprire come creare valutazioni, consulta Creare una valutazione.

4. Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web dal bagarinaggio:

1. Crea e implementa un modello di risposta aggiustato per il rischio basato sul punteggio.

   L'esempio seguente mostra un modello di risposta di esempio:

   • Per la soglia di punteggio da basso a intermedio (0,0-0,5), utilizza la gestione del rischio basata sul contesto, ad esempio limitando il numero di tentativi e bloccando gli acquisti superiori a un valore specificato.
   • Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcun test.

2. Quando crei valutazioni, assicurati che il valore di expectedAction corrisponda al valore di action che hai specificato durante l'installazione delle chiavi del sito basate sul punteggio nelle tue pagine web. Se non corrispondono, non eseguire l'autorizzazione della carta regalo.

Distorsione

Lo skewing è una minaccia automatizzata in cui gli autori degli attacchi utilizzano clic ripetuti sui link, richieste di pagine o invii di moduli per alterare una metrica.

Implementazione minima

1. Installa chiavi di sito basate sul punteggio su tutte le pagine in cui è possibile la distorsione delle metriche. Per scoprire come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.
2. Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi di sito basate sul punteggio su tutte le pagine in cui è possibile la distorsione delle metriche. Per scoprire come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.

2. (Facoltativo) Per attivare il blocco delle interazioni con punteggio reCAPTCHA basso e volume elevato, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA per WAF e Google Cloud Armor.

3. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action che hai specificato durante l'installazione delle chiavi del sito basate sul punteggio. Per scoprire come creare valutazioni, consulta Creare una valutazione.

4. Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza la seguente strategia di mitigazione delle frodi per proteggere il tuo sito web dalla distorsione:

Crea e implementa un modello di risposta aggiustato per il rischio basato sul punteggio.

L'esempio seguente mostra un modello di risposta di esempio:

• Per la soglia di punteggio da basso a intermedio (0,0-0,5), utilizza la gestione del rischio basata sul contesto, ad esempio il monitoraggio del numero di volte in cui un utente ha fatto clic su un annuncio o del numero di volte in cui un utente ha ricaricato la pagina. Utilizza questi dati per determinare se conteggiare la metrica.
• Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcun test.

Scraping

Lo scraping è una minaccia automatizzata in cui gli autori degli attacchi raccolgono dati o artefatti del sito web in modo automatico.

Implementazione minima

1. Installa le chiavi del sito basate sul punteggio su tutte le pagine in cui sono presenti informazioni importanti e sulle pagine di interazione comuni chiave per gli utenti finali. Per scoprire come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.
2. Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

1. Installa le chiavi del sito basate sul punteggio su tutte le pagine in cui sono presenti informazioni importanti e sulle pagine di interazione comuni chiave per gli utenti finali. Per scoprire come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.

2. (Facoltativo) Per attivare il blocco delle interazioni con punteggio reCAPTCHA basso e volume elevato, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA per WAF e Google Cloud Armor.

3. Crea valutazioni per tutti i token. Per scoprire come creare valutazioni, consulta Creare una valutazione.

4. Salva tutti gli ID valutazione e annota le transazioni fraudolente.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza le seguenti strategie di mitigazione delle frodi per proteggere il tuo sito web dallo scraping:

• Abilita il blocco delle interazioni con punteggio reCAPTCHA elevato e basso integrando reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA per WAF e Google Cloud Armor.
• Se lo scraping coinvolge le API, utilizza le API Apigee Management per un'ulteriore mitigazione.

Superamento del CAPTCHA

La sconfitta del CAPTCHA è una minaccia automatizzata in cui gli autori degli attacchi utilizzano l'automazione nel tentativo di analizzare e determinare la risposta ai test CAPTCHA visivi e/o uditivi e ai relativi puzzle.

Implementazione minima

1. Installa chiavi del sito basate sul punteggio in tutte le pagine che prevedono l'inserimento di dati da parte dell'utente finale, la creazione di account, i dati di pagamento o le interazioni dell'utente finale con il potenziale di frode. Specifica un'azione descrittiva nel parametro action. Per scoprire come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.

2. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action che hai specificato durante l'installazione delle chiavi del sito basate sul punteggio. Per scoprire come creare valutazioni, consulta Creare una valutazione.

Implementazione ottimale

1. Installa chiavi del sito basate sul punteggio in tutte le pagine che prevedono l'inserimento di dati da parte dell'utente finale, la creazione di account, i dati di pagamento o le interazioni dell'utente finale con il potenziale di frode. Specifica un'azione descrittiva nel parametro action. Per scoprire come installare chiavi di sito basate sul punteggio, consulta Installare chiavi di sito basate sul punteggio (senza verifica) sui siti web.

2. (Facoltativo) Per attivare il blocco delle interazioni con punteggio reCAPTCHA basso e volume elevato, integra reCAPTCHA con un web application firewall (WAF). Ad esempio, puoi utilizzare l'integrazione di reCAPTCHA per WAF e Google Cloud Armor.

3. Crea valutazioni per tutti i token e imposta expectedAction in modo che corrisponda al valore di action che hai specificato durante l'installazione delle chiavi del sito basate sul punteggio. Per scoprire come creare valutazioni, consulta Creare una valutazione.

4. Salva tutti gli ID test e annota i test che si trasformano in acquisti fraudolenti o storni come fraudulent. Per scoprire come annotare le valutazioni, consulta Annotare una valutazione.

Strategia di mitigazione delle frodi

Dopo aver implementato reCAPTCHA, utilizza una delle seguenti strategie di mitigazione delle frodi per proteggere il tuo sito web dalla sconfitta di CAPTCHA:

• Implementa un modello di risposta e crea valutazioni:

  1. Crea e implementa un modello di risposta aggiustato per il rischio basato sul punteggio.

     L'esempio seguente mostra un modello di risposta di esempio:

     • Per la soglia di punteggio da basso a intermedio (0,0-0,5), verifica l'utente finale con l'autenticazione a più fattori tramite email o SMS.
     • Per la soglia di punteggio più alta (> 0,5), consenti all'utente finale di procedere senza alcun test.
  2. Quando crei valutazioni, assicurati che il valore di expectedAction corrisponda al valore di action che hai specificato durante l'installazione delle chiavi del sito basate sul punteggio nelle tue pagine web. Se non corrispondono, non consentire l'autenticazione.

• Se gli utenti finali utilizzano browser web in cui JavaScript è disattivato:

  1. Blocca questi utenti finali.
  2. Comunica agli utenti finali che il tuo sito web richiede JavaScript per procedere.

• Assicurati che la promessa grecaptcha.enterprise.ready venga rispettata per impedire il caricamento dei browser degli utenti finali che bloccano lo script di Google. Ciò indica che reCAPTCHA è stato caricato completamente e non si è verificato alcun errore.

• Per le API solo web, ti consigliamo di passare il token reCAPTCHA o il risultato del test reCAPTCHA all'API di backend e di consentire l'azione API solo se il token reCAPTCHA è valido e soddisfa un valore di soglia del punteggio. In questo modo, l'utente finale non utilizza l'API senza passare dal sito web.

Passaggi successivi

• Installare chiavi di sito basate sul punteggio.
• Installare le chiavi del sito con casella di controllo.
• Creare valutazioni.
• Annotare le valutazioni.
• Implementa Password Defense.
• Implementa Account Defender.