Esta página foi traduzida pela API Cloud Translation.

Práticas recomendadas para proteção contra ameaças automatizadas

Neste documento, descrevemos as implementações recomendadas de reCAPTCHA e estratégias de mitigação de fraudes para se defender contra ameaças automatizadas críticas (Ameaças automatizadas da OWASP (OAT, na sigla em inglês) a aplicativos da Web). Os arquitetos corporativos e as partes interessadas em tecnologia podem analisar essas informações para tomar uma decisão informada sobre a implementação do reCAPTCHA e a estratégia de mitigação de fraudes para os próprios casos de uso.

Este documento contém as seguintes informações para cada tipo de ameaça:

Implementação ideal do reCAPTCHA. Essa implementação foi projetada com os recursos relevantes do reCAPTCHA para garantir a melhor proteção contra fraudes.
Implementação mínima do reCAPTCHA. Essa implementação é projetada para oferecer o mínimo de proteção contra fraudes.
Estratégias recomendadas de mitigação de fraudes.

Escolha a estratégia de implementação e redução de fraudes mais adequada ao seu caso de uso. Os fatores a seguir podem influenciar a implementação e a estratégia de redução de fraudes escolhida:

Necessidades e recursos antifraude da organização.
O ambiente atual da organização.

Para mais informações sobre a implementação geral recomendada do reCAPTCHA, consulte Práticas recomendadas para usar o reCAPTCHA.

Para mais informações sobre as estratégias de redução de fraudes para seu caso de uso, entre em contato com nossa equipe de vendas.

Cardio

Carding é uma ameaça automatizada em que os invasores fazem várias tentativas de autorização de pagamento para verificar a validade dos dados de cartões roubados em massa.

Implementação mínima

Instale as chaves de site com caixas de seleção em todas as páginas em que os usuários finais precisam inserir as informações de cartão de crédito. Para aprender a instalar chaves de sites com caixas de seleção, consulte Instalar chaves de sites com caixas de seleção (desafio de caixas de seleção).

Observação:as chaves do site com caixa de seleção aumentam o atrito para o usuário e podem afetar as taxas de conversão.
Criar avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

Instalar chaves de site baseadas em pontuação em todas as páginas em que os usuários finais precisam inserir as informações de cartão de crédito. Especifique uma ação no parâmetro action, como card_entry. Para aprender a instalar chaves com base em pontuação, consulte Instalar chaves com base em pontuação (sem desafio) em sites.
Instale o reCAPTCHA para o fluxo de trabalho de pagamento no seu site. Para saber como proteger seu fluxo de trabalho de pagamento, consulte Proteger fluxos de trabalho de pagamento.
Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves do site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
Salve todos os IDs de avaliação e anote as avaliações que se transformam em compras ou estornos fraudulentos como fraudulent. Para saber como anotar avaliações, consulte Fazer anotações em uma avaliação.

Estratégia de redução de fraudes

Depois de implementar o reCAPTCHA, use uma das seguintes estratégias de mitigação de fraudes para proteger seu site contra cardagem:

Instale o reCAPTCHA para o fluxo de trabalho de pagamento no seu site. Para saber como proteger seu fluxo de trabalho de pagamento, consulte Proteger fluxos de trabalho de pagamento.
Configure as APIs de gerenciamento de cartões para garantir que os tokens reCAPTCHA sejam válidos e as pontuações sejam maiores que o valor limite.

Se as pontuações não atingirem ou excederem o valor limite especificado, não execute uma autorização de cartão nem permita que o usuário final use o cartão. Sempre que possível, permita que a transação prossiga no momento da compra, mas a cancele mais tarde para evitar que o invasor seja instruído.
Ao criar avaliações, verifique se elas atendem aos seguintes critérios para o sucesso da transação:
- Todos os tokens avaliados são válidos e têm uma pontuação maior que o limite especificado.
- O valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves do site com base em pontuação nas suas páginas da Web. Para saber como verificar ações, consulte Verificar ações.
Se uma transação não atender a esses critérios, não execute uma autorização de cartão nem permita que o usuário final use o cartão. Sempre que possível, permita que a transação prossiga no momento da compra, mas a cancele mais tarde para evitar que o invasor seja instruído.

Quebra de cartão

A quebra de cartão é uma ameaça automatizada em que os invasores tentam identificar valores ausentes para data de início, data de validade e códigos de segurança para dados de cartão de pagamento roubados.

Implementação mínima

Instale as chaves do site com caixas de seleção em todas as páginas em que os usuários finais precisam inserir os detalhes de pagamento, incluindo as funções checkout e adicionar forma de pagamento. Para aprender a instalar chaves de sites com caixas de seleção, consulte Instalar chaves de sites com caixas de seleção (desafio de caixas de seleção).

Observação:as chaves do site com caixa de seleção aumentam o atrito para o usuário e podem afetar as taxas de conversão.
Criar avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

Instale as chaves de site baseadas em pontuação em todas as páginas em que os usuários finais precisam inserir os detalhes de pagamento. Especifique uma ação no parâmetro action, como checkout ou add_pmtmethod. Para aprender a instalar chaves com base em pontuação, consulte Instalar chaves com base em pontuação (sem desafio) em sites.
Instale o reCAPTCHA para o fluxo de trabalho de pagamento no seu site. Para saber como proteger seu fluxo de trabalho de pagamento, consulte Proteger fluxos de trabalho de pagamento.
Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves do site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
Salve todos os IDs de avaliação e anote as avaliações que se transformam em compras ou estornos fraudulentos como fraudulent. Para saber como anotar avaliações, consulte Fazer anotações em uma avaliação.

Estratégia de redução de fraudes

Depois de implementar o reCAPTCHA, use uma das seguintes estratégias de mitigação de fraudes para proteger seu site contra a violação de cartões:

Instale o reCAPTCHA para o fluxo de trabalho de pagamento no seu site. Para saber como proteger seu fluxo de trabalho de pagamento, consulte Proteger fluxos de trabalho de pagamento.
Implemente um modelo de resposta e crie avaliações:
1. Criar e implementar um modelo de resposta que seja ajustado de acordo com o risco baseado em pontuação.
  
  Confira abaixo um exemplo de modelo de resposta:
  - Para limites de pontuação baixos a intermediários (0,0-0,5), use o gerenciamento de risco com base no contexto, como limitar o número de tentativas e bloquear compras acima de um valor especificado.
  - Para o limite de pontuação mais alto (> 0,5), permita que o usuário final continue sem nenhum desafio.
  Observação:os limites de pontuação podem variar dependendo dos usuários e dos invasores. Recomendamos o uso do painel de análise do reCAPTCHA para determinar as melhores pontuações para tomar medidas.
2. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves do site com base em pontuação nas suas páginas da Web. Se eles não corresponderem, não execute uma autorização de cartão nem permita que o usuário final use o cartão. Sempre que possível, permita que a transação prossiga no momento da compra, mas a cancele mais tarde para evitar que o invasor seja instruído.

Quebra de credenciais

A quebra de credenciais é uma ameaça automatizada em que os invasores identificam credenciais de login válidas tentando valores diferentes para nomes de usuário e senhas.

Implementação mínima

Instale as chaves de site com caixas de seleção em todas as páginas em que os usuários finais precisam inserir as credenciais, incluindo as funções login e esqueci minha senha. Para aprender a instalar chaves de sites com caixas de seleção, consulte Instalar chaves de sites com caixas de seleção (desafio de caixas de seleção).

Observação:as chaves do site com caixa de seleção aumentam o atrito para o usuário e podem afetar as taxas de conversão.
Criar avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

Instale as chaves de site com base em pontuação em todas as páginas em que os usuários finais precisam inserir as credenciais. Especifique uma ação no parâmetro action, como login ou authenticate. Para aprender a instalar chaves com base em pontuação, consulte Instalar chaves com base em pontuação (sem desafio) em sites.
Recomendado: implemente a detecção de vazamento de senhas do reCAPTCHA para todas as tentativas de autenticação. Para saber como usar a detecção de vazamento de senhas, consulte Detectar vazamentos de senhas e credenciais violadas.
Opcional: para ativar o bloqueio de interações de alto volume e baixa pontuação de reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF). Por exemplo, é possível usar o reCAPTCHA para WAF e a integração do Google Cloud Armor.
Implemente o defensor da conta reCAPTCHA para tendências do comportamento do usuário final nos logins e receber outros indicadores que possam indicar uma ATO. Para saber como usar o defensor de conta reCAPTCHA, consulte Detectar e evitar atividades fraudulentas relacionadas à conta.
Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves do site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
Salve todos os IDs de avaliação e anote a avaliação que parece fraudulenta, como preenchimentos de contas (ATOs, na sigla em inglês) ou qualquer outra atividade fraudulenta. Para saber como anotar avaliações, consulte Fazer anotações em uma avaliação.

Estratégia de redução de fraudes

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger seu site contra a quebra de credenciais:

Criar e implementar um modelo de resposta que seja ajustado de acordo com o risco baseado em pontuação.

Confira abaixo um exemplo de modelo de resposta:
- Para um limite de pontuação baixo a intermediário (0,0 a 0,5), conteste o usuário final com a autenticação multifator por e-mail ou SMS.
- Para o limite de pontuação mais alto (> 0,5), permita que o usuário final continue sem nenhum desafio.
Observação:os limites de pontuação podem variar dependendo dos usuários e dos invasores. Recomendamos o uso do painel de análise do reCAPTCHA para determinar as melhores pontuações para tomar medidas.
Encerre ou interrompa sessões para usuários finais que fazem a autenticação, mas recebem uma resposta credentialsLeaked: true da detecção de vazamento de senha reCAPTCHA e enviam um e-mail aos usuários finais para alterar as próprias senhas.
Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves do site com base em pontuação nas suas páginas da Web. Se eles não forem iguais, não permitir a autenticação.

Preenchimento de credenciais

O preenchimento de credenciais é uma ameaça automatizada em que os invasores fazem tentativas de login em massa para verificar a validade de pares de nome de usuário/senha roubados.

Implementação mínima

Instale as chaves de site com caixas de seleção em todas as páginas em que os usuários finais precisam inserir as credenciais, incluindo as funções login e esqueci minha senha. Para aprender a instalar chaves de sites com caixas de seleção, consulte Instalar chaves de sites com caixas de seleção (desafio de caixas de seleção).

Observação:as chaves do site com caixa de seleção aumentam o atrito para o usuário e podem afetar as taxas de conversão.
Criar avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

Instale as chaves de site com base em pontuação em todas as páginas em que os usuários finais precisam inserir as credenciais. Especifique uma ação no parâmetro action, como login ou authenticate. Para aprender a instalar chaves com base em pontuação, consulte Instalar chaves com base em pontuação (sem desafio) em sites.
Recomendado: implemente a detecção de vazamento de senhas do reCAPTCHA para todas as tentativas de autenticação. Para saber como usar a detecção de vazamento de senhas, consulte Detectar vazamentos de senhas e credenciais violadas.
Implemente o defensor da conta reCAPTCHA para tendências do comportamento do usuário final nos logins e receber outros indicadores que possam indicar uma ATO. Para saber como usar o defensor de conta reCAPTCHA, consulte Detectar e evitar atividades fraudulentas relacionadas à conta.
Opcional: para ativar o bloqueio de interações de alto volume e baixa pontuação de reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF). Por exemplo, é possível usar o reCAPTCHA para WAF e a integração do Google Cloud Armor.
Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves do site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
Salve todos os IDs de avaliação e anote as avaliações que se transformam em compras ou estornos fraudulentos como fraudulent. Para saber como anotar avaliações, consulte Fazer anotações em uma avaliação.

Estratégia de redução de fraudes

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger seu site contra o preenchimento de credenciais:

Criar e implementar um modelo de resposta que seja ajustado de acordo com o risco baseado em pontuação.

Confira abaixo um exemplo de modelo de resposta:
- Para o menor limite de pontuação reCAPTCHA (0,0), informe ao usuário final que a senha está incorreta.
- Para o limite de pontuação intermediário (0,1 a 0,5), conteste o usuário final com a autenticação multifator por e-mail ou SMS.
- Para o limite de pontuação mais alto (> 0,5), permita que o usuário final continue sem nenhum desafio.
Observação:os limites de pontuação podem variar dependendo dos usuários e dos invasores. Recomendamos o uso do painel de análise do reCAPTCHA para determinar as melhores pontuações para tomar medidas.
Encerre ou interrompa sessões para usuários finais que fazem a autenticação, mas recebem uma resposta credentialsLeaked: true da detecção de vazamento de senha reCAPTCHA e enviam um e-mail aos usuários finais para alterar as próprias senhas.
Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves do site com base em pontuação nas suas páginas da Web. Se eles não forem iguais, não permitir a autenticação.
Na sua avaliação, se accountDefenderAssessment=PROFILE_MATCH, permita que o usuário final prossiga sem qualquer desafio.

Saindo

O saque é uma ameaça automatizada em que os invasores obtêm itens de moeda ou de alto valor por meio da utilização de cartões de pagamento previamente validados e roubados.

Implementação mínima

Instale as chaves do site com base em pontuação em todas as páginas em que é possível finalizar a compra. Para aprender a instalar chaves com base em pontuação, consulte Instalar chaves com base em pontuação (sem desafio) em sites.
Criar avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

Instalar chaves de site baseadas em pontuação em todas as páginas em que os usuários finais inserem as informações do vale-presente. Especifique uma ação, como add_gift_card. Para aprender a instalar chaves com base em pontuação, consulte Instalar chaves com base em pontuação (sem desafio) em sites.
Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves do site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
Salve todos os IDs de avaliação e anote as transações fraudulentas.

Estratégia de redução de fraudes

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger seu site contra saques:

Instale o reCAPTCHA para o fluxo de trabalho de pagamento no seu site. Para saber como proteger seu fluxo de trabalho de pagamento, consulte Proteger fluxos de trabalho de pagamento.
Implemente um modelo de resposta e crie avaliações:
1. Criar e implementar um modelo de resposta que seja ajustado de acordo com o risco baseado em pontuação.
  
  Confira abaixo um exemplo de modelo de resposta:
  - Para limites de pontuação baixos a intermediários (0,0-0,5), use o gerenciamento de risco com base no contexto, como limitar o número de tentativas e bloquear compras acima de um valor especificado.
  - Para o limite de pontuação mais alto (> 0,5), permita que o usuário final continue sem nenhum desafio.
  Observação:os limites de pontuação podem variar dependendo dos usuários e dos invasores. Recomendamos o uso do painel de análise do reCAPTCHA para determinar as melhores pontuações para tomar medidas.
2. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves do site com base em pontuação nas suas páginas da Web. Se eles não forem iguais, não permitir a autenticação. Sempre que possível, permita que a transação prossiga no momento da compra, mas a cancele mais tarde para evitar que o invasor seja instruído.

Criação de conta

A criação de contas é uma ameaça automatizada em que os invasores criam várias contas para uso indevido posterior.

Implementação mínima

Instale as chaves de site com caixas de seleção em todas as páginas em que os usuários finais precisam inserir as credenciais, incluindo as funções login e esqueci minha senha. Para aprender a instalar chaves de sites com caixas de seleção, consulte Instalar chaves de sites com caixas de seleção (desafio de caixas de seleção).

Observação:as chaves do site com caixa de seleção aumentam o atrito para o usuário e podem afetar as taxas de conversão.
Criar avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

Instale chaves de site baseadas em pontuação em todas as páginas em que as contas são criadas. Especifique uma ação no parâmetro action, como register. Para aprender a instalar chaves com base em pontuação, consulte Instalar chaves com base em pontuação (sem desafio) em sites.
Recomendado: implemente a detecção de vazamento de senhas do reCAPTCHA para todas as tentativas de autenticação. Para saber como usar a detecção de vazamento de senhas, consulte Detectar vazamentos de senhas e credenciais violadas.
Implemente o defensor da conta do reCAPTCHA para receber outros indicadores que indiquem a criação de contas falsas. Para saber como usar o defensor de conta reCAPTCHA, consulte Detectar e evitar atividades fraudulentas relacionadas à conta.
Opcional: para ativar o bloqueio de interações de alto volume e baixa pontuação de reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF). Por exemplo, é possível usar o reCAPTCHA para WAF e a integração do Google Cloud Armor.
Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves do site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
Salve todos os IDs de avaliação e anote as transações fraudulentas.

Estratégia de redução de fraudes

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger seu site contra a criação de contas:

Criar e implementar um modelo de resposta que seja ajustado de acordo com o risco baseado em pontuação.

Confira abaixo um exemplo de modelo de resposta:
- Para o menor limite de pontuação reCAPTCHA (0,0), limite as ações da conta até que ela passe por outras verificações de fraude.
- Para o limite de pontuação intermediário (0,1 a 0,5), conteste o usuário final com a autenticação multifator por e-mail ou SMS.
- Para o limite de pontuação mais alto (> 0,5), permita que o usuário final continue sem nenhum desafio.
Observação:os limites de pontuação podem variar dependendo dos usuários e dos invasores. Recomendamos o uso do painel de análise do reCAPTCHA para determinar as melhores pontuações para tomar medidas.
Sessões de encerramento ou interrupção para usuários finais que se autenticam, mas recebem uma resposta credentialsLeaked: true da detecção de vazamento de senha reCAPTCHA e solicitam que o usuário selecione uma nova senha.
Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves do site com base em pontuação nas suas páginas da Web. Se eles não forem iguais, não permita o registro ou a criação de contas.
Na sua avaliação, se accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION, restringe o acesso da conta até que uma nova validação possa ser realizada.

Alterações fraudulentas de conta e endereço

Invasores podem tentar alterar detalhes da conta, incluindo endereços de e-mail, números de telefone ou endereços de correspondência, como parte de atividades fraudulentas ou invasões de contas.

Implementação mínima

Instale as chaves de site com caixas de seleção em todas as páginas em que os usuários finais precisam inserir as credenciais, incluindo as funções login e esqueci minha senha. Para aprender a instalar chaves de sites com caixas de seleção, consulte Instalar chaves de sites com caixas de seleção (desafio de caixas de seleção).

Observação:as chaves do site com caixa de seleção aumentam o atrito para o usuário e podem afetar as taxas de conversão.
Criar avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

Instale chaves de site baseadas em pontuação em todas as páginas em que as contas são criadas. Especifique uma ação no parâmetro action, como change_telephone ou change_physicalmail. Para aprender a instalar chaves com base em pontuação, consulte Instalar chaves com base em pontuação (sem desafio) em sites.
Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves do site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
Implemente o defensor da conta reCAPTCHA para tendências do comportamento do usuário final nos logins e receber outros indicadores que possam indicar uma ATO. Para saber como usar o defensor de conta reCAPTCHA, consulte Detectar e evitar atividades fraudulentas relacionadas à conta.
Salve todos os IDs de avaliação e anote as transações fraudulentas.

Estratégia de redução de fraudes

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger seu site contra alterações fraudulentas de conta e endereço:

Criar e implementar um modelo de resposta que seja ajustado de acordo com o risco baseado em pontuação.

Confira abaixo um exemplo de modelo de resposta:
- Para um limite de pontuação baixo a intermediário (0,0 a 0,5), conteste o usuário final com a autenticação multifator por e-mail ou SMS.
- Para o limite de pontuação mais alto (> 0,5), permita que o usuário final continue sem nenhum desafio.
Observação:os limites de pontuação podem variar dependendo dos usuários e dos invasores. Recomendamos o uso do painel de análise do reCAPTCHA para determinar as melhores pontuações para tomar medidas.
Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves do site com base em pontuação nas suas páginas da Web. Se eles não forem iguais, não permita mudanças na conta.
Na sua avaliação, se accountDefenderAssessment não tiver o rótulo PROFILE_MATCH, conteste o usuário final com a autenticação multifator por e-mail ou SMS.

Quebra de token

A quebra de token é uma ameaça automatizada em que os invasores fazem a enumeração em massa de números de cupom, códigos de voucher e tokens de desconto.

Implementação mínima

Instale as chaves de site com caixas de seleção em todas as páginas em que os usuários finais precisam inserir as informações do vale-presente. Para aprender a instalar chaves de sites com caixas de seleção, consulte Instalar chaves de sites com caixas de seleção (desafio de caixas de seleção).

Observação:as chaves do site com caixa de seleção aumentam o atrito para o usuário e podem afetar as taxas de conversão.
Criar avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

Instale as chaves do site baseadas em pontuação em todas as páginas em que os usuários finais precisam inserir as informações do vale-presente. Especifique uma ação, como gift_card_entry. Para aprender a instalar chaves com base em pontuação, consulte Instalar chaves com base em pontuação (sem desafio) em sites.
Opcional: para ativar o bloqueio de interações de alto volume e baixa pontuação de reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF). Por exemplo, é possível usar o reCAPTCHA para WAF e a integração do Google Cloud Armor.
Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves do site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
Salve todos os IDs de avaliação e anote as avaliações que se transformarem em vales-presente ou cupons fraudulentos.

Estratégia de redução de fraudes

Depois de implementar o reCAPTCHA, use uma das seguintes estratégias de mitigação de fraudes para proteger seu site contra a quebra de tokens:

Configure as APIs de gerenciamento de cartões para garantir que os tokens reCAPTCHA sejam válidos e as pontuações sejam maiores que o valor limite.

Se as pontuações não atingirem ou excederem o limite especificado, não execute uma autorização de vale-presente ou cartão de crédito nem permita que o usuário final use o cupom ou vale-presente. Sempre que possível, permita que a transação prossiga no momento da compra, mas a cancele mais tarde para evitar que o invasor seja instruído.
Ao criar avaliações, verifique se elas atendem aos seguintes critérios para o sucesso da transação:
- Todos os tokens avaliados são válidos e têm uma pontuação maior que o limite especificado.
- O valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves do site com base em pontuação nas suas páginas da Web. Para saber como verificar ações, consulte Verificar ações.
Se uma transação não atender a esses critérios, não execute uma autorização de vale-presente ou cartão de crédito nem permita que o usuário final use o cupom ou vale-presente. Sempre que possível, permita que a transação prossiga no momento da compra, mas a cancele mais tarde para evitar que o invasor seja instruído.

Escalonar

Escalonar é uma ameaça automatizada em que os invasores obtêm disponibilidade limitada e produtos ou serviços preferidos por métodos injustos.

Implementação mínima

Instale as chaves do site baseadas em pontuação em todas as páginas em que os usuários finais precisam inserir as informações do vale-presente. Especifique uma ação no parâmetro action, como add_to_cart. Para aprender a instalar chaves com base em pontuação, consulte Instalar chaves com base em pontuação (sem desafio) em sites.
Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves do site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

Instale as chaves do site baseadas em pontuação em todas as páginas em que os usuários finais precisam inserir as informações do vale-presente. Especifique uma ação no parâmetro action, como add_to_cart. Para aprender a instalar chaves com base em pontuação, consulte Instalar chaves com base em pontuação (sem desafio) em sites.
Opcional: para ativar o bloqueio de interações de alto volume e baixa pontuação de reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF). Por exemplo, é possível usar o reCAPTCHA para WAF e a integração do Google Cloud Armor.
Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves do site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
Salve todos os IDs de avaliação e anote as transações fraudulentas.

Estratégia de redução de fraudes

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger seu site contra scalping:

Criar e implementar um modelo de resposta que seja ajustado de acordo com o risco baseado em pontuação.

Confira abaixo um exemplo de modelo de resposta:
- Para limites de pontuação baixos a intermediários (0,0-0,5), use o gerenciamento de risco com base no contexto, como limitar o número de tentativas e bloquear compras acima de um valor especificado.
- Para o limite de pontuação mais alto (> 0,5), permita que o usuário final continue sem nenhum desafio.
Observação:os limites de pontuação podem variar dependendo dos usuários e dos invasores. Recomendamos o uso do painel de análise do reCAPTCHA para determinar as melhores pontuações para tomar medidas.
Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves do site com base em pontuação nas suas páginas da Web. Se eles não forem iguais, não execute a autorização do vale-presente.

Distorção

Distorção é uma ameaça automatizada em que os invasores usam cliques repetidos em links, solicitações de páginas ou envios de formulários para alterar alguma métrica.

Implementação mínima

Instale as chaves do site com base em pontuação em todas as páginas em que a distorção de métricas for possível. Para aprender a instalar chaves com base em pontuação, consulte Instalar chaves com base em pontuação (sem desafio) em sites.
Criar avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

Instale as chaves do site com base em pontuação em todas as páginas em que a distorção de métricas for possível. Para aprender a instalar chaves com base em pontuação, consulte Instalar chaves com base em pontuação (sem desafio) em sites.
Opcional: para ativar o bloqueio de interações de alto volume e baixa pontuação de reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF). Por exemplo, é possível usar o reCAPTCHA para WAF e a integração do Google Cloud Armor.
Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves do site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
Salve todos os IDs de avaliação e anote as transações fraudulentas.

Estratégia de redução de fraudes

Depois de implementar o reCAPTCHA, use a seguinte estratégia de mitigação de fraudes para proteger seu site contra distorções:

Criar e implementar um modelo de resposta que seja ajustado de acordo com o risco baseado em pontuação.

Confira abaixo um exemplo de modelo de resposta:

Para um limite de pontuação baixa a intermediário (0,0 a 0,5), use o gerenciamento de risco com base no contexto, como rastrear o número de vezes que um usuário clicou em um anúncio ou o número de vezes que um usuário atualizou a página. Use esses dados para determinar se a métrica deve ser contada.
Para o limite de pontuação mais alto (> 0,5), permita que o usuário final continue sem nenhum desafio.

Raspagem de dados

A raspagem de dados é uma ameaça automatizada em que os invasores coletam dados ou artefatos do site de maneira automatizada.

Implementação mínima

Instale chaves do site com base em pontuação em todas as páginas com informações importantes e nas principais páginas comuns de interação do usuário final. Para aprender a instalar chaves com base em pontuação, consulte Instalar chaves com base em pontuação (sem desafio) em sites.
Criar avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

Instale chaves do site com base em pontuação em todas as páginas com informações importantes e nas principais páginas comuns de interação do usuário final. Para aprender a instalar chaves com base em pontuação, consulte Instalar chaves com base em pontuação (sem desafio) em sites.
Opcional: para ativar o bloqueio de interações de alto volume e baixa pontuação de reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF). Por exemplo, é possível usar o reCAPTCHA para WAF e a integração do Google Cloud Armor.
Criar avaliações para todos os tokens. Para saber como criar avaliações, consulte Criar uma avaliação.
Salve todos os IDs de avaliação e anote as transações fraudulentas.

Estratégia de redução de fraudes

Depois de implementar o reCAPTCHA, use as seguintes estratégias de mitigação de fraudes para proteger seu site contra raspagem de dados:

Ative o bloqueio de interações de alto volume e baixa pontuação de reCAPTCHA integrando o reCAPTCHA a um firewall de aplicativos da Web (WAF). Por exemplo, é possível usar reCAPTCHA para WAF e integração do Google Cloud Armor
Se a raspagem de dados envolver APIs, use as APIs de gerenciamento da Apigee para mitigação adicional.

Derrota do CAPTCHA

A derrota do CAPTCHA é uma ameaça automatizada em que os invasores usam a automação na tentativa de analisar e determinar a resposta para testes CAPTCHA visuais e/ou auditivos e quebra-cabeças relacionados.

Implementação mínima

Instale as chaves do site com base em pontuação em todas as páginas que envolvem entrada do usuário final, criação de conta, informações de pagamento ou interações do usuário final com potencial de fraude. Especifique uma ação descritiva no parâmetro action. Para aprender a instalar chaves com base em pontuação, consulte Instalar chaves com base em pontuação (sem desafio) em sites.
Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves do site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.

Implementação ideal

Instale as chaves do site com base em pontuação em todas as páginas que envolvem entrada do usuário final, criação de conta, informações de pagamento ou interações do usuário final com potencial de fraude. Especifique uma ação descritiva no parâmetro action. Para aprender a instalar chaves com base em pontuação, consulte Instalar chaves com base em pontuação (sem desafio) em sites.
Opcional: para ativar o bloqueio de interações de alto volume e baixa pontuação de reCAPTCHA, integre o reCAPTCHA a um firewall de aplicativos da Web (WAF). Por exemplo, é possível usar o reCAPTCHA para WAF e a integração do Google Cloud Armor.
Crie avaliações para todos os tokens e defina expectedAction para corresponder ao valor de action especificado ao instalar as chaves do site com base em pontuação. Para saber como criar avaliações, consulte Criar uma avaliação.
Salve todos os IDs de avaliação e anote as avaliações que se transformam em compras ou estornos fraudulentos como fraudulent. Para saber como anotar avaliações, consulte Fazer anotações em uma avaliação.

Estratégia de redução de fraudes

Depois de implementar o reCAPTCHA, use uma das seguintes estratégias de mitigação de fraudes para proteger seu site contra a negação do CAPTCHA:

Implemente um modelo de resposta e crie avaliações:
1. Criar e implementar um modelo de resposta que seja ajustado de acordo com o risco baseado em pontuação.
  
  Confira abaixo um exemplo de modelo de resposta:
  - Para um limite de pontuação baixo a intermediário (0,0 a 0,5), conteste o usuário final com a autenticação multifator por e-mail ou SMS.
  - Para o limite de pontuação mais alto (> 0,5), permita que o usuário final continue sem nenhum desafio.
  Observação:os limites de pontuação podem variar dependendo dos usuários e dos invasores. Recomendamos o uso do painel de análise do reCAPTCHA para determinar as melhores pontuações para tomar medidas.
2. Ao criar avaliações, verifique se o valor de expectedAction corresponde ao valor de action especificado ao instalar as chaves do site com base em pontuação nas suas páginas da Web. Se eles não forem iguais, não permitir a autenticação.
Se os usuários finais utilizarem navegadores da Web com o JavaScript desativado, faça o seguinte:
1. Bloqueie esses usuários finais.
2. Informe aos usuários finais que seu site precisa do JavaScript para continuar.
Verifique se a promessa grecaptcha.enterprise.ready é atendida para evitar que os navegadores dos usuários finais que impeçam o carregamento do script do Google. Isso indica que o reCAPTCHA está totalmente carregado e não encontrou nenhum erro.
Para APIs somente da Web, recomendamos transmitir o token reCAPTCHA ou o resultado da teste reCAPTCHA para a API de back-end e permitir a ação da API apenas se o token reCAPTCHA for válido e atender a um valor limite de pontuação. Isso garante que o usuário final não utilize a API sem passar pelo site.

Práticas recomendadas para proteção contra ameaças automatizadas

Cardio

Implementação mínima

Implementação ideal

Estratégia de redução de fraudes

Quebra de cartão

Implementação mínima

Implementação ideal

Estratégia de redução de fraudes

Quebra de credenciais

Implementação mínima

Implementação ideal

Estratégia de redução de fraudes

Preenchimento de credenciais

Implementação mínima

Implementação ideal

Estratégia de redução de fraudes

Saindo

Implementação mínima

Implementação ideal

Estratégia de redução de fraudes

Criação de conta

Implementação mínima

Implementação ideal

Estratégia de redução de fraudes

Alterações fraudulentas de conta e endereço

Implementação mínima

Implementação ideal

Estratégia de redução de fraudes

Quebra de token

Implementação mínima

Implementação ideal

Estratégia de redução de fraudes

Escalonar

Implementação mínima

Implementação ideal

Estratégia de redução de fraudes

Distorção

Implementação mínima

Implementação ideal

Estratégia de redução de fraudes

Raspagem de dados

Implementação mínima

Implementação ideal

Estratégia de redução de fraudes

Derrota do CAPTCHA

Implementação mínima

Implementação ideal

Estratégia de redução de fraudes

A seguir