Best Practices zum Schutz vor automatisierten Bedrohungen

In diesem Dokument werden die empfohlenen Implementierungen von reCAPTCHA und Strategien zur Betrugsbekämpfung zum Schutz vor kritischen automatisierten Bedrohungen (OWASP Automated Threats (OAT) to Web Applications) beschrieben. Unternehmensarchitekten und Technologie-Stakeholder können diese Informationen prüfen, um eine fundierte Entscheidung über die reCAPTCHA-Implementierung und die Strategie zur Betrugsbekämpfung für ihren Anwendungsfall zu treffen.

Dieses Dokument enthält die folgenden Informationen zu den einzelnen Bedrohungsarten:

  • Optimale Implementierung von reCAPTCHA. Diese Implementierung ist mit den relevanten reCAPTCHA-Funktionen für den besten Betrugsschutz konzipiert.

  • Minimale Implementierung von reCAPTCHA. Diese Implementierung ist auf ein Minimum an Betrugsschutz ausgelegt.

  • Empfohlene Strategien zur Betrugsbekämpfung

Wählen Sie die Implementierungsstrategie und Strategie zur Betrugsbekämpfung aus, die am besten zu Ihrem Anwendungsfall passt. Die folgenden Faktoren können Ihre Strategie zur Implementierung und Betrugsbekämpfung beeinflussen:

  • Anforderungen und Fähigkeiten der Organisation zur Betrugsbekämpfung.
  • In der bestehenden Umgebung der Organisation.

Informationen zur empfohlenen allgemeinen Implementierung von reCAPTCHA finden Sie unter Best Practices für die Verwendung von reCAPTCHA.

Weitere Informationen zu Strategien zur Betrugsbekämpfung für Ihren Anwendungsfall erhalten Sie von unserem Vertriebsteam.

Kardierung

Carding ist eine automatisierte Bedrohung, bei der Angreifer versuchen, die Gültigkeit von im Bulk gestohlenen Zahlungskartendaten mehrfach zu autorisieren.

Mindestimplementierung

  1. Installieren Sie Websiteschlüssel mit Kästchen auf allen Seiten, auf denen Endnutzer ihre Kreditkartendaten eingeben müssen. Informationen zum Installieren von Websiteschlüsseln mit Kästchen finden Sie unter Websiteschlüssel mit Kästchen (Kästchen-Herausforderung) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie punktzahlbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Kreditkartendaten eingeben müssen. Geben Sie im action-Parameter eine Aktion an, z. B. card_entry. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Installieren Sie reCAPTCHA für den Zahlungs-Workflow auf Ihrer Website. Informationen dazu, wie du deinen Zahlungsworkflow schützen kannst, findest du unter Zahlungsabläufe schützen.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht, den Sie beim Installieren der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen

  4. Speichern Sie alle Bewertungs-IDs und vermerken Sie die Bewertungen, die zu betrügerischen Käufen oder Rückbuchungen führen, als fraudulent. Informationen zum Annotieren von Bewertungen finden Sie unter Bewertungen mit Anmerkungen versehen.

Strategie zur Betrugsbekämpfung

Verwenden Sie nach der Implementierung von reCAPTCHA eine der folgenden Strategien zur Betrugsbekämpfung, um Ihre Website vor Carding zu schützen:

  • Installieren Sie reCAPTCHA für den Zahlungs-Workflow auf Ihrer Website. Informationen dazu, wie du deinen Zahlungsworkflow schützen kannst, findest du unter Zahlungsabläufe schützen.

  • Konfigurieren Sie APIs zur Kartenverwaltung so, dass die reCAPTCHA-Tokens gültig sind und die Punktzahlen über ihrem Grenzwert liegen.

    Wenn die Punktzahlen den angegebenen Grenzwert nicht erreichen oder überschreiten, führe keine Kartenautorisierung aus und erlaube dem Endnutzer nicht, die Karte zu verwenden. Lasse die Transaktion nach Möglichkeit zum Zeitpunkt des Kaufs laufen, brich sie jedoch später ab, um zu verhindern, dass der Angreifer abgestürzt wird.

  • Achten Sie beim Erstellen von Bewertungen darauf, dass sie die folgenden Kriterien für eine erfolgreiche Transaktion erfüllen:

    • Alle bewerteten Tokens sind gültig und haben einen Wert, der größer als ein bestimmter Grenzwert ist.
    • Der Wert von expectedAction entspricht dem Wert von action, den du bei der Installation der auf Punktzahlen basierenden Websiteschlüssel auf deinen Webseiten angegeben hast. Informationen zum Überprüfen von Aktionen finden Sie unter Aktionen überprüfen.

    Wenn eine Transaktion diese Kriterien nicht erfüllt, führe keine Kartenautorisierung durch und erlaube dem Endnutzer nicht, die Karte zu verwenden. Lasse die Transaktion nach Möglichkeit zum Zeitpunkt des Kaufs laufen, brich sie jedoch später ab, um zu verhindern, dass der Angreifer abgestürzt wird.

Knacken von Karten

Das Knacken von Karten ist eine automatisierte Bedrohung, bei der Angreifer fehlende Werte für das Startdatum, das Ablaufdatum und Sicherheitscodes für gestohlene Zahlungskartendaten identifizieren, indem sie verschiedene Werte ausprobieren.

Mindestimplementierung

  1. Installieren Sie Websiteschlüssel mit Kästchen auf allen Seiten, auf denen Endnutzer ihre Zahlungsdetails eingeben müssen, einschließlich der Funktionen Zur Kasse und Zahlungsmethode hinzufügen. Informationen zum Installieren von Websiteschlüsseln mit Kästchen finden Sie unter Websiteschlüssel mit Kästchen (Kästchen-Herausforderung) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie punktbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Zahlungsdetails eingeben müssen. Geben Sie im action-Parameter eine Aktion an, z. B. checkout oder add_pmtmethod. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Installieren Sie reCAPTCHA für den Zahlungs-Workflow auf Ihrer Website. Informationen dazu, wie du deinen Zahlungsworkflow schützen kannst, findest du unter Zahlungsabläufe schützen.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht, den Sie beim Installieren der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen

  4. Speichern Sie alle Bewertungs-IDs und vermerken Sie die Bewertungen, die zu betrügerischen Käufen oder Rückbuchungen führen, als fraudulent. Informationen zum Annotieren von Bewertungen finden Sie unter Bewertungen mit Anmerkungen versehen.

Strategie zur Betrugsbekämpfung

Verwenden Sie nach der Implementierung von reCAPTCHA eine der folgenden Strategien zur Betrugsbekämpfung, um Ihre Website vor Karten-Cracking zu schützen:

  • Installieren Sie reCAPTCHA für den Zahlungs-Workflow auf Ihrer Website. Informationen dazu, wie du deinen Zahlungsworkflow schützen kannst, findest du unter Zahlungsabläufe schützen.

  • Implementieren Sie ein Antwortmodell und erstellen Sie Bewertungen:

    1. Erstellen und implementieren Sie ein Reaktionsmodell, das an das wertbasierte Risiko angepasst ist.

      Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

      • Für einen niedrigen bis mittleren Punktzahl-Schwellenwert (0,0–0,5) solltest du kontextbasiertes Risikomanagement verwenden. So kannst du beispielsweise die Anzahl der Versuche begrenzen und Käufe über einen bestimmten Wert blockieren.
      • Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Herausforderung fortfahren.

    2. Achte beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den du beim Installieren der wertbasierten Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, führen Sie keine Kartenautorisierung aus und erlauben Sie dem Endnutzer nicht, die Karte zu verwenden. Lasse die Transaktion nach Möglichkeit zum Zeitpunkt des Kaufs laufen, brich sie jedoch später ab, um zu verhindern, dass der Angreifer abgestürzt wird.

Cracking von Anmeldedaten

Das Cracking von Anmeldedaten ist eine automatisierte Bedrohung, bei der Angreifer gültige Anmeldedaten identifizieren, indem sie unterschiedliche Werte für Nutzernamen und Passwörter ausprobieren.

Mindestimplementierung

  1. Installieren Sie Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen, einschließlich der Funktionen login und forgot my password. Informationen zum Installieren von Websiteschlüsseln mit Kästchen finden Sie unter Websiteschlüssel mit Kästchen (Kästchen-Herausforderung) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen. Geben Sie im action-Parameter eine Aktion an, z. B. login oder authenticate. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Empfohlen: Implementieren Sie die reCAPTCHA-Erkennung von Passwortlecks für alle Authentifizierungsversuche. Weitere Informationen zur Erkennung von Passwortlecks finden Sie unter Passwortlecks und gehackte Anmeldedaten erkennen.
  3. Optional: Zum Blockieren von Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Punktzahl müssen Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die WAF- und Google Cloud Armor-Einbindung verwenden.
  4. Implementieren Sie reCAPTCHA Account Defender, um das Endnutzerverhalten bei Anmeldungen zu beobachten und zusätzliche Signale zu erhalten, die auf ein ATO hinweisen können. Informationen zur Verwendung von reCAPTCHA Account Defender finden Sie unter Kontobezogene betrügerische Aktivitäten erkennen und verhindern.
  5. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht, den Sie beim Installieren der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen
  6. Speichern Sie alle Prüfungs-IDs und vermerken Sie die Bewertung, die betrügerisch erscheint, z. B. Kontoübernahmen (ATOs) oder andere betrügerische Aktivitäten. Informationen zum Annotieren von Bewertungen finden Sie unter Bewertungen mit Anmerkungen versehen.

Strategie zur Betrugsbekämpfung

Nach der Implementierung von reCAPTCHA können Sie Ihre Website mit der folgenden Strategie zur Betrugsbekämpfung vor Cracking von Anmeldedaten schützen:

  1. Erstellen und implementieren Sie ein Reaktionsmodell, das an das wertbasierte Risiko angepasst ist.

    Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

    • Bei einem niedrigen bis mittleren Punktzahl-Schwellenwert (0,0–0,5) sollten Sie den Endnutzer mit Multi-Faktor-Authentifizierung per E-Mail oder SMS auffordern.
    • Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Herausforderung fortfahren.
  2. Beenden oder unterbrechen Sie die Sitzungen für Endnutzer, die sich erfolgreich authentifiziert haben, aber von der reCAPTCHA-Erkennung von Passwortlecks die Antwort credentialsLeaked: true erhalten, und senden Sie eine E-Mail an die Endnutzer, um ihr Passwort zu ändern.
  3. Achte beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den du beim Installieren der wertbasierten Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, lassen Sie keine Authentifizierung zu.

Credential Stuffing

Credential Stuffing ist eine automatisierte Bedrohung, bei der Angreifer mithilfe von Massenanmeldung versuchen, die Gültigkeit gestohlener Nutzername/Passwort-Paare zu überprüfen.

Mindestimplementierung

  1. Installieren Sie Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen, einschließlich der Funktionen login und forgot my password. Informationen zum Installieren von Websiteschlüsseln mit Kästchen finden Sie unter Websiteschlüssel mit Kästchen (Kästchen-Herausforderung) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen. Geben Sie im action-Parameter eine Aktion an, z. B. login oder authenticate. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Empfohlen: Implementieren Sie die reCAPTCHA-Erkennung von Passwortlecks für alle Authentifizierungsversuche. Weitere Informationen zur Erkennung von Passwortlecks finden Sie unter Passwortlecks und gehackte Anmeldedaten erkennen.
  3. Implementieren Sie reCAPTCHA Account Defender, um das Endnutzerverhalten bei Anmeldungen zu beobachten und zusätzliche Signale zu erhalten, die auf ein ATO hinweisen können. Informationen zur Verwendung von reCAPTCHA Account Defender finden Sie unter Kontobezogene betrügerische Aktivitäten erkennen und verhindern.

  4. Optional: Zum Blockieren von Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Punktzahl müssen Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die WAF- und Google Cloud Armor-Einbindung verwenden.

  5. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht, den Sie beim Installieren der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen

  6. Speichern Sie alle Bewertungs-IDs und vermerken Sie die Bewertungen, die zu betrügerischen Käufen oder Rückbuchungen führen, als fraudulent. Informationen zum Annotieren von Bewertungen finden Sie unter Bewertungen mit Anmerkungen versehen.

Strategie zur Betrugsbekämpfung

Nach der Implementierung von reCAPTCHA können Sie Ihre Website mit der folgenden Strategie zur Betrugsbekämpfung vor Credential Stuffing schützen:

  1. Erstellen und implementieren Sie ein Reaktionsmodell, das an das wertbasierte Risiko angepasst ist.

    Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

    • Wenn Sie den niedrigsten reCAPTCHA-Schwellenwert (0,0) erreichen möchten, informieren Sie den Endnutzer, dass sein Passwort falsch ist.
    • Fordern Sie den Endnutzer für den mittleren Schwellenwert von 0,1–0,5 mit Multi-Faktor-Authentifizierung per E-Mail oder SMS an.
    • Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Herausforderung fortfahren.
  2. Beenden oder unterbrechen Sie die Sitzungen für Endnutzer, die sich erfolgreich authentifiziert haben, aber von der reCAPTCHA-Erkennung von Passwortlecks die Antwort credentialsLeaked: true erhalten, und senden Sie eine E-Mail an die Endnutzer, um ihr Passwort zu ändern.
  3. Achte beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den du beim Installieren der wertbasierten Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, lassen Sie keine Authentifizierung zu.
  4. Wenn accountDefenderAssessment=PROFILE_MATCH ist, erlauben Sie dem Endnutzer in Ihrer Bewertung, ohne Herausforderung fortzufahren.

Auszahlung

Die Auszahlung ist eine automatisierte Bedrohung, bei der Angreifer Geld oder hochwertige Gegenstände durch die Nutzung gestohlener, zuvor validierter Zahlungskarten erhalten.

Mindestimplementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen der Bezahlvorgang möglich ist. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkarteninformationen eingeben. Geben Sie eine Aktion wie add_gift_card an. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht, den Sie beim Installieren der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen

  3. Speichern Sie alle Bewertungs-IDs und vermerken Sie die betrügerischen Transaktionen.

Strategie zur Betrugsbekämpfung

Verwenden Sie nach der Implementierung von reCAPTCHA die folgende Strategie zur Betrugsbekämpfung, um Ihre Website vor Cashback zu schützen:

  • Installieren Sie reCAPTCHA für den Zahlungs-Workflow auf Ihrer Website. Informationen dazu, wie du deinen Zahlungsworkflow schützen kannst, findest du unter Zahlungsabläufe schützen.

  • Implementieren Sie ein Antwortmodell und erstellen Sie Bewertungen:

    1. Erstellen und implementieren Sie ein Reaktionsmodell, das an das wertbasierte Risiko angepasst ist.

      Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

      • Für einen niedrigen bis mittleren Punktzahl-Schwellenwert (0,0–0,5) solltest du kontextbasiertes Risikomanagement verwenden. So kannst du beispielsweise die Anzahl der Versuche begrenzen und Käufe über einen bestimmten Wert blockieren.
      • Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Herausforderung fortfahren.
    2. Achte beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den du beim Installieren der wertbasierten Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, lassen Sie keine Authentifizierung zu. Lasse die Transaktion nach Möglichkeit zum Zeitpunkt des Kaufs laufen, brich sie jedoch später ab, um zu verhindern, dass der Angreifer abgestürzt wird.

Kontoerstellung

Die Kontoerstellung ist eine automatisierte Bedrohung, bei der Angreifer mehrere Konten für einen nachfolgenden Missbrauch erstellen.

Mindestimplementierung

  1. Installieren Sie Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen, einschließlich der Funktionen login und forgot my password. Informationen zum Installieren von Websiteschlüsseln mit Kästchen finden Sie unter Websiteschlüssel mit Kästchen (Kästchen-Herausforderung) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Konten erstellt werden. Geben Sie im action-Parameter eine Aktion an, z. B. register. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Empfohlen: Implementieren Sie die reCAPTCHA-Erkennung von Passwortlecks für alle Authentifizierungsversuche. Weitere Informationen zur Erkennung von Passwortlecks finden Sie unter Passwortlecks und gehackte Anmeldedaten erkennen.
  3. Implementieren Sie reCAPTCHA Account Defender, um zusätzliche Signale zu erhalten, die auf gefälschte Kontoerstellungen hinweisen. Informationen zur Verwendung von reCAPTCHA Account Defender finden Sie unter Kontobezogene betrügerische Aktivitäten erkennen und verhindern.

  4. Optional: Zum Blockieren von Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Punktzahl müssen Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die WAF- und Google Cloud Armor-Einbindung verwenden.

  5. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht, den Sie beim Installieren der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen

  6. Speichern Sie alle Bewertungs-IDs und vermerken Sie die betrügerischen Transaktionen.

Strategie zur Betrugsbekämpfung

Nach der Implementierung von reCAPTCHA können Sie Ihre Website mit der folgenden Strategie zur Betrugsbekämpfung vor der Kontoerstellung schützen:

  1. Erstellen und implementieren Sie ein Reaktionsmodell, das an das wertbasierte Risiko angepasst ist.

    Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

    • Für den niedrigsten reCAPTCHA-Schwellenwert (0,0) sollten Sie die Aktionen des Kontos einschränken, bis es weitere Prüfungen auf Betrug durchlaufen hat.
    • Fordern Sie den Endnutzer für den mittleren Schwellenwert von 0,1–0,5 mit Multi-Faktor-Authentifizierung per E-Mail oder SMS an.
    • Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Herausforderung fortfahren.
  2. Beenden oder unterbrechen Sie die Sitzungen für Endnutzer, die sich erfolgreich authentifiziert haben, aber von der reCAPTCHA-Passwortleckerkennung die Antwort credentialsLeaked: true erhalten, und fordern Sie den Nutzer auf, ein neues Passwort auszuwählen.
  3. Achte beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den du beim Installieren der wertbasierten Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, erlaube keine Kontoregistrierung oder -erstellung.
  4. Wenn accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION ist, schränken Sie bei der Bewertung den Zugriff des Kontos ein, bis eine weitere Validierung durchgeführt werden kann.

Betrügerische Konto- und Adressänderungen

Angreifer könnten im Rahmen von betrügerischen Aktivitäten oder Kontoübernahmen versuchen, Kontodetails wie E-Mail-Adressen, Telefonnummern oder Postanschriften zu ändern.

Mindestimplementierung

  1. Installieren Sie Kästchen-Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Anmeldedaten eingeben müssen, einschließlich der Funktionen login und forgot my password. Informationen zum Installieren von Websiteschlüsseln mit Kästchen finden Sie unter Websiteschlüssel mit Kästchen (Kästchen-Herausforderung) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Konten erstellt werden. Geben Sie im Parameter action eine Aktion an, z. B. change_telephone oder change_physicalmail. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht, den Sie beim Installieren der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen

  3. Implementieren Sie reCAPTCHA Account Defender, um das Endnutzerverhalten bei Anmeldungen zu beobachten und zusätzliche Signale zu erhalten, die auf ein ATO hinweisen können. Informationen zur Verwendung von reCAPTCHA Account Defender finden Sie unter Kontobezogene betrügerische Aktivitäten erkennen und verhindern.

  4. Speichern Sie alle Bewertungs-IDs und vermerken Sie die betrügerischen Transaktionen.

Strategie zur Betrugsbekämpfung

Nach der Implementierung von reCAPTCHA können Sie Ihre Website mit der folgenden Strategie zur Betrugsbekämpfung vor betrügerischen Konto- und Adressänderungen schützen:

  1. Erstellen und implementieren Sie ein Reaktionsmodell, das an das wertbasierte Risiko angepasst ist.

    Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

    • Bei einem niedrigen bis mittleren Punktzahl-Schwellenwert (0,0–0,5) sollten Sie den Endnutzer mit Multi-Faktor-Authentifizierung per E-Mail oder SMS auffordern.
    • Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Herausforderung fortfahren.

  2. Achte beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den du beim Installieren der wertbasierten Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, lassen Sie keine Kontoänderungen zu.

  3. Wenn accountDefenderAssessment in Ihrer Bewertung nicht das Label PROFILE_MATCH hat, fordern Sie den Endnutzer mit der Multi-Faktor-Authentifizierung per E-Mail oder SMS an.

Cracking von Tokens

Das Cracking von Tokens ist eine automatisierte Bedrohung, bei der Angreifer eine Massenauflistung von Gutscheinnummern, Gutscheincodes und Rabatttokens durchführen.

Mindestimplementierung

  1. Installieren Sie Websiteschlüssel mit Kästchen auf allen Seiten, auf denen Endnutzer ihre Geschenkkarteninformationen eingeben müssen. Informationen zum Installieren von Websiteschlüsseln mit Kästchen finden Sie unter Websiteschlüssel mit Kästchen (Kästchen-Herausforderung) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie punktzahlbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkarteninformationen eingeben müssen. Geben Sie eine Aktion wie gift_card_entry an. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Optional: Zum Blockieren von Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Punktzahl müssen Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die WAF- und Google Cloud Armor-Einbindung verwenden.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht, den Sie beim Installieren der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen

  4. Speichern Sie alle Bewertungs-IDs und vermerken Sie die Bewertungen, die zu betrügerischen Geschenkkarten oder Gutscheinen führen.

Strategie zur Betrugsbekämpfung

Verwenden Sie nach der Implementierung von reCAPTCHA eine der folgenden Strategien zur Betrugsbekämpfung, um Ihre Website vor Token-Cracking zu schützen:

  • Konfigurieren Sie APIs zur Kartenverwaltung so, dass die reCAPTCHA-Tokens gültig sind und die Punktzahlen über ihrem Grenzwert liegen.

    Wenn die Punktzahlen den angegebenen Schwellenwert nicht erreichen oder überschreiten, dürfen Sie keine Geschenkkarte oder Kreditkartenautorisierung vornehmen und dem Endnutzer nicht erlauben, den Gutschein oder die Geschenkkarte zu verwenden. Lasse die Transaktion nach Möglichkeit zum Zeitpunkt des Kaufs laufen, brich sie jedoch später ab, um zu verhindern, dass der Angreifer abgestürzt wird.

  • Achten Sie beim Erstellen von Bewertungen darauf, dass sie die folgenden Kriterien für eine erfolgreiche Transaktion erfüllen:

    • Alle bewerteten Tokens sind gültig und haben einen Wert, der größer als ein bestimmter Grenzwert ist.
    • Der Wert von expectedAction entspricht dem Wert von action, den du bei der Installation der auf Punktzahlen basierenden Websiteschlüssel auf deinen Webseiten angegeben hast. Informationen zum Überprüfen von Aktionen finden Sie unter Aktionen überprüfen.

    Wenn eine Transaktion diese Kriterien nicht erfüllt, führen Sie keine Geschenkkarten- oder Kreditkartenautorisierung aus und erlauben Sie dem Endnutzer nicht, den Gutschein oder die Geschenkkarte zu verwenden. Lasse die Transaktion nach Möglichkeit zum Zeitpunkt des Kaufs laufen, brich sie jedoch später ab, um zu verhindern, dass der Angreifer abgestürzt wird.

Skalen

Die Skalierung ist eine automatisierte Bedrohung, bei der Angreifer eine begrenzte Verfügbarkeit erhalten und mit unfairen Methoden bevorzugte Waren oder Dienstleistungen erhalten.

Mindestimplementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkarteninformationen eingeben müssen. Geben Sie im action-Parameter eine Aktion an, z. B. add_to_cart. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht, den Sie beim Installieren der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen Endnutzer ihre Geschenkkarteninformationen eingeben müssen. Geben Sie im action-Parameter eine Aktion an, z. B. add_to_cart. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Optional: Zum Blockieren von Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Punktzahl müssen Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die WAF- und Google Cloud Armor-Einbindung verwenden.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht, den Sie beim Installieren der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen

  4. Speichern Sie alle Bewertungs-IDs und vermerken Sie die betrügerischen Transaktionen.

Strategie zur Betrugsbekämpfung

Verwenden Sie nach der Implementierung von reCAPTCHA die folgende Strategie zur Betrugsbekämpfung, um Ihre Website vor einer Skalierung zu schützen:

  1. Erstellen und implementieren Sie ein Reaktionsmodell, das an das wertbasierte Risiko angepasst ist.

    Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

    • Für einen niedrigen bis mittleren Punktzahl-Schwellenwert (0,0–0,5) solltest du kontextbasiertes Risikomanagement verwenden. So kannst du beispielsweise die Anzahl der Versuche begrenzen und Käufe über einen bestimmten Wert blockieren.
    • Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Herausforderung fortfahren.

  2. Achte beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den du beim Installieren der wertbasierten Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, führen Sie die Geschenkkartenautorisierung nicht aus.

Pendeln

Skewing ist eine automatisierte Bedrohung, bei der Angreifer wiederholte Klicks auf Links, Seitenanfragen oder Formulareinreichungen nutzen, um einen Messwert zu ändern.

Mindestimplementierung

  1. Installieren Sie punktzahlbasierte Websiteschlüssel auf allen Seiten, auf denen eine Messwertverzerrung möglich ist. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie punktzahlbasierte Websiteschlüssel auf allen Seiten, auf denen eine Messwertverzerrung möglich ist. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Optional: Zum Blockieren von Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Punktzahl müssen Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die WAF- und Google Cloud Armor-Einbindung verwenden.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht, den Sie beim Installieren der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen

  4. Speichern Sie alle Bewertungs-IDs und vermerken Sie die betrügerischen Transaktionen.

Strategie zur Betrugsbekämpfung

Verwenden Sie nach der Implementierung von reCAPTCHA die folgende Strategie zur Betrugsbekämpfung, um Ihre Website vor einer Verzerrung zu schützen:

Erstellen und implementieren Sie ein Reaktionsmodell, das an das wertbasierte Risiko angepasst ist.

Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

  • Für einen niedrigen bis mittleren Punktzahl-Schwellenwert (0,0–0, 5) solltest du kontextbasiertes Risikomanagement verwenden. So kannst du beispielsweise verfolgen, wie oft ein Nutzer auf eine Anzeige geklickt oder die Seite neu geladen hat. Anhand dieser Daten können Sie bestimmen, ob der Messwert gezählt werden soll.
  • Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Herausforderung fortfahren.

Schaben

Scraping ist eine automatisierte Bedrohung, bei der Angreifer Websitedaten oder Artefakte automatisch erfassen.

Mindestimplementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen sich wichtige Informationen befinden, und auf wichtigen Seiten mit häufigen Endnutzerinteraktionen. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.
  2. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, auf denen sich wichtige Informationen befinden, und auf wichtigen Seiten mit häufigen Endnutzerinteraktionen. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Optional: Zum Blockieren von Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Punktzahl müssen Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die WAF- und Google Cloud Armor-Einbindung verwenden.

  3. Erstellen Sie Bewertungen für alle Tokens. Informationen zum Erstellen von Bewertungen

  4. Speichern Sie alle Bewertungs-IDs und vermerken Sie die betrügerischen Transaktionen.

Strategie zur Betrugsbekämpfung

Nach der Implementierung von reCAPTCHA können Sie die folgenden Strategien zur Betrugsbekämpfung verwenden, um Ihre Website vor Scraping zu schützen:

CAPTCHA-Niederlage

Die CAPTCHA-Abwehr ist eine automatisierte Bedrohung, bei der Angreifer Automatisierung verwenden, um die Antwort auf visuelle und/oder akustische CAPTCHA-Tests und zugehörige Rätsel zu analysieren und zu ermitteln.

Mindestimplementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, die Endnutzereingaben, Kontoerstellung, Zahlungsinformationen oder Endnutzerinteraktionen mit Betrugspotenzial beinhalten. Geben Sie im Parameter action eine beschreibende Aktion an. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht, den Sie beim Installieren der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen

Optimale Implementierung

  1. Installieren Sie wertbasierte Websiteschlüssel auf allen Seiten, die Endnutzereingaben, Kontoerstellung, Zahlungsinformationen oder Endnutzerinteraktionen mit Betrugspotenzial beinhalten. Geben Sie im Parameter action eine beschreibende Aktion an. Informationen zum Installieren von punktbasierten Websiteschlüsseln finden Sie unter Bewertungsbasierte Websiteschlüssel (keine Abfrage) auf Websites installieren.

  2. Optional: Zum Blockieren von Interaktionen mit hohem Volumen und niedriger reCAPTCHA-Punktzahl müssen Sie reCAPTCHA in eine Web Application Firewall (WAF) einbinden. Sie können beispielsweise reCAPTCHA für die WAF- und Google Cloud Armor-Einbindung verwenden.

  3. Erstellen Sie Bewertungen für alle Tokens und legen Sie expectedAction so fest, dass er dem Wert von action entspricht, den Sie beim Installieren der wertbasierten Websiteschlüssel angegeben haben. Informationen zum Erstellen von Bewertungen

  4. Speichern Sie alle Bewertungs-IDs und vermerken Sie die Bewertungen, die zu betrügerischen Käufen oder Rückbuchungen führen, als fraudulent. Informationen zum Annotieren von Bewertungen finden Sie unter Bewertungen mit Anmerkungen versehen.

Strategie zur Betrugsbekämpfung

Verwenden Sie nach der Implementierung von reCAPTCHA eine der folgenden Strategien zur Betrugsbekämpfung, um Ihre Website vor der CAPTCHA-Abwehr zu schützen:

  • Implementieren Sie ein Antwortmodell und erstellen Sie Bewertungen:

    1. Erstellen und implementieren Sie ein Reaktionsmodell, das an das wertbasierte Risiko angepasst ist.

      Das folgende Beispiel zeigt ein Beispiel für ein Antwortmodell:

      • Bei einem niedrigen bis mittleren Punktzahl-Schwellenwert (0,0–0,5) sollten Sie den Endnutzer mit Multi-Faktor-Authentifizierung per E-Mail oder SMS auffordern.
      • Für den höchsten Punktzahl-Schwellenwert (> 0,5) muss der Endnutzer ohne Herausforderung fortfahren.
    2. Achte beim Erstellen von Bewertungen darauf, dass der Wert von expectedAction mit dem Wert von action übereinstimmt, den du beim Installieren der wertbasierten Websiteschlüssel auf deinen Webseiten angegeben hast. Wenn sie nicht übereinstimmen, lassen Sie keine Authentifizierung zu.

  • Wenn Endnutzer Webbrowser verwenden, in denen JavaScript deaktiviert ist, gehen Sie so vor:

    1. Blockieren Sie diese Endnutzer.
    2. Weisen Sie die Endnutzer darauf hin, dass zum Fortfahren auf Ihrer Website JavaScript erforderlich ist.

  • Das grecaptcha.enterprise.ready-Promise muss erfüllt sein, um zu verhindern, dass Browser von Endnutzern, die das Laden des Skripts von Google blockieren, das Laden des Skripts blockieren. Dies bedeutet, dass reCAPTCHA vollständig geladen ist und kein Fehler aufgetreten ist.

  • Bei Nur-Web-APIs empfehlen wir, das reCAPTCHA-Token oder das reCAPTCHA-Bewertungsergebnis an die Back-End API zu übergeben und die API-Aktion dann nur zuzulassen, wenn das reCAPTCHA-Token gültig ist und einen Punktzahl-Schwellenwert erreicht. Dadurch wird sichergestellt, dass der Endnutzer die API nicht verwendet, ohne die Website zu durchlaufen.

Nächste Schritte