In diesem Dokument werden die empfohlenen Implementierungen von reCAPTCHA und Strategien zur Betrugsbekämpfung zum Schutz vor kritischen automatisierten Bedrohungen (OWASP Automated Threats (OAT) to Web Applications) beschrieben. Unternehmensarchitekten und Technologie-Stakeholder können diese Informationen prüfen, um eine fundierte Entscheidung über die reCAPTCHA-Implementierung und die Strategie zur Betrugsbekämpfung für ihren Anwendungsfall zu treffen.
Dieses Dokument enthält die folgenden Informationen zu den einzelnen Bedrohungsarten:
Optimale Implementierung von reCAPTCHA. Diese Implementierung ist mit den relevanten reCAPTCHA-Funktionen für den besten Betrugsschutz konzipiert.
Minimale Implementierung von reCAPTCHA. Diese Implementierung ist auf ein Minimum an Betrugsschutz ausgelegt.
Empfohlene Strategien zur Betrugsbekämpfung
Wählen Sie die Implementierungsstrategie und Strategie zur Betrugsbekämpfung aus, die am besten zu Ihrem Anwendungsfall passt. Die folgenden Faktoren können Ihre Strategie zur Implementierung und Betrugsbekämpfung beeinflussen:
- Anforderungen und Fähigkeiten der Organisation zur Betrugsbekämpfung.
- In der bestehenden Umgebung der Organisation.
Informationen zur empfohlenen allgemeinen Implementierung von reCAPTCHA finden Sie unter Best Practices für die Verwendung von reCAPTCHA.
Weitere Informationen zu Strategien zur Betrugsbekämpfung für Ihren Anwendungsfall erhalten Sie von unserem Vertriebsteam.
Kardierung
Carding ist eine automatisierte Bedrohung, bei der Angreifer versuchen, die Gültigkeit von im Bulk gestohlenen Zahlungskartendaten mehrfach zu autorisieren.
Mindestimplementierung
Installieren Sie Websiteschlüssel mit Kästchen auf allen Seiten, auf denen Endnutzer ihre Kreditkartendaten eingeben müssen. Informationen zum Installieren von Websiteschlüsseln mit Kästchen finden Sie unter Websiteschlüssel mit Kästchen (Kästchen-Herausforderung) auf Websites installieren.
Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen
Optimale Implementierung
Installieren Sie punktzahlbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Kreditkartendaten eingeben müssen. Geben Sie im
action
-Parameter eine Aktion an, z. B.card_entry
. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.Installieren Sie reCAPTCHA für den Zahlungs-Workflow auf Ihrer Website. Informationen dazu, wie du deinen Zahlungsworkflow schützen kannst, findest du unter Zahlungsabläufe schützen.
Erstellen Sie Bewertungen für alle Tokens und legen Sie
expectedAction
so fest, dass er dem Wert vonaction
entspricht, den Sie beim Installieren der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von BewertungenSpeichern Sie alle Bewertungs-IDs und vermerken Sie die Bewertungen, die zu betrügerischen Käufen oder Rückbuchungen führen, als
fraudulent
. Informationen zum Annotieren von Bewertungen finden Sie unter Bewertungen mit Anmerkungen versehen.
Strategie zur Betrugsbekämpfung
Verwenden Sie nach der Implementierung von reCAPTCHA eine der folgenden Strategien zur Betrugsbekämpfung, um Ihre Website vor Carding zu schützen:
Installieren Sie reCAPTCHA für den Zahlungs-Workflow auf Ihrer Website. Informationen dazu, wie du deinen Zahlungsworkflow schützen kannst, findest du unter Zahlungsabläufe schützen.
Konfigurieren Sie APIs zur Kartenverwaltung so, dass die reCAPTCHA-Tokens gültig sind und die Punktzahlen über ihrem Grenzwert liegen.
Wenn die Punktzahlen den angegebenen Grenzwert nicht erreichen oder überschreiten, führe keine Kartenautorisierung aus und erlaube dem Endnutzer nicht, die Karte zu verwenden. Lasse die Transaktion nach Möglichkeit zum Zeitpunkt des Kaufs laufen, brich sie jedoch später ab, um zu verhindern, dass der Angreifer abgestürzt wird.
Achten Sie beim Erstellen von Bewertungen darauf, dass sie die folgenden Kriterien für eine erfolgreiche Transaktion erfüllen:
- Alle bewerteten Tokens sind gültig und haben einen Wert, der größer als ein bestimmter Grenzwert ist.
- Der Wert von
expectedAction
entspricht dem Wert vonaction
, den du bei der Installation der auf Punktzahlen basierenden Websiteschlüssel auf deinen Webseiten angegeben hast. Informationen zum Überprüfen von Aktionen finden Sie unter Aktionen überprüfen.
Wenn eine Transaktion diese Kriterien nicht erfüllt, führe keine Kartenautorisierung durch und erlaube dem Endnutzer nicht, die Karte zu verwenden. Lasse die Transaktion nach Möglichkeit zum Zeitpunkt des Kaufs laufen, brich sie jedoch später ab, um zu verhindern, dass der Angreifer abgestürzt wird.
Knacken von Karten
Das Knacken von Karten ist eine automatisierte Bedrohung, bei der Angreifer fehlende Werte für das Startdatum, das Ablaufdatum und Sicherheitscodes für gestohlene Zahlungskartendaten identifizieren, indem sie verschiedene Werte ausprobieren.
Mindestimplementierung
Installieren Sie Websiteschlüssel mit Kästchen auf allen Seiten, auf denen Endnutzer ihre Zahlungsdetails eingeben müssen, einschließlich der Funktionen Zur Kasse und Zahlungsmethode hinzufügen. Informationen zum Installieren von Websiteschlüsseln mit Kästchen finden Sie unter Websiteschlüssel mit Kästchen (Kästchen-Herausforderung) auf Websites installieren.
Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen
Optimale Implementierung
Installieren Sie punktbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Zahlungsdetails eingeben müssen. Geben Sie im
action
-Parameter eine Aktion an, z. B.checkout
oderadd_pmtmethod
. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.Installieren Sie reCAPTCHA für den Zahlungs-Workflow auf Ihrer Website. Informationen dazu, wie du deinen Zahlungsworkflow schützen kannst, findest du unter Zahlungsabläufe schützen.
Erstellen Sie Bewertungen für alle Tokens und legen Sie
expectedAction
so fest, dass er dem Wert vonaction
entspricht, den Sie beim Installieren der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von BewertungenSpeichern Sie alle Bewertungs-IDs und vermerken Sie die Bewertungen, die zu betrügerischen Käufen oder Rückbuchungen führen, als
fraudulent
. Informationen zum Annotieren von Bewertungen finden Sie unter Bewertungen mit Anmerkungen versehen.
Strategie zur Betrugsbekämpfung
Verwenden Sie nach der Implementierung von reCAPTCHA eine der folgenden Strategien zur Betrugsbekämpfung, um Ihre Website vor Karten-Cracking zu schützen:
Installieren Sie reCAPTCHA für den Zahlungs-Workflow auf Ihrer Website. Informationen dazu, wie du deinen Zahlungsworkflow schützen kannst, findest du unter Zahlungsabläufe schützen.
Implementieren Sie ein Antwortmodell und erstellen Sie Bewertungen:
Erstellen und implementieren Sie ein Reaktionsmodell, das an das wertbasierte Risiko angepasst ist.
Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:
- Für einen niedrigen bis mittleren Punktzahl-Schwellenwert (0,0–0,5) solltest du kontextbasiertes Risikomanagement verwenden. So kannst du beispielsweise die Anzahl der Versuche begrenzen und Käufe über einen bestimmten Wert blockieren.
- Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Herausforderung fortfahren.
Achte beim Erstellen von Bewertungen darauf, dass der Wert von
expectedAction
mit dem Wert vonaction
übereinstimmt, den du beim Installieren der wertbasierten Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, führen Sie keine Kartenautorisierung aus und erlauben Sie dem Endnutzer nicht, die Karte zu verwenden. Lasse die Transaktion nach Möglichkeit zum Zeitpunkt des Kaufs laufen, brich sie jedoch später ab, um zu verhindern, dass der Angreifer abgestürzt wird.
Cracking von Anmeldedaten
Das Cracking von Anmeldedaten ist eine automatisierte Bedrohung, bei der Angreifer gültige Anmeldedaten identifizieren, indem sie unterschiedliche Werte für Nutzernamen und Passwörter ausprobieren.
Mindestimplementierung
Installieren Sie Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen, einschließlich der Funktionen login und forgot my password. Informationen zum Installieren von Websiteschlüsseln mit Kästchen finden Sie unter Websiteschlüssel mit Kästchen (Kästchen-Herausforderung) auf Websites installieren.
Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen
Optimale Implementierung
-
Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen.
Geben Sie im
action
-Parameter eine Aktion an, z. B.login
oderauthenticate
. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren. - Empfohlen: Implementieren Sie die reCAPTCHA-Erkennung von Passwortlecks für alle Authentifizierungsversuche. Weitere Informationen zur Erkennung von Passwortlecks finden Sie unter Passwortlecks und gehackte Anmeldedaten erkennen.
- Optional: Zum Blockieren von Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Punktzahl müssen Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die WAF- und Google Cloud Armor-Einbindung verwenden.
- Implementieren Sie reCAPTCHA Account Defender, um das Endnutzerverhalten bei Anmeldungen zu beobachten und zusätzliche Signale zu erhalten, die auf ein ATO hinweisen können. Informationen zur Verwendung von reCAPTCHA Account Defender finden Sie unter Kontobezogene betrügerische Aktivitäten erkennen und verhindern.
-
Erstellen Sie Bewertungen für alle Tokens und legen Sie
expectedAction
so fest, dass er dem Wert vonaction
entspricht, den Sie beim Installieren der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen - Speichern Sie alle Prüfungs-IDs und vermerken Sie die Bewertung, die betrügerisch erscheint, z. B. Kontoübernahmen (ATOs) oder andere betrügerische Aktivitäten. Informationen zum Annotieren von Bewertungen finden Sie unter Bewertungen mit Anmerkungen versehen.
Strategie zur Betrugsbekämpfung
Nach der Implementierung von reCAPTCHA können Sie Ihre Website mit der folgenden Strategie zur Betrugsbekämpfung vor Cracking von Anmeldedaten schützen:
-
Erstellen und implementieren Sie ein Reaktionsmodell, das an das wertbasierte Risiko angepasst ist.
Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:
- Bei einem niedrigen bis mittleren Punktzahl-Schwellenwert (0,0–0,5) sollten Sie den Endnutzer mit Multi-Faktor-Authentifizierung per E-Mail oder SMS auffordern.
- Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Herausforderung fortfahren.
-
Beenden oder unterbrechen Sie die Sitzungen für Endnutzer, die sich erfolgreich authentifiziert haben, aber von der reCAPTCHA-Erkennung von Passwortlecks die Antwort
credentialsLeaked: true
erhalten, und senden Sie eine E-Mail an die Endnutzer, um ihr Passwort zu ändern. -
Achte beim Erstellen von Bewertungen darauf, dass der Wert von
expectedAction
mit dem Wert vonaction
übereinstimmt, den du beim Installieren der wertbasierten Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, lassen Sie keine Authentifizierung zu.
Credential Stuffing
Credential Stuffing ist eine automatisierte Bedrohung, bei der Angreifer mithilfe von Massenanmeldung versuchen, die Gültigkeit gestohlener Nutzername/Passwort-Paare zu überprüfen.
Mindestimplementierung
Installieren Sie Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen, einschließlich der Funktionen login und forgot my password. Informationen zum Installieren von Websiteschlüsseln mit Kästchen finden Sie unter Websiteschlüssel mit Kästchen (Kästchen-Herausforderung) auf Websites installieren.
Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen
Optimale Implementierung
-
Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen.
Geben Sie im
action
-Parameter eine Aktion an, z. B.login
oderauthenticate
. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren. - Empfohlen: Implementieren Sie die reCAPTCHA-Erkennung von Passwortlecks für alle Authentifizierungsversuche. Weitere Informationen zur Erkennung von Passwortlecks finden Sie unter Passwortlecks und gehackte Anmeldedaten erkennen.
- Implementieren Sie reCAPTCHA Account Defender, um das Endnutzerverhalten bei Anmeldungen zu beobachten und zusätzliche Signale zu erhalten, die auf ein ATO hinweisen können. Informationen zur Verwendung von reCAPTCHA Account Defender finden Sie unter Kontobezogene betrügerische Aktivitäten erkennen und verhindern.
Optional: Zum Blockieren von Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Punktzahl müssen Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die WAF- und Google Cloud Armor-Einbindung verwenden.
Erstellen Sie Bewertungen für alle Tokens und legen Sie
expectedAction
so fest, dass er dem Wert vonaction
entspricht, den Sie beim Installieren der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von BewertungenSpeichern Sie alle Bewertungs-IDs und vermerken Sie die Bewertungen, die zu betrügerischen Käufen oder Rückbuchungen führen, als
fraudulent
. Informationen zum Annotieren von Bewertungen finden Sie unter Bewertungen mit Anmerkungen versehen.
Strategie zur Betrugsbekämpfung
Nach der Implementierung von reCAPTCHA können Sie Ihre Website mit der folgenden Strategie zur Betrugsbekämpfung vor Credential Stuffing schützen:
-
Erstellen und implementieren Sie ein Reaktionsmodell, das an das wertbasierte Risiko angepasst ist.
Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:
- Wenn Sie den niedrigsten reCAPTCHA-Schwellenwert (0,0) erreichen möchten, informieren Sie den Endnutzer, dass sein Passwort falsch ist.
- Fordern Sie den Endnutzer für den mittleren Schwellenwert von 0,1–0,5 mit Multi-Faktor-Authentifizierung per E-Mail oder SMS an.
- Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Herausforderung fortfahren.
-
Beenden oder unterbrechen Sie die Sitzungen für Endnutzer, die sich erfolgreich authentifiziert haben, aber von der reCAPTCHA-Erkennung von Passwortlecks die Antwort
credentialsLeaked: true
erhalten, und senden Sie eine E-Mail an die Endnutzer, um ihr Passwort zu ändern. -
Achte beim Erstellen von Bewertungen darauf, dass der Wert von
expectedAction
mit dem Wert vonaction
übereinstimmt, den du beim Installieren der wertbasierten Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, lassen Sie keine Authentifizierung zu. - Wenn
accountDefenderAssessment
=PROFILE_MATCH
ist, erlauben Sie dem Endnutzer in Ihrer Bewertung, ohne Herausforderung fortzufahren.
Auszahlung
Die Auszahlung ist eine automatisierte Bedrohung, bei der Angreifer Geld oder hochwertige Gegenstände durch die Nutzung gestohlener, zuvor validierter Zahlungskarten erhalten.
Mindestimplementierung
- Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen der Bezahlvorgang möglich ist. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.
- Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen
Optimale Implementierung
- Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkarteninformationen eingeben. Geben Sie eine Aktion wie
add_gift_card
an. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren. Erstellen Sie Bewertungen für alle Tokens und legen Sie
expectedAction
so fest, dass er dem Wert vonaction
entspricht, den Sie beim Installieren der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von BewertungenSpeichern Sie alle Bewertungs-IDs und vermerken Sie die betrügerischen Transaktionen.
Strategie zur Betrugsbekämpfung
Verwenden Sie nach der Implementierung von reCAPTCHA die folgende Strategie zur Betrugsbekämpfung, um Ihre Website vor Cashback zu schützen:
Installieren Sie reCAPTCHA für den Zahlungs-Workflow auf Ihrer Website. Informationen dazu, wie du deinen Zahlungsworkflow schützen kannst, findest du unter Zahlungsabläufe schützen.
Implementieren Sie ein Antwortmodell und erstellen Sie Bewertungen:
-
Erstellen und implementieren Sie ein Reaktionsmodell, das an das wertbasierte Risiko angepasst ist.
Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:
- Für einen niedrigen bis mittleren Punktzahl-Schwellenwert (0,0–0,5) solltest du kontextbasiertes Risikomanagement verwenden. So kannst du beispielsweise die Anzahl der Versuche begrenzen und Käufe über einen bestimmten Wert blockieren.
- Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Herausforderung fortfahren.
-
Achte beim Erstellen von Bewertungen darauf, dass der Wert von
expectedAction
mit dem Wert vonaction
übereinstimmt, den du beim Installieren der wertbasierten Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, lassen Sie keine Authentifizierung zu. Lasse die Transaktion nach Möglichkeit zum Zeitpunkt des Kaufs laufen, brich sie jedoch später ab, um zu verhindern, dass der Angreifer abgestürzt wird.
-
Kontoerstellung
Die Kontoerstellung ist eine automatisierte Bedrohung, bei der Angreifer mehrere Konten für einen nachfolgenden Missbrauch erstellen.
Mindestimplementierung
Installieren Sie Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen, einschließlich der Funktionen login und forgot my password. Informationen zum Installieren von Websiteschlüsseln mit Kästchen finden Sie unter Websiteschlüssel mit Kästchen (Kästchen-Herausforderung) auf Websites installieren.
Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen
Optimale Implementierung
- Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Konten erstellt werden.
Geben Sie im
action
-Parameter eine Aktion an, z. B.register
. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren. - Empfohlen: Implementieren Sie die reCAPTCHA-Erkennung von Passwortlecks für alle Authentifizierungsversuche. Weitere Informationen zur Erkennung von Passwortlecks finden Sie unter Passwortlecks und gehackte Anmeldedaten erkennen.
- Implementieren Sie reCAPTCHA Account Defender, um zusätzliche Signale zu erhalten, die auf gefälschte Kontoerstellungen hinweisen. Informationen zur Verwendung von reCAPTCHA Account Defender finden Sie unter Kontobezogene betrügerische Aktivitäten erkennen und verhindern.
Optional: Zum Blockieren von Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Punktzahl müssen Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die WAF- und Google Cloud Armor-Einbindung verwenden.
Erstellen Sie Bewertungen für alle Tokens und legen Sie
expectedAction
so fest, dass er dem Wert vonaction
entspricht, den Sie beim Installieren der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von BewertungenSpeichern Sie alle Bewertungs-IDs und vermerken Sie die betrügerischen Transaktionen.
Strategie zur Betrugsbekämpfung
Nach der Implementierung von reCAPTCHA können Sie Ihre Website mit der folgenden Strategie zur Betrugsbekämpfung vor der Kontoerstellung schützen:
-
Erstellen und implementieren Sie ein Reaktionsmodell, das an das wertbasierte Risiko angepasst ist.
Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:
- Für den niedrigsten reCAPTCHA-Schwellenwert (0,0) sollten Sie die Aktionen des Kontos einschränken, bis es weitere Prüfungen auf Betrug durchlaufen hat.
- Fordern Sie den Endnutzer für den mittleren Schwellenwert von 0,1–0,5 mit Multi-Faktor-Authentifizierung per E-Mail oder SMS an.
- Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Herausforderung fortfahren.
- Beenden oder unterbrechen Sie die Sitzungen für Endnutzer, die sich erfolgreich authentifiziert haben, aber von der reCAPTCHA-Passwortleckerkennung die Antwort
credentialsLeaked: true
erhalten, und fordern Sie den Nutzer auf, ein neues Passwort auszuwählen. -
Achte beim Erstellen von Bewertungen darauf, dass der Wert von
expectedAction
mit dem Wert vonaction
übereinstimmt, den du beim Installieren der wertbasierten Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, erlaube keine Kontoregistrierung oder -erstellung. - Wenn
accountDefenderAssessment
=SUSPICIOUS_ACCOUNT_CREATION
ist, schränken Sie bei der Bewertung den Zugriff des Kontos ein, bis eine weitere Validierung durchgeführt werden kann.
Betrügerische Konto- und Adressänderungen
Angreifer könnten im Rahmen von betrügerischen Aktivitäten oder Kontoübernahmen versuchen, Kontodetails wie E-Mail-Adressen, Telefonnummern oder Postanschriften zu ändern.
Mindestimplementierung
Installieren Sie Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen, einschließlich der Funktionen login und forgot my password. Informationen zum Installieren von Websiteschlüsseln mit Kästchen finden Sie unter Websiteschlüssel mit Kästchen (Kästchen-Herausforderung) auf Websites installieren.
Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen
Optimale Implementierung
Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Konten erstellt werden. Geben Sie im Parameter
action
eine Aktion an, z. B.change_telephone
oderchange_physicalmail
. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.Erstellen Sie Bewertungen für alle Tokens und legen Sie
expectedAction
so fest, dass er dem Wert vonaction
entspricht, den Sie beim Installieren der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von BewertungenImplementieren Sie reCAPTCHA Account Defender, um das Endnutzerverhalten bei Anmeldungen zu beobachten und zusätzliche Signale zu erhalten, die auf ein ATO hinweisen können. Informationen zur Verwendung von reCAPTCHA Account Defender finden Sie unter Kontobezogene betrügerische Aktivitäten erkennen und verhindern.
Speichern Sie alle Bewertungs-IDs und vermerken Sie die betrügerischen Transaktionen.
Strategie zur Betrugsbekämpfung
Nach der Implementierung von reCAPTCHA können Sie Ihre Website mit der folgenden Strategie zur Betrugsbekämpfung vor betrügerischen Konto- und Adressänderungen schützen:
Erstellen und implementieren Sie ein Reaktionsmodell, das an das wertbasierte Risiko angepasst ist.
Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:
- Bei einem niedrigen bis mittleren Punktzahl-Schwellenwert (0,0–0,5) sollten Sie den Endnutzer mit Multi-Faktor-Authentifizierung per E-Mail oder SMS auffordern.
- Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Herausforderung fortfahren.
Achte beim Erstellen von Bewertungen darauf, dass der Wert von
expectedAction
mit dem Wert vonaction
übereinstimmt, den du beim Installieren der wertbasierten Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, lassen Sie keine Kontoänderungen zu.Wenn
accountDefenderAssessment
in Ihrer Bewertung nicht das LabelPROFILE_MATCH
hat, fordern Sie den Endnutzer mit der Multi-Faktor-Authentifizierung per E-Mail oder SMS an.
Cracking von Tokens
Das Cracking von Tokens ist eine automatisierte Bedrohung, bei der Angreifer eine Massenauflistung von Gutscheinnummern, Gutscheincodes und Rabatttokens durchführen.
Mindestimplementierung
Installieren Sie Websiteschlüssel mit Kästchen auf allen Seiten, auf denen Endnutzer ihre Geschenkkarteninformationen eingeben müssen. Informationen zum Installieren von Websiteschlüsseln mit Kästchen finden Sie unter Websiteschlüssel mit Kästchen (Kästchen-Herausforderung) auf Websites installieren.
Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen
Optimale Implementierung
Installieren Sie punktzahlbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkarteninformationen eingeben müssen. Geben Sie eine Aktion wie
gift_card_entry
an. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.Optional: Zum Blockieren von Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Punktzahl müssen Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die WAF- und Google Cloud Armor-Einbindung verwenden.
Erstellen Sie Bewertungen für alle Tokens und legen Sie
expectedAction
so fest, dass er dem Wert vonaction
entspricht, den Sie beim Installieren der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von BewertungenSpeichern Sie alle Bewertungs-IDs und vermerken Sie die Bewertungen, die zu betrügerischen Geschenkkarten oder Gutscheinen führen.
Strategie zur Betrugsbekämpfung
Verwenden Sie nach der Implementierung von reCAPTCHA eine der folgenden Strategien zur Betrugsbekämpfung, um Ihre Website vor Token-Cracking zu schützen:
Konfigurieren Sie APIs zur Kartenverwaltung so, dass die reCAPTCHA-Tokens gültig sind und die Punktzahlen über ihrem Grenzwert liegen.
Wenn die Punktzahlen den angegebenen Schwellenwert nicht erreichen oder überschreiten, dürfen Sie keine Geschenkkarte oder Kreditkartenautorisierung vornehmen und dem Endnutzer nicht erlauben, den Gutschein oder die Geschenkkarte zu verwenden. Lasse die Transaktion nach Möglichkeit zum Zeitpunkt des Kaufs laufen, brich sie jedoch später ab, um zu verhindern, dass der Angreifer abgestürzt wird.
Achten Sie beim Erstellen von Bewertungen darauf, dass sie die folgenden Kriterien für eine erfolgreiche Transaktion erfüllen:
- Alle bewerteten Tokens sind gültig und haben einen Wert, der größer als ein bestimmter Grenzwert ist.
- Der Wert von
expectedAction
entspricht dem Wert vonaction
, den du bei der Installation der auf Punktzahlen basierenden Websiteschlüssel auf deinen Webseiten angegeben hast. Informationen zum Überprüfen von Aktionen finden Sie unter Aktionen überprüfen.
Wenn eine Transaktion diese Kriterien nicht erfüllt, führen Sie keine Geschenkkarten- oder Kreditkartenautorisierung aus und erlauben Sie dem Endnutzer nicht, den Gutschein oder die Geschenkkarte zu verwenden. Lasse die Transaktion nach Möglichkeit zum Zeitpunkt des Kaufs laufen, brich sie jedoch später ab, um zu verhindern, dass der Angreifer abgestürzt wird.
Skalen
Die Skalierung ist eine automatisierte Bedrohung, bei der Angreifer eine begrenzte Verfügbarkeit erhalten und mit unfairen Methoden bevorzugte Waren oder Dienstleistungen erhalten.
Mindestimplementierung
- Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkarteninformationen eingeben müssen. Geben Sie im
action
-Parameter eine Aktion an, z. B.add_to_cart
. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren. -
Erstellen Sie Bewertungen für alle Tokens und legen Sie
expectedAction
so fest, dass er dem Wert vonaction
entspricht, den Sie beim Installieren der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen
Optimale Implementierung
Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkarteninformationen eingeben müssen. Geben Sie im
action
-Parameter eine Aktion an, z. B.add_to_cart
. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.Optional: Zum Blockieren von Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Punktzahl müssen Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die WAF- und Google Cloud Armor-Einbindung verwenden.
Erstellen Sie Bewertungen für alle Tokens und legen Sie
expectedAction
so fest, dass er dem Wert vonaction
entspricht, den Sie beim Installieren der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von BewertungenSpeichern Sie alle Bewertungs-IDs und vermerken Sie die betrügerischen Transaktionen.
Strategie zur Betrugsbekämpfung
Verwenden Sie nach der Implementierung von reCAPTCHA die folgende Strategie zur Betrugsbekämpfung, um Ihre Website vor einer Skalierung zu schützen:
Erstellen und implementieren Sie ein Reaktionsmodell, das an das wertbasierte Risiko angepasst ist.
Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:
- Für einen niedrigen bis mittleren Punktzahl-Schwellenwert (0,0–0,5) solltest du kontextbasiertes Risikomanagement verwenden. So kannst du beispielsweise die Anzahl der Versuche begrenzen und Käufe über einen bestimmten Wert blockieren.
- Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Herausforderung fortfahren.
Achte beim Erstellen von Bewertungen darauf, dass der Wert von
expectedAction
mit dem Wert vonaction
übereinstimmt, den du beim Installieren der wertbasierten Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, führen Sie die Geschenkkartenautorisierung nicht aus.
Pendeln
Skewing ist eine automatisierte Bedrohung, bei der Angreifer wiederholte Klicks auf Links, Seitenanfragen oder Formulareinreichungen nutzen, um einen Messwert zu ändern.
Mindestimplementierung
- Installieren Sie punktzahlbasierte Websiteschlüssel auf allen Seiten, auf denen eine Messwertverzerrung möglich ist. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.
- Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen
Optimale Implementierung
Installieren Sie punktzahlbasierte Websiteschlüssel auf allen Seiten, auf denen eine Messwertverzerrung möglich ist. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.
Optional: Zum Blockieren von Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Punktzahl müssen Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die WAF- und Google Cloud Armor-Einbindung verwenden.
Erstellen Sie Bewertungen für alle Tokens und legen Sie
expectedAction
so fest, dass er dem Wert vonaction
entspricht, den Sie beim Installieren der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von BewertungenSpeichern Sie alle Bewertungs-IDs und vermerken Sie die betrügerischen Transaktionen.
Strategie zur Betrugsbekämpfung
Verwenden Sie nach der Implementierung von reCAPTCHA die folgende Strategie zur Betrugsbekämpfung, um Ihre Website vor einer Verzerrung zu schützen:
Erstellen und implementieren Sie ein Reaktionsmodell, das an das wertbasierte Risiko angepasst ist.
Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:
- Für einen niedrigen bis mittleren Punktzahl-Schwellenwert (0,0–0, 5) solltest du kontextbasiertes Risikomanagement verwenden. So kannst du beispielsweise verfolgen, wie oft ein Nutzer auf eine Anzeige geklickt oder die Seite neu geladen hat. Anhand dieser Daten können Sie bestimmen, ob der Messwert gezählt werden soll.
- Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Herausforderung fortfahren.
Schaben
Scraping ist eine automatisierte Bedrohung, bei der Angreifer Websitedaten oder Artefakte automatisch erfassen.
Mindestimplementierung
- Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen sich wichtige Informationen befinden, und auf wichtigen Seiten mit häufigen Endnutzerinteraktionen. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.
- Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen
Optimale Implementierung
Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen sich wichtige Informationen befinden, und auf wichtigen Seiten mit häufigen Endnutzerinteraktionen. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.
Optional: Zum Blockieren von Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Punktzahl müssen Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die WAF- und Google Cloud Armor-Einbindung verwenden.
Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen
Speichern Sie alle Bewertungs-IDs und vermerken Sie die betrügerischen Transaktionen.
Strategie zur Betrugsbekämpfung
Nach der Implementierung von reCAPTCHA können Sie die folgenden Strategien zur Betrugsbekämpfung verwenden, um Ihre Website vor Scraping zu schützen:
- Aktivieren Sie die Blockierung von Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Punktzahl, indem Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die WAF- und Google Cloud Armor-Einbindung verwenden.
- Wenn das Scraping über APIs erfolgt, können Sie zur Entschärfung die Apigee Management APIs verwenden.
CAPTCHA-Niederlage
Die CAPTCHA-Abwehr ist eine automatisierte Bedrohung, bei der Angreifer Automatisierung verwenden, um die Antwort auf visuelle und/oder akustische CAPTCHA-Tests und zugehörige Rätsel zu analysieren und zu ermitteln.
Mindestimplementierung
Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, die Endnutzereingaben, Kontoerstellung, Zahlungsinformationen oder Endnutzerinteraktionen mit Betrugspotenzial beinhalten. Geben Sie im Parameter
action
eine beschreibende Aktion an. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.Erstellen Sie Bewertungen für alle Tokens und legen Sie
expectedAction
so fest, dass er dem Wert vonaction
entspricht, den Sie beim Installieren der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen
Optimale Implementierung
- Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, die Endnutzereingaben, Kontoerstellung, Zahlungsinformationen oder Endnutzerinteraktionen mit Betrugspotenzial beinhalten. Geben Sie im Parameter
action
eine beschreibende Aktion an. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren. Optional: Zum Blockieren von Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Punktzahl müssen Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die WAF- und Google Cloud Armor-Einbindung verwenden.
Erstellen Sie Bewertungen für alle Tokens und legen Sie
expectedAction
so fest, dass er dem Wert vonaction
entspricht, den Sie beim Installieren der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von BewertungenSpeichern Sie alle Bewertungs-IDs und vermerken Sie die Bewertungen, die zu betrügerischen Käufen oder Rückbuchungen führen, als
fraudulent
. Informationen zum Annotieren von Bewertungen finden Sie unter Bewertungen mit Anmerkungen versehen.
Strategie zur Betrugsbekämpfung
Verwenden Sie nach der Implementierung von reCAPTCHA eine der folgenden Strategien zur Betrugsbekämpfung, um Ihre Website vor der CAPTCHA-Abwehr zu schützen:
Implementieren Sie ein Antwortmodell und erstellen Sie Bewertungen:
-
Erstellen und implementieren Sie ein Reaktionsmodell, das an das wertbasierte Risiko angepasst ist.
Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:
- Bei einem niedrigen bis mittleren Punktzahl-Schwellenwert (0,0–0,5) sollten Sie den Endnutzer mit Multi-Faktor-Authentifizierung per E-Mail oder SMS auffordern.
- Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Herausforderung fortfahren.
-
Achte beim Erstellen von Bewertungen darauf, dass der Wert von
expectedAction
mit dem Wert vonaction
übereinstimmt, den du beim Installieren der wertbasierten Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, lassen Sie keine Authentifizierung zu.
-
Wenn Endnutzer Webbrowser verwenden, in denen JavaScript deaktiviert ist, gehen Sie so vor:
- Blockieren Sie diese Endnutzer.
- Weisen Sie die Endnutzer darauf hin, dass zum Fortfahren auf Ihrer Website JavaScript erforderlich ist.
Das
grecaptcha.enterprise.ready
-Promise muss erfüllt sein, um zu verhindern, dass Browser von Endnutzern, die das Laden des Skripts von Google blockieren, das Laden des Skripts blockieren. Dies bedeutet, dass reCAPTCHA vollständig geladen ist und kein Fehler aufgetreten ist.Bei Nur-Web-APIs empfehlen wir, das reCAPTCHA-Token oder das reCAPTCHA-Bewertungsergebnis an die Back-End API zu übergeben und die API-Aktion dann nur zuzulassen, wenn das reCAPTCHA-Token gültig ist und einen Punktzahl-Schwellenwert erreicht. Dadurch wird sichergestellt, dass der Endnutzer die API nicht verwendet, ohne die Website zu durchlaufen.
Nächste Schritte
- Auf Punktzahlen basierende Websiteschlüssel installieren
- Kästchen-Websiteschlüssel installieren:
- Erstellen Sie Bewertungen.
- Bewertungen annotieren.
- Implementieren Sie die Erkennung von Passwortlecks.
- Account Defender implementieren