Praktik terbaik perlindungan dari ancaman otomatis

Dokumen ini menjelaskan penerapan reCAPTCHA dan strategi mitigasi penipuan yang direkomendasikan untuk melindungi diri dari ancaman otomatis yang kritis (OWASP Automated Threats (OAT) to Web Applications). Arsitek perusahaan dan pemangku kepentingan teknologi dapat meninjau informasi ini untuk membuat keputusan yang tepat tentang penerapan reCAPTCHA dan strategi mitigasi penipuan untuk kasus penggunaan mereka.

Dokumen ini berisi informasi berikut untuk setiap jenis ancaman:

• Implementasi reCAPTCHA yang optimal. Penerapan ini dirancang dengan fitur reCAPTCHA yang relevan untuk perlindungan penipuan terbaik.

• Implementasi minimal reCAPTCHA. Implementasi ini dirancang untuk perlindungan penipuan yang paling mendasar.

• Strategi mitigasi penipuan yang direkomendasikan.

Pilih strategi penerapan dan mitigasi penipuan yang paling sesuai dengan kasus penggunaan Anda. Faktor berikut dapat memengaruhi strategi penerapan dan mitigasi penipuan yang Anda pilih:

• Kebutuhan dan kemampuan anti-penipuan organisasi.
• Lingkungan organisasi yang ada.

Untuk mengetahui informasi selengkapnya tentang strategi mitigasi penipuan untuk kasus penggunaan Anda, hubungi tim penjualan kami.

Carding

Carding adalah ancaman otomatis di mana penyerang melakukan beberapa upaya otorisasi pembayaran untuk memverifikasi validitas data kartu pembayaran yang dicuri secara massal.

Implementasi minimum

1. Instal kunci situs kotak centang di semua halaman tempat pengguna akhir perlu memasukkan informasi kartu kredit mereka. Untuk mempelajari cara menginstal kunci situs kotak centang, lihat Menginstal kunci situs kotak centang (tantangan kotak centang) di situs.

2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Penerapan yang optimal

1. Instal kunci situs berbasis skor di semua halaman tempat pengguna akhir perlu memasukkan informasi kartu kredit mereka. Tentukan tindakan dalam parameter action seperti card_entry. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

2. Instal reCAPTCHA untuk alur kerja pembayaran di situs Anda. Untuk mempelajari cara melindungi alur kerja pembayaran Anda, lihat Melindungi alur kerja pembayaran.

3. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

4. Simpan semua ID penilaian dan beri anotasi pada penilaian yang berubah menjadi pembelian atau pengembalian dana tidak sah sebagai fraudulent. Untuk mempelajari cara memberi anotasi pada penilaian, lihat Memberi anotasi pada penilaian.

Strategi mitigasi penipuan

Setelah menerapkan reCAPTCHA, gunakan salah satu strategi mitigasi penipuan berikut untuk melindungi situs Anda dari pencurian kartu kredit:

• Instal reCAPTCHA untuk alur kerja pembayaran di situs Anda. Untuk mempelajari cara melindungi alur kerja pembayaran Anda, lihat Melindungi alur kerja pembayaran.

• Konfigurasi API pengelolaan kartu untuk memastikan bahwa token reCAPTCHA valid dan skornya lebih besar daripada nilai minimumnya.

  Jika skor tidak memenuhi atau melampaui nilai minimum yang ditentukan, jangan jalankan otorisasi kartu atau izinkan pengguna akhir menggunakan kartu. Jika memungkinkan, izinkan transaksi dilanjutkan pada saat pembelian, tetapi batalkan transaksi nanti untuk menghindari pemberitahuan kepada penyerang.

• Saat membuat penilaian, pastikan penilaian Anda memenuhi kriteria berikut agar transaksi berhasil:

  • Semua token yang dinilai valid dan memiliki skor yang lebih besar dari nilai minimum yang ditentukan.
  • Nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Untuk mempelajari cara memverifikasi tindakan, lihat memverifikasi tindakan.

  Jika transaksi tidak memenuhi kriteria ini, jangan jalankan otorisasi kartu atau izinkan pengguna akhir menggunakan kartu. Jika memungkinkan, izinkan transaksi dilanjutkan pada saat pembelian, tetapi batalkan transaksi nanti untuk menghindari pemberitahuan kepada penyerang.

Cracking kartu

Pembobolan kartu adalah ancaman otomatis yang memungkinkan penyerang mengidentifikasi nilai yang hilang untuk tanggal mulai, tanggal habis masa berlaku, dan kode keamanan untuk data kartu pembayaran yang dicuri dengan mencoba nilai yang berbeda.

Implementasi minimum

1. Instal kunci situs kotak centang di semua halaman tempat pengguna akhir perlu memasukkan detail pembayaran mereka, termasuk fungsi checkout dan tambahkan metode pembayaran. Untuk mempelajari cara menginstal kunci situs kotak centang, lihat Menginstal kunci situs kotak centang (tantangan kotak centang) di situs.

2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Penerapan yang optimal

1. Instal kunci situs berbasis skor di semua halaman tempat pengguna akhir perlu memasukkan detail pembayaran mereka. Tentukan tindakan dalam parameter action seperti checkout atau add_pmtmethod. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

2. Instal reCAPTCHA untuk alur kerja pembayaran di situs Anda. Untuk mempelajari cara melindungi alur kerja pembayaran Anda, lihat Melindungi alur kerja pembayaran.

3. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

4. Simpan semua ID penilaian dan beri anotasi pada penilaian yang berubah menjadi pembelian atau pengembalian dana tidak sah sebagai fraudulent. Untuk mempelajari cara memberi anotasi pada penilaian, lihat Memberi anotasi pada penilaian.

Strategi mitigasi penipuan

Setelah Anda menerapkan reCAPTCHA, gunakan salah satu strategi mitigasi penipuan berikut untuk melindungi situs Anda dari pembobolan kartu:

• Instal reCAPTCHA untuk alur kerja pembayaran di situs Anda. Untuk mempelajari cara melindungi alur kerja pembayaran Anda, lihat Melindungi alur kerja pembayaran.

• Menerapkan model respons dan membuat penilaian:

  1. Buat dan terapkan model respons yang disesuaikan untuk risiko berbasis skor.

     Contoh berikut menunjukkan model respons contoh:

     • Untuk nilai minimum skor rendah hingga menengah (0,0-0,5), gunakan pengelolaan risiko berbasis konteks, seperti membatasi jumlah percobaan, dan memblokir pembelian di atas nilai yang ditentukan.
     • Untuk nilai minimum skor tertinggi (> 0,5), izinkan pengguna akhir melanjutkan tanpa tantangan apa pun.

  2. Saat membuat penilaian, pastikan nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Jika tidak cocok, jangan jalankan otorisasi kartu atau izinkan pengguna akhir menggunakan kartu. Jika memungkinkan, izinkan transaksi dilanjutkan pada saat pembelian, tetapi batalkan transaksi nanti untuk menghindari pemberitahuan kepada penyerang.

Pembobolan kredensial

Pembobolan kredensial adalah ancaman otomatis di mana penyerang mengidentifikasi kredensial login yang valid dengan mencoba berbagai nilai untuk nama pengguna dan sandi.

Implementasi minimum

1. Instal kunci situs kotak centang di semua halaman tempat pengguna akhir harus memasukkan kredensial mereka, termasuk fungsi login dan lupa sandi saya. Untuk mempelajari cara menginstal kunci situs kotak centang, lihat Menginstal kunci situs kotak centang (tantangan kotak centang) di situs.

2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Penerapan yang optimal

1. Instal kunci situs berbasis skor di semua halaman tempat pengguna akhir perlu memasukkan kredensial mereka. Tentukan tindakan dalam parameter action seperti login atau authenticate. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.
2. Direkomendasikan: Terapkan Pertahanan sandi reCAPTCHA untuk semua upaya autentikasi. Untuk mempelajari cara menggunakan Pertahanan sandi, lihat Mendeteksi kebocoran sandi dan kredensial yang diretas.
3. Opsional: Untuk mengaktifkan pemblokiran interaksi dengan volume tinggi dan skor reCAPTCHA rendah, integrasikan reCAPTCHA dengan firewall aplikasi web (WAF). Misalnya, Anda dapat menggunakan integrasi reCAPTCHA untuk WAF dan Google Cloud Armor.
4. Terapkan pembela akun reCAPTCHA untuk memantau tren perilaku pengguna akhir di seluruh login dan menerima sinyal tambahan yang dapat mengindikasikan ATO. Untuk mempelajari cara menggunakan reCAPTCHA account defender, lihat Mendeteksi dan mencegah aktivitas penipuan terkait akun.
5. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.
6. Simpan semua ID Penilaian dan beri anotasi pada penilaian yang tampak curang, seperti Pengambilalihan Akun (ATO) atau aktivitas penipuan lainnya. Untuk mempelajari cara memberi anotasi pada penilaian, lihat Memberi anotasi pada penilaian.

Strategi mitigasi penipuan

Setelah Anda menerapkan reCAPTCHA, gunakan strategi mitigasi penipuan berikut untuk melindungi situs Anda dari credential cracking:

1. Buat dan terapkan model respons yang disesuaikan untuk risiko berbasis skor.

   Contoh berikut menunjukkan model respons contoh:

   • Untuk nilai minimum hingga menengah (0,0-0,5), lakukan autentikasi multi-faktor pengguna akhir melalui email atau SMS.
   • Untuk nilai minimum skor tertinggi (> 0,5), izinkan pengguna akhir melanjutkan tanpa tantangan apa pun.
2. Mengakhiri atau menghentikan sesi untuk pengguna akhir yang berhasil melakukan autentikasi, tetapi menerima respons credentialsLeaked: true dari reCAPTCHA Pertahanan sandi, dan mengirim email kepada pengguna akhir untuk mengubah sandi mereka.
3. Saat membuat penilaian, pastikan nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Jika tidak cocok, jangan izinkan autentikasi.

Penjejalan kredensial

Pengisian kredensial adalah ancaman otomatis yang dilakukan penyerang dengan menggunakan upaya login massal untuk memverifikasi validitas pasangan nama pengguna/sandi yang dicuri.

Implementasi minimum

1. Instal kunci situs kotak centang di semua halaman tempat pengguna akhir harus memasukkan kredensial mereka, termasuk fungsi login dan lupa sandi saya. Untuk mempelajari cara menginstal kunci situs kotak centang, lihat Menginstal kunci situs kotak centang (tantangan kotak centang) di situs.

2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Penerapan yang optimal

1. Instal kunci situs berbasis skor di semua halaman tempat pengguna akhir perlu memasukkan kredensial mereka. Tentukan tindakan dalam parameter action seperti login atau authenticate. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.
2. Direkomendasikan: Terapkan Pertahanan sandi reCAPTCHA untuk semua upaya autentikasi. Untuk mempelajari cara menggunakan Pertahanan sandi, lihat Mendeteksi kebocoran sandi dan kredensial yang diretas.
3. Terapkan pembela akun reCAPTCHA untuk memantau tren perilaku pengguna akhir di seluruh login dan menerima sinyal tambahan yang dapat mengindikasikan ATO. Untuk mempelajari cara menggunakan reCAPTCHA account defender, lihat Mendeteksi dan mencegah aktivitas penipuan terkait akun.

4. Opsional: Untuk mengaktifkan pemblokiran interaksi dengan volume tinggi dan skor reCAPTCHA rendah, integrasikan reCAPTCHA dengan firewall aplikasi web (WAF). Misalnya, Anda dapat menggunakan integrasi reCAPTCHA untuk WAF dan Google Cloud Armor.

5. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

6. Simpan semua ID penilaian dan beri anotasi pada penilaian yang berubah menjadi pembelian atau pengembalian dana tidak sah sebagai fraudulent. Untuk mempelajari cara memberi anotasi pada penilaian, lihat Memberi anotasi pada penilaian.

Strategi mitigasi penipuan

Setelah Anda menerapkan reCAPTCHA, gunakan strategi mitigasi penipuan berikut untuk melindungi situs Anda dari credential stuffing:

1. Buat dan terapkan model respons yang disesuaikan untuk risiko berbasis skor.

   Contoh berikut menunjukkan model respons contoh:

   • Untuk nilai minimum reCAPTCHA terendah (0,0), beri tahu pengguna akhir bahwa sandi mereka salah.
   • Untuk nilai minimum skor sedang (0,1-0,5), tantang pengguna akhir dengan autentikasi multi-faktor melalui email atau SMS.
   • Untuk nilai batas tertinggi (> 0,5), izinkan pengguna akhir melanjutkan tanpa tantangan apa pun.
2. Mengakhiri atau menghentikan sesi untuk pengguna akhir yang berhasil melakukan autentikasi, tetapi menerima respons credentialsLeaked: true dari reCAPTCHA Pertahanan sandi, dan mengirim email kepada pengguna akhir untuk mengubah sandi mereka.
3. Saat membuat penilaian, pastikan nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Jika tidak cocok, jangan izinkan autentikasi.
4. Dalam penilaian Anda, jika accountDefenderAssessment=PROFILE_MATCH, izinkan pengguna akhir melanjutkan tanpa verifikasi.

Mencairkan saldo

Mencairkan dana adalah ancaman otomatis di mana penyerang mendapatkan mata uang atau item bernilai tinggi dengan menggunakan kartu pembayaran yang dicuri dan telah divalidasi sebelumnya.

Implementasi minimum

1. Instal kunci situs berbasis skor di semua halaman tempat checkout dapat dilakukan. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.
2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Penerapan yang optimal

1. Instal kunci situs berbasis skor di semua halaman tempat pengguna akhir memasukkan informasi kartu voucher mereka. Tentukan tindakan seperti add_gift_card. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

2. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

3. Simpan semua ID penilaian dan beri anotasi pada transaksi yang bersifat penipuan.

Strategi mitigasi penipuan

Setelah Anda menerapkan reCAPTCHA, gunakan strategi mitigasi penipuan berikut untuk melindungi situs Anda dari pencairan dana:

• Instal reCAPTCHA untuk alur kerja pembayaran di situs Anda. Untuk mempelajari cara melindungi alur kerja pembayaran Anda, lihat Melindungi alur kerja pembayaran.

• Menerapkan model respons dan membuat penilaian:

  1. Buat dan terapkan model respons yang disesuaikan untuk risiko berbasis skor.

     Contoh berikut menunjukkan model respons contoh:

     • Untuk nilai minimum skor rendah hingga menengah (0,0-0,5), gunakan pengelolaan risiko berbasis konteks, seperti membatasi jumlah percobaan, dan memblokir pembelian di atas nilai yang ditentukan.
     • Untuk nilai minimum skor tertinggi (> 0,5), izinkan pengguna akhir melanjutkan tanpa tantangan apa pun.
  2. Saat membuat penilaian, pastikan nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Jika tidak cocok, jangan izinkan autentikasi. Jika memungkinkan, izinkan transaksi dilanjutkan pada saat pembelian, tetapi batalkan transaksi nanti untuk menghindari pemberitahuan kepada penyerang.

Pembuatan akun

Pembuatan akun adalah ancaman otomatis di mana penyerang membuat beberapa akun untuk penyalahgunaan berikutnya.

Implementasi minimum

1. Instal kunci situs kotak centang di semua halaman tempat pengguna akhir harus memasukkan kredensial mereka, termasuk fungsi login dan lupa sandi saya. Untuk mempelajari cara menginstal kunci situs kotak centang, lihat Menginstal kunci situs kotak centang (tantangan kotak centang) di situs.

2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Penerapan yang optimal

1. Instal kunci situs berbasis skor di semua halaman tempat akun dibuat. Tentukan tindakan dalam parameter action seperti register. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.
2. Direkomendasikan: Terapkan Pertahanan sandi reCAPTCHA untuk semua upaya autentikasi. Untuk mempelajari cara menggunakan Pertahanan sandi, lihat Mendeteksi kebocoran sandi dan kredensial yang diretas.
3. Terapkan reCAPTCHA account defender untuk menerima sinyal tambahan yang menunjukkan pembuatan akun palsu. Untuk mempelajari cara menggunakan reCAPTCHA account defender, lihat Mendeteksi dan mencegah aktivitas penipuan terkait akun.

4. Opsional: Untuk mengaktifkan pemblokiran interaksi dengan volume tinggi dan skor reCAPTCHA rendah, integrasikan reCAPTCHA dengan firewall aplikasi web (WAF). Misalnya, Anda dapat menggunakan integrasi reCAPTCHA untuk WAF dan Google Cloud Armor.

5. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

6. Simpan semua ID penilaian dan beri anotasi pada transaksi yang bersifat penipuan.

Strategi mitigasi penipuan

Setelah Anda menerapkan reCAPTCHA, gunakan strategi mitigasi penipuan berikut untuk melindungi situs Anda dari pembuatan akun:

1. Buat dan terapkan model respons yang disesuaikan untuk risiko berbasis skor.

   Contoh berikut menunjukkan model respons contoh:

   • Untuk nilai minimum reCAPTCHA (0,0), batasi tindakan akun hingga akun tersebut menjalani pemeriksaan penipuan lebih lanjut.
   • Untuk nilai minimum skor sedang (0,1-0,5), tantang pengguna akhir dengan autentikasi multi-faktor melalui email atau SMS.
   • Untuk nilai minimum skor tertinggi (> 0,5), izinkan pengguna akhir melanjutkan tanpa tantangan apa pun.
2. Mengakhiri atau mengganggu sesi untuk pengguna akhir yang berhasil melakukan autentikasi, tetapi menerima respons credentialsLeaked: true dari pertahanan sandi reCAPTCHA, dan meminta pengguna untuk memilih sandi baru.
3. Saat membuat penilaian, pastikan nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Jika tidak cocok, jangan izinkan pendaftaran akun atau pembuatan akun.
4. Dalam penilaian Anda, jika accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, batasi akses akun hingga validasi lebih lanjut dapat dilakukan.

Perubahan alamat dan akun yang bersifat menipu

Penyerang dapat mencoba mengubah detail akun, termasuk alamat email, nomor telepon, atau alamat surat sebagai bagian dari aktivitas penipuan atau pengambilalihan akun.

Implementasi minimum

1. Instal kunci situs kotak centang di semua halaman tempat pengguna akhir harus memasukkan kredensial mereka, termasuk fungsi login dan lupa sandi saya. Untuk mempelajari cara menginstal kunci situs kotak centang, lihat Menginstal kunci situs kotak centang (tantangan kotak centang) di situs.

2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Penerapan yang optimal

1. Instal kunci situs berbasis skor di semua halaman tempat akun dibuat. Tentukan tindakan dalam parameter action seperti change_telephone atau change_physicalmail. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

2. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

3. Terapkan pembela akun reCAPTCHA untuk memantau tren perilaku pengguna akhir di seluruh login dan menerima sinyal tambahan yang dapat mengindikasikan ATO. Untuk mempelajari cara menggunakan reCAPTCHA account defender, lihat Mendeteksi dan mencegah aktivitas penipuan terkait akun.

4. Simpan semua ID penilaian dan beri anotasi pada transaksi yang bersifat penipuan.

Strategi mitigasi penipuan

Setelah menerapkan reCAPTCHA, gunakan strategi mitigasi penipuan berikut untuk melindungi situs Anda dari perubahan alamat dan akun yang tidak sah:

1. Buat dan terapkan model respons yang disesuaikan untuk risiko berbasis skor.

   Contoh berikut menunjukkan model respons contoh:

   • Untuk nilai minimum hingga menengah (0,0-0,5), lakukan autentikasi multi-faktor pengguna akhir melalui email atau SMS.
   • Untuk nilai minimum skor tertinggi (> 0,5), izinkan pengguna akhir melanjutkan tanpa tantangan apa pun.

2. Saat membuat penilaian, pastikan nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Jika tidak cocok, jangan izinkan perubahan akun.

3. Dalam penilaian Anda, jika accountDefenderAssessment tidak memiliki label PROFILE_MATCH, lakukan autentikasi multi-faktor kepada pengguna akhir melalui email atau SMS.

Pembobolan token

Pemecahan token adalah ancaman otomatis di mana penyerang melakukan enumerasi massal nomor kupon, kode voucher, token diskon.

Implementasi minimum

1. Instal kunci situs kotak centang di semua halaman tempat pengguna akhir perlu memasukkan informasi kartu voucher mereka. Untuk mempelajari cara menginstal kunci situs kotak centang, lihat Menginstal kunci situs kotak centang (tantangan kotak centang) di situs.

2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Penerapan yang optimal

1. Instal kunci situs berbasis skor di semua halaman tempat pengguna akhir perlu memasukkan informasi kartu voucher mereka. Tentukan tindakan seperti gift_card_entry. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

2. Opsional: Untuk mengaktifkan pemblokiran interaksi dengan volume tinggi dan skor reCAPTCHA rendah, integrasikan reCAPTCHA dengan firewall aplikasi web (WAF). Misalnya, Anda dapat menggunakan integrasi reCAPTCHA untuk WAF dan Google Cloud Armor.

3. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

4. Simpan semua ID penilaian dan beri anotasi pada penilaian yang berubah menjadi kartu atau kupon hadiah palsu.

Strategi mitigasi penipuan

Setelah menerapkan reCAPTCHA, gunakan salah satu strategi mitigasi penipuan berikut untuk melindungi situs Anda dari pemecahan token:

• Konfigurasi API pengelolaan kartu untuk memastikan bahwa token reCAPTCHA valid dan skornya lebih besar daripada nilai minimumnya.

  Jika skor tidak memenuhi atau melampaui nilai minimum yang ditentukan, jangan jalankan otorisasi kartu kredit atau kartu voucher, atau izinkan pengguna akhir menggunakan kupon atau kartu voucher. Jika memungkinkan, izinkan transaksi dilanjutkan pada saat pembelian, tetapi batalkan transaksi nanti untuk menghindari pemberitahuan kepada penyerang.

• Saat membuat penilaian, pastikan penilaian Anda memenuhi kriteria berikut agar transaksi berhasil:

  • Semua token yang dinilai valid dan memiliki skor yang lebih besar dari nilai minimum yang ditentukan.
  • Nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Untuk mempelajari cara memverifikasi tindakan, lihat memverifikasi tindakan.

  Jika transaksi tidak memenuhi kriteria ini, jangan jalankan otorisasi kartu kredit atau kartu voucher, atau izinkan pengguna akhir menggunakan kupon atau kartu voucher. Jika memungkinkan, izinkan transaksi dilanjutkan pada saat pembelian, tetapi batalkan transaksi nanti untuk menghindari pemberitahuan kepada penyerang.

Scalping

Scalping adalah ancaman otomatis di mana penyerang mendapatkan barang atau layanan pilihan yang ketersediaannya terbatas dengan metode yang tidak adil.

Implementasi minimum

1. Instal kunci situs berbasis skor di semua halaman tempat pengguna akhir perlu memasukkan informasi kartu voucher mereka. Tentukan tindakan dalam parameter action seperti add_to_cart. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.
2. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Penerapan yang optimal

1. Instal kunci situs berbasis skor di semua halaman tempat pengguna akhir perlu memasukkan informasi kartu voucher mereka. Tentukan tindakan dalam parameter action seperti add_to_cart. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

2. Opsional: Untuk mengaktifkan pemblokiran interaksi dengan volume tinggi dan skor reCAPTCHA rendah, integrasikan reCAPTCHA dengan firewall aplikasi web (WAF). Misalnya, Anda dapat menggunakan integrasi reCAPTCHA untuk WAF dan Google Cloud Armor.

3. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

4. Simpan semua ID penilaian dan beri anotasi pada transaksi yang bersifat penipuan.

Strategi mitigasi penipuan

Setelah Anda menerapkan reCAPTCHA, gunakan strategi mitigasi penipuan berikut untuk melindungi situs Anda dari praktik calo:

1. Buat dan terapkan model respons yang disesuaikan untuk risiko berbasis skor.

   Contoh berikut menunjukkan model respons contoh:

   • Untuk nilai minimum skor rendah hingga menengah (0,0-0,5), gunakan pengelolaan risiko berbasis konteks, seperti membatasi jumlah percobaan, dan memblokir pembelian di atas nilai yang ditentukan.
   • Untuk nilai minimum skor tertinggi (> 0,5), izinkan pengguna akhir melanjutkan tanpa tantangan apa pun.

2. Saat membuat penilaian, pastikan nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Jika tidak cocok, jangan jalankan otorisasi kartu voucher.

Memiringkan

Penyimpangan adalah ancaman otomatis di mana penyerang menggunakan klik link, permintaan halaman, atau pengiriman formulir berulang untuk mengubah beberapa metrik.

Implementasi minimum

1. Instal kunci situs berbasis skor di semua halaman yang berpotensi mengalami kemiringan metrik. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.
2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Penerapan yang optimal

1. Instal kunci situs berbasis skor di semua halaman yang berpotensi mengalami kemiringan metrik. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

2. Opsional: Untuk mengaktifkan pemblokiran interaksi dengan volume tinggi dan skor reCAPTCHA rendah, integrasikan reCAPTCHA dengan firewall aplikasi web (WAF). Misalnya, Anda dapat menggunakan integrasi reCAPTCHA untuk WAF dan Google Cloud Armor.

3. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

4. Simpan semua ID penilaian dan beri anotasi pada transaksi yang bersifat penipuan.

Strategi mitigasi penipuan

Setelah Anda menerapkan reCAPTCHA, gunakan strategi mitigasi penipuan berikut untuk melindungi situs Anda dari penipuan:

Buat dan terapkan model respons yang disesuaikan untuk risiko berbasis skor.

Contoh berikut menunjukkan model respons contoh:

• Untuk nilai minimum hingga menengah (0,0-0,5), gunakan pengelolaan risiko berbasis konteks, seperti melacak berapa kali pengguna mengklik iklan, atau berapa kali pengguna memuat ulang halaman. Gunakan data ini untuk menentukan apakah metrik harus dihitung.
• Untuk nilai minimum skor tertinggi (> 0,5), izinkan pengguna akhir melanjutkan tanpa tantangan apa pun.

Scraping

Scraping adalah ancaman otomatis di mana penyerang mengumpulkan data atau artefak situs secara otomatis.

Implementasi minimum

1. Instal kunci situs berbasis skor di semua halaman tempat informasi penting berada dan di halaman interaksi pengguna akhir umum utama. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.
2. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Penerapan yang optimal

1. Instal kunci situs berbasis skor di semua halaman tempat informasi penting berada dan di halaman interaksi pengguna akhir umum utama. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

2. Opsional: Untuk mengaktifkan pemblokiran interaksi dengan volume tinggi dan skor reCAPTCHA rendah, integrasikan reCAPTCHA dengan firewall aplikasi web (WAF). Misalnya, Anda dapat menggunakan integrasi reCAPTCHA untuk WAF dan Google Cloud Armor.

3. Buat penilaian untuk semua token. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

4. Simpan semua ID penilaian dan beri anotasi pada transaksi yang bersifat penipuan.

Strategi mitigasi penipuan

Setelah Anda menerapkan reCAPTCHA, gunakan strategi mitigasi penipuan berikut untuk melindungi situs Anda dari scraping:

• Aktifkan pemblokiran interaksi dengan volume tinggi dan skor reCAPTCHA rendah dengan mengintegrasikan reCAPTCHA dengan firewall aplikasi web (WAF). Misalnya, Anda dapat menggunakan integrasi reCAPTCHA untuk WAF dan Google Cloud Armor
• Jika scraping melibatkan API, gunakan Apigee Management API untuk mitigasi tambahan.

Kekalahan CAPTCHA

Pembobolan CAPTCHA adalah ancaman otomatis di mana penyerang menggunakan otomatisasi dalam upaya menganalisis dan menentukan jawaban untuk tes CAPTCHA visual dan/atau aural serta teka-teki terkait.

Implementasi minimum

1. Instal kunci situs berbasis skor di semua halaman yang melibatkan input pengguna akhir, pembuatan akun, informasi pembayaran, atau interaksi pengguna akhir dengan potensi penipuan. Tentukan tindakan deskriptif dalam parameter action. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

2. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

Penerapan yang optimal

1. Instal kunci situs berbasis skor di semua halaman yang melibatkan input pengguna akhir, pembuatan akun, informasi pembayaran, atau interaksi pengguna akhir dengan potensi penipuan. Tentukan tindakan deskriptif dalam parameter action. Untuk mempelajari cara menginstal kunci situs berbasis skor, lihat Menginstal kunci situs berbasis skor (tanpa tantangan) di situs.

2. Opsional: Untuk mengaktifkan pemblokiran interaksi dengan volume tinggi dan skor reCAPTCHA rendah, integrasikan reCAPTCHA dengan firewall aplikasi web (WAF). Misalnya, Anda dapat menggunakan integrasi reCAPTCHA untuk WAF dan Google Cloud Armor.

3. Buat penilaian untuk semua token, dan tetapkan expectedAction agar cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor. Untuk mempelajari cara membuat penilaian, lihat Membuat penilaian.

4. Simpan semua ID penilaian dan beri anotasi pada penilaian yang berubah menjadi pembelian atau pengembalian dana tidak sah sebagai fraudulent. Untuk mempelajari cara memberi anotasi pada penilaian, lihat Memberi anotasi pada penilaian.

Strategi mitigasi penipuan

Setelah menerapkan reCAPTCHA, gunakan salah satu strategi mitigasi penipuan berikut untuk melindungi situs Anda dari pembobolan CAPTCHA:

• Menerapkan model respons dan membuat penilaian:

  1. Buat dan terapkan model respons yang disesuaikan untuk risiko berbasis skor.

     Contoh berikut menunjukkan model respons contoh:

     • Untuk nilai minimum hingga menengah (0,0-0,5), lakukan autentikasi multi-faktor pengguna akhir melalui email atau SMS.
     • Untuk nilai minimum skor tertinggi (> 0,5), izinkan pengguna akhir melanjutkan tanpa tantangan apa pun.
  2. Saat membuat penilaian, pastikan nilai expectedAction cocok dengan nilai action yang Anda tentukan saat menginstal kunci situs berbasis skor di halaman web Anda. Jika tidak cocok, jangan izinkan autentikasi.

• Jika pengguna akhir menggunakan browser web yang menonaktifkan JavaScript, lakukan hal berikut:

  1. Blokir pengguna akhir tersebut.
  2. Beri tahu pengguna akhir bahwa situs Anda memerlukan JavaScript untuk melanjutkan.

• Pastikan bahwa janji grecaptcha.enterprise.ready terpenuhi untuk mencegah browser pengguna akhir yang memblokir skrip Google dimuat. Hal ini menunjukkan bahwa reCAPTCHA dimuat sepenuhnya dan tidak mengalami error.

• Untuk API khusus web, sebaiknya teruskan token reCAPTCHA atau hasil penilaian reCAPTCHA ke API backend, lalu izinkan tindakan API hanya jika token reCAPTCHA valid dan memenuhi nilai minimum skor. Hal ini memastikan bahwa pengguna akhir tidak menggunakan API tanpa membuka situs.

Langkah berikutnya

• Instal kunci situs berbasis skor.
• Instal kunci situs kotak centang.
• Buat penilaian.
• Membuat anotasi penilaian.
• Terapkan Pertahanan sandi.
• Menerapkan account defender.