Zahlungstransaktionen mit Transaction Defense schützen

Auf dieser Seite wird beschrieben, wie Sie Zahlungstransaktionen mithilfe von Transaction Defense effektiv vor Angriffen wie Carding, Betrug durch gestohlene Zahlungsmittel und Kontoübernahmen schützen.

Mit Transaction Defense können Sie Zahlungstransaktionen schützen, indem Sie gezielte manuelle Angriffe und groß angelegte Betrugsversuche erkennen. Es trainiert automatisch Verhaltens- und Transaktionsmodelle, um Ereignisse zu erkennen, die wahrscheinlich betrügerisch sind und bei Annahme zu einer Streitigkeit oder Rückbuchung führen können.

Im Rahmen dieser Modelle werden Transaktionssignale untersucht, um Carding- und Chargeback-Angriffe zu erkennen. Eine Reihe von Kaufversuchen mit niedrigen Preisen kann beispielsweise auf einen Carding-Angriff hindeuten. In der Antwort erhalten Sie Risikobewertungen für verschiedene Arten von Betrug, die Sie verwenden können, um die Transaktion zur manuellen Überprüfung weiterzuleiten oder ausreichend verdächtige Transaktionen direkt zu blockieren.

So richten Sie den Transaktionsschutz ein:

Umgebung vorbereiten
Aktivieren Sie Transaction Defense für Ihr Google Cloud -Projekt.
Wählen Sie die Frontend-Integration aus, um Signale vom Frontend-Gerät automatisch einzubinden, oder die Nur-API-Integration, wenn Sie die Integration im Frontend nicht bevorzugen.

Hinweis :Bei der Frontend-Integration wird dasselbe JavaScript verwendet wie bei anderen reCAPTCHA-Anwendungsfällen, z. B. bei der Bot-Erkennung und dem Kontoschutz. Wenn Sie bereits andere Funktionen aus dem reCAPTCHA-Portfolio verwenden, ist die JavaScript-Integration im Frontend bereits abgeschlossen.

Wenn das JavaScript ausgeführt wird, generiert reCAPTCHA für jede Nutzersitzung ein eindeutiges reCAPTCHA-Token und erfasst Daten zum Nutzerverhalten, um den Nutzer zu bewerten.

Bei der reinen API-Integration wird ein Ergebnis nur anhand der erforderlichen Transaktionsdaten zurückgegeben. Dieses Token ist nicht erforderlich.
Senden Sie eine create assessment API-Anfrage mit Transaktionsdaten von Ihrem Backend aus. Verwenden Sie dazu entweder die zuvor ausgewählte Frontend-Integration oder die reine API-Integration.

In der Antwort auf die create assessment API-Anfrage gibt reCAPTCHA einen Wert für das Transaktionsrisiko und gegebenenfalls zusätzliche Gründe für die Erläuterung an, z. B. HIGH_TRANSACTION_VELOCITY.
Nächste Aktion für Ihre Nutzer basierend auf den Ergebnissen festlegen:

Sie können die Transaktion zulassen, eine zusätzliche Bestätigung anfordern, die Transaktion zur manuellen Überprüfung weiterleiten oder sie blockieren.

Hinweis

Wenn Sie reCAPTCHA noch nicht kennen, gehen Sie so vor:
1. reCAPTCHA für Ihr Google Cloud Projekt konfigurieren.
2. Erstellen Sie einen auf Punktzahlen basierenden reCAPTCHA-Schlüssel.
Wenn Sie eine Frontend-Integration planen, prüfen Sie, ob Ihre Umgebung Tokens unterstützt, die größer als 8 KB sind, da die Transaktionsabwehr möglicherweise größere Tokens verwendet.

Transaction Defense aktivieren

Rufen Sie in der Google Cloud Console die reCAPTCHA-Seite auf.

Zu reCAPTCHA
Prüfen Sie, ob der Name Ihres Projekts in der Ressourcenauswahl angezeigt wird.

Wenn Sie den Namen Ihres Projekts nicht sehen, klicken Sie auf die Ressourcenauswahl und wählen Sie Ihr Projekt aus.
Klicken Sie auf Einstellungen.
Klicken Sie im Bereich Transaction defense auf Konfigurieren.
Klicken Sie auf den Schalter Aktivieren und dann auf Speichern.

Frontend-Integration – reCAPTCHA auf Ihrer Website installieren

Wenn Sie Transaction Defense mit einer reCAPTCHA-Frontend-Integration verwenden, können Sie sich vor Carding-Angriffen und betrügerischen Transaktionen schützen. Um mit dem Erkennen von Angriffen zu beginnen, müssen Sie auf jeder Seite Ihrer Aufrufabfolge für Zahlungen einen wertbasierten reCAPTCHA-Schlüssel installieren. Dazu gehört auch die Benutzeroberfläche, auf der Nutzer ihren Einkaufswagen überprüfen, ihre Zahlungsmethode auswählen und den Kauf abschließen. Nachdem der Nutzer in jedem Schritt eine Auswahl getroffen hat, rufen Sie grecaptcha.enterprise.execute() auf, um ein Token zu generieren. Informationen zum Installieren punktzahlbasierter Schlüssel und zum Aufrufen von execute() finden Sie unter Punktzahlbasierte Schlüssel installieren.

Das folgende Beispiel zeigt, wie ein auf Punktzahlen basierender Schlüssel in ein Kreditkartentransaktionsereignis eingebunden wird:

function submitForm() {
  grecaptcha.enterprise.ready(function() {
    grecaptcha.enterprise.execute(
      'reCAPTCHA_site_key', {action: 'purchase'}).then(function(token) {
       document.getElementById("token").value = token;
       document.getElementByID("paymentForm").submit();
    });
  });
}

<form id="paymentForm" action="?" method="POST">
  Total: $1.99
  Credit Card Number: <input name="cc-number" id="cc-number" autocomplete="cc-number"><br/>
  <input type="hidden" id="token" name="recaptcha_token"/>
  <button onclick="submitForm()">Purchase</button>
</form>

<script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>

Sie können mit diesem Code in JSFiddle experimentieren. Klicken Sie dazu in der oberen rechten Ecke des Codefensters auf das Symbol <>.

<html>
  <head>
    <title>Protected Payment</title>
    <script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>
    <script>
    function submitForm() {
      grecaptcha.enterprise.ready(function() {
        grecaptcha.enterprise.execute(
          'reCAPTCHA_site_key', {action: 'purchase'}).then(function(token) {
           document.getElementById("token").value = token;
           document.getElementByID("paymentForm").submit();
        });
      });
    }
    </script>
  </head>
  <body>
    <form id="paymentForm" action="?" method="POST">
      Total: $1.99
      Credit Card Number: <input name="cc-number" id="cc-number" autocomplete="cc-number"><br/>
      <input type="hidden" id="token" name="recaptcha_token"/>
      <button onclick="submitForm()">Purchase</button>
    </form>
  </body>
</html>

Frontend-Integration – Bewertungen mit Transaktionsdaten erstellen

Wenn Sie Ergebnisse zu Zahlungsbetrug erhalten möchten, erstellen Sie Bewertungen mit Transaktionsdaten. Verwenden Sie dazu die zusätzlichen Felder in der Methode projects.assessments.create.

Für die Integration sind mindestens die Felder payment_method, card_bin und card_last_four erforderlich. Um die Erkennungsqualität zu verbessern, empfehlen wir, optionale Felder wie email, phone_number und billing_address hinzuzufügen.

Für eine Transaktionsschutz-Bewertung mit Frontend-Integration ist eine der folgenden Voraussetzungen erforderlich:

Transaktionsdaten cardBin und cardLastFour.
Nutzer accountId
Nutzer email
Nutzer phoneNumber

{
  "event": {
    "token": "YOUR_TOKEN",
    "site_key": "KEY_ID",
    "expected_action": "YOUR_CHECKOUT_ACTION_NAME",
    "transaction_data": {
            "transaction_id": "txid-1234567890",
            "payment_method": "credit-card",
            "card_bin": "411111",
            "card_last_four": "1234",
            "currency_code": "USD",
            "value": 39.98,
            "user": {
                "email": "someEmailAddress@example.com"
            },
            "billing_address": {
                "recipient": "name1 name2",
                "address": [
                    "123 Street Name",
                    "Apt 1"
                ],
                "locality": "Sunnyvale",
                "administrative_area": "CA",
                "region_code": "USA",
                "postal_code": "123456"
            }
        }
    }
}

Wir empfehlen, zusätzliche Signale zu senden, um die Qualität der Werte zu verbessern.

Informationen zum Erstellen von Bewertungen Bei der Transaktionsabwehr werden möglicherweise größere Tokens verwendet. Prüfen Sie daher, ob die Anfrage als POST-Anfrage und nicht als GET-Anfrage gesendet wird und ob sie im Body und nicht in einem Header enthalten ist.

Nur-API-Integration – Analysen mit Transaktionsdaten erstellen

Wenn Sie Ergebnisse zu Zahlungsbetrug erhalten möchten, erstellen Sie Bewertungen mit Transaktionsdaten. Verwenden Sie dazu die zusätzlichen Felder in der Methode projects.assessments.create.

Da bei der reCAPTCHA API-only-Integration eine Transaction Defense-Prüfung nur anhand der von Ihnen bereitgestellten Transaktionsdaten erfolgt, müssen Sie mindestens Folgendes angeben:

Rechnungsadresse regionCode und postalCode.
Transaktionsdaten paymentMethod.
Eine der folgenden:
- Transaktionsdaten cardBin und cardLastFour.
- Nutzer accountId
- Nutzer email
- Nutzer phoneNumber

{
  "event": {
    "site_key": "KEY_ID",
    "expected_action": "YOUR_CHECKOUT_ACTION_NAME",
    "transaction_data": {
            "transaction_id": "txid-1234567890",
            "payment_method": "credit-card",
            "card_bin": "411111",
            "card_last_four": "1234",
            "currency_code": "USD",
            "value": 39.98,
            "user": {
                "account_id": "abcde12345",
                "email": "someEmailAddress@example.com",
                "phone_number": "+18005550175",
            },
            "billing_address": {
                "recipient": "name1 name2",
                "address": [
                    "123 Street Name",
                    "Apt 1"
                ],
                "locality": "Sunnyvale",
                "administrative_area": "CA",
                "region_code": "USA",
                "postal_code": "123456"
            }
        }
    }
}

Damit die Qualität der Werte verbessert wird, empfehlen wir, so viele Eingaben wie möglich zu machen und zusätzliche Signale zu senden.

Bewertungen interpretieren

Nachdem Sie mit dem Senden der Transaktionsdaten begonnen haben, erhalten Sie Bewertungen als JSON-Antwort mit der fraudPreventionAssessment-Komponente in riskAnalysis.

Das folgende Beispiel zeigt eine Beispielantwort:

{
  "event": {....
  ....
  }
  .....
  ....
  ....
"fraudPreventionAssessment": {
    "transactionRisk": 0.9,
    "riskReasons": HIGH_TRANSACTION_VELOCITY
}
}

Die Antwort, die Sie erhalten, enthält einen Wert und gegebenenfalls Ursachencodes. Je höher der Wert, desto wahrscheinlicher ist die Transaktion betrügerisch und riskant. Je niedriger der Wert, desto wahrscheinlicher ist die Transaktion legitim. Ein Wert von 0,9 bedeutet beispielsweise, dass die Transaktion eher betrügerisch und riskant ist, während ein Wert von 0,1 bedeutet, dass die Transaktion eher legitim ist.

Sie sind für die Maßnahmen verantwortlich, die Sie auf Grundlage der Bewertung ergreifen. Für die einfachste Integration können Sie Schwellenwerte für transactionRisk festlegen, um Ihre Entscheidung zu unterstützen. So kann es beispielsweise dazu beitragen, dass Transaktionen zur manuellen Überprüfung weitergeleitet oder wahrscheinlich betrügerische Transaktionen direkt abgelehnt werden. Sie können den Wert auch in Ihren eigenen Betrugs-Workflows oder als Teil von Regeln in Ihrem bestehenden System verwenden. Da reCAPTCHA eindeutige Signale untersucht und das Verhalten im gesamten Internet eindeutig sichtbar ist, können Sie auch mit einer bereits ausgereiften Engine zur Betrugserkennung einen zusätzlichen Nutzen erwarten.

Jeder Score-Bucket ist auf eine maximale Falsch-Positiv-Rate abgestimmt, die den maximalen Anteil legitimer Nutzer darstellt, die möglicherweise zusätzliche Reibung erfahren. Die Schwellenwerte, die Sie auswählen müssen, hängen von Ihren geschäftlichen Anforderungen ab. Im Folgenden finden Sie einige Beispiele für die Verwendung des transactionRisk-Werts:

Risikotoleranz	Empfohlener Schwellenwert	Maximale Rate falsch positiver Ergebnisse	Nutzungsbeispiel
Niedrig	0,5	5 %	Zusätzliche Bestätigung wie 2FA vor der Annahme der Transaktion erforderlich
Mittel	0,7	1 %	Transaktion zur manuellen Überprüfung senden
Hoch	0,9	0,1 %	Transaktion ablehnen

Nächste Schritte

Weitere Informationen
Informationen zum Annotieren von Analysen finden Sie unter Analysen mit Transaktionsereignissen annotieren.