防範自動化威脅的最佳做法

本文說明建議採用的 reCAPTCHA 實作方式和詐欺防範策略，以防範重大自動化威脅 (OWASP 網路應用程式自動化威脅 (OAT))。企業架構師和技術利害關係人可以查看這項資訊，針對其用途的 reCAPTCHA 實作和詐欺防範策略，做出明智的決策。

這份文件會針對每種威脅提供下列資訊：

• 以最佳方式導入 reCAPTCHA。這項實作方式採用 reCAPTCHA 的相關功能，可提供最佳的詐欺防護。

• 最簡單的 reCAPTCHA 實作方式。這項實作方式旨在提供最低程度的詐欺防護。

• 建議的詐欺緩解策略。

請根據您的用途，選擇最合適的實作和詐欺防範策略。 下列因素可能會影響您選擇的實作和詐欺防範策略：

• 機構的反詐欺需求和能力。
• 機構現有的環境。

如要進一步瞭解適用於您用途的詐欺防範策略，請與我們的銷售團隊聯絡。

梳理

盜刷是自動化威脅，攻擊者會多次嘗試授權付款，以驗證大量竊取的付款卡片資料是否有效。

最低實作量

1. 在使用者需要輸入信用卡資訊的所有頁面，安裝核取方塊網站金鑰。如要瞭解如何安裝核取方塊網站金鑰，請參閱「在網站中安裝核取方塊網站金鑰 (核取方塊驗證問題)」。

2. 為所有權杖建立評估。 如要瞭解如何建立評估作業，請參閱「建立評估作業」。

最佳導入方式

1. 在使用者需要輸入信用卡資訊的所有頁面中，安裝計分型網站金鑰。在 action 參數中指定動作，例如 card_entry。如要瞭解如何安裝分數制網站金鑰，請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。

2. 在網站的付款工作流程中安裝 reCAPTCHA。如要瞭解如何保護付款工作流程，請參閱「保護付款工作流程」。

3. 為所有權杖建立評估，並將 expectedAction 設為與安裝以分數為準的網站金鑰時指定的值相符。action 如要瞭解如何建立評估作業，請參閱「建立評估作業」。

4. 儲存所有評估 ID，並將變成詐欺交易或退款的評估註記為 fraudulent。如要瞭解如何為評估加上註解，請參閱「為評估加上註解」。

詐欺緩解策略

導入 reCAPTCHA 後，請使用下列其中一種詐欺防範策略，保護網站免於卡號盜用：

• 在網站的付款工作流程中安裝 reCAPTCHA。如要瞭解如何保護付款工作流程，請參閱「保護付款工作流程」。

• 設定卡片管理 API，確保 reCAPTCHA 權杖有效，且分數高於門檻值。

  如果分數未達到或超過指定門檻值，請勿執行授權或允許使用者使用卡片。如果可以，請允許交易在購買時繼續進行，但稍後取消交易，以免驚動攻擊者。

• 建立評估時，請確認評估符合下列條件，才能順利完成交易：

  • 所有評估的權杖都有效，且分數大於指定門檻值。
  • expectedAction 的值與您在網頁上安裝計分網站金鑰時指定的 action 值相符。 如要瞭解如何驗證動作，請參閱「驗證動作」。

  如果交易不符合這些條件，請勿執行授權或允許使用者使用卡片。如果可以，請允許交易在購買時繼續進行，但稍後取消交易，以免驚動攻擊者。

盜刷信用卡

卡片破解是一種自動化威脅，攻擊者會嘗試不同的值，找出遭竊付款卡資料的開始日期、有效期限和安全碼。

最低實作量

1. 在所有需要使用者輸入付款詳細資料的頁面 (包括「結帳」和「新增付款方式」功能)，安裝核取方塊網站金鑰。 如要瞭解如何安裝核取方塊網站金鑰，請參閱「在網站中安裝核取方塊網站金鑰 (核取方塊驗證問題)」。

2. 為所有權杖建立評估。 如要瞭解如何建立評估作業，請參閱「建立評估作業」。

最佳導入方式

1. 在使用者需要輸入付款詳細資料的所有頁面中，安裝計分型網站金鑰。在 action 參數中指定動作，例如 checkout 或 add_pmtmethod。 如要瞭解如何安裝分數制網站金鑰，請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。

2. 在網站的付款工作流程中安裝 reCAPTCHA。如要瞭解如何保護付款工作流程，請參閱「保護付款工作流程」。

3. 為所有權杖建立評估，並將 expectedAction 設為與安裝以分數為準的網站金鑰時指定的值相符。action 如要瞭解如何建立評估作業，請參閱「建立評估作業」。

4. 儲存所有評估 ID，並將變成詐欺交易或退款的評估註記為 fraudulent。如要瞭解如何為評估加上註解，請參閱「為評估加上註解」。

詐欺緩解策略

導入 reCAPTCHA 後，請使用下列其中一種詐欺防範策略，保護網站免受信用卡破解攻擊：

• 在網站的付款工作流程中安裝 reCAPTCHA。如要瞭解如何保護付款工作流程，請參閱「保護付款工作流程」。

• 實作回應模型並建立評估：

  1. 建立並實作根據分數調整風險的因應模型。

     以下範例顯示範例回應模型：

     • 如果分數門檻為低到中等 (0.0 到 0.5)，請使用情境式風險管理，例如限制嘗試次數，以及封鎖超過指定值的交易。
     • 如果分數高於最高門檻 (> 0.5)，允許使用者繼續操作，不必通過任何驗證。

  2. 建立評估時，請確保 expectedAction 的值與您在網頁上安裝計分網站金鑰時指定的 action 值相符。如果兩者不符，請勿執行授權或允許使用者使用該卡片。如果可以，請允許交易在購買時繼續進行，但稍後取消交易，以免驚動攻擊者。

破解憑證

憑證破解是一種自動化威脅，攻擊者會嘗試不同的使用者名稱和密碼值，找出有效的登入憑證。

最低實作量

1. 在使用者需要輸入憑證的所有頁面 (包括「登入」和「忘記密碼」功能) 安裝核取方塊網站金鑰。 如要瞭解如何安裝核取方塊網站金鑰，請參閱「在網站中安裝核取方塊網站金鑰 (核取方塊驗證問題)」。

2. 為所有權杖建立評估。 如要瞭解如何建立評估作業，請參閱「建立評估作業」。

最佳導入方式

1. 在所有需要使用者輸入憑證的頁面中，安裝計分型網站金鑰。 在 action 參數中指定動作，例如 login 或 authenticate。如要瞭解如何安裝分數制網站金鑰，請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。
2. 建議：針對所有驗證嘗試導入 reCAPTCHA 密碼防護機制。 如要瞭解如何使用密碼防護功能，請參閱「偵測密碼外洩情形和外洩的憑證」。
3. 選用：如要封鎖大量互動和 reCAPTCHA 分數偏低的互動，請將 reCAPTCHA 與網路應用程式防火牆 (WAF) 整合。 舉例來說，您可以整合 reCAPTCHA for WAF 和 Google Cloud Armor。
4. 導入 reCAPTCHA 帳戶防護機制，追蹤登入程序中終端使用者的行為趨勢，並接收可指出帳戶盜用行為的額外信號。如要瞭解如何使用 reCAPTCHA 帳戶防護工具，請參閱「偵測及防範帳戶相關的詐欺活動」。
5. 為所有權杖建立評估，並將 expectedAction 設為與安裝以分數為準的網站金鑰時指定的值相符。action 如要瞭解如何建立評估作業，請參閱「建立評估作業」。
6. 儲存所有評估 ID，並註記疑似詐欺的評估，例如帳戶盜用 (ATO) 或任何其他詐欺活動。如要瞭解如何為評估加上註解，請參閱「為評估加上註解」。

詐欺緩解策略

導入 reCAPTCHA 後，請使用下列詐欺防範策略，保護網站免受憑證破解攻擊：

1. 建立並實作根據分數調整風險的應變模型。

   以下範例顯示範例回應模型：

   • 如果分數門檻為低到中等 (0.0 到 0.5)，請透過電子郵件或簡訊，要求使用者進行多重驗證。
   • 如果分數高於最高門檻 (> 0.5)，允許使用者繼續操作，不必通過任何驗證。
2. 如果使用者通過驗證，但收到 reCAPTCHA 密碼防護機制傳回的 credentialsLeaked: true 回應，請結束或中斷這些使用者的工作階段，並傳送電子郵件給他們，要求變更密碼。
3. 建立評估時，請確保 expectedAction 的值與您在網頁上安裝計分網站金鑰時指定的 action 值相符。如果不相符，請勿允許驗證。

憑證填充行為

憑證填塞是一種自動化威脅，攻擊者會嘗試大量登入，藉此驗證竊取的使用者名稱/密碼組合是否有效。

最低實作量

1. 在使用者需要輸入憑證的所有頁面 (包括「登入」和「忘記密碼」功能) 安裝核取方塊網站金鑰。 如要瞭解如何安裝核取方塊網站金鑰，請參閱「在網站中安裝核取方塊網站金鑰 (核取方塊驗證問題)」。

2. 為所有權杖建立評估。 如要瞭解如何建立評估作業，請參閱「建立評估作業」。

最佳導入方式

1. 在所有需要使用者輸入憑證的頁面中，安裝計分型網站金鑰。 在 action 參數中指定動作，例如 login 或 authenticate。如要瞭解如何安裝分數制網站金鑰，請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。
2. 建議：針對所有驗證嘗試導入 reCAPTCHA 密碼防護機制。 如要瞭解如何使用密碼防護功能，請參閱「偵測密碼外洩情形和外洩的憑證」。
3. 導入 reCAPTCHA 帳戶防護機制，追蹤登入程序中終端使用者的行為趨勢，並接收可指出帳戶盜用行為的額外信號。如要瞭解如何使用 reCAPTCHA 帳戶防護工具，請參閱「偵測及防範帳戶相關的詐欺活動」。

4. 選用：如要封鎖大量互動和 reCAPTCHA 分數偏低的互動，請將 reCAPTCHA 與網路應用程式防火牆 (WAF) 整合。 舉例來說，您可以整合 reCAPTCHA for WAF 和 Google Cloud Armor。

5. 為所有權杖建立評估，並將 expectedAction 設為與安裝以分數為準的網站金鑰時指定的值相符。action 如要瞭解如何建立評估作業，請參閱「建立評估作業」。

6. 儲存所有評估 ID，並將變成詐欺交易或退款的評估註記為 fraudulent。如要瞭解如何為評估加上註解，請參閱「為評估加上註解」。

詐欺緩解策略

導入 reCAPTCHA 後，請使用下列詐欺防範策略，保護網站免受憑證填充攻擊：

1. 建立並實作根據分數調整風險的因應模型。

   以下範例顯示範例回應模型：

   • 如果 reCAPTCHA 分數門檻最低 (0.0)，請通知使用者密碼不正確。
   • 如果分數介於 0.1 到 0.5 之間，則透過電子郵件或簡訊，要求使用者完成多重驗證。
   • 如果分數高於最高門檻 (> 0.5)，允許使用者繼續操作，不必通過任何驗證。
2. 如果使用者通過驗證，但收到 reCAPTCHA 密碼防護機制傳回的 credentialsLeaked: true 回應，請結束或中斷這些使用者的工作階段，並傳送電子郵件給他們，要求變更密碼。
3. 建立評估時，請確保 expectedAction 的值與您在網頁上安裝計分網站金鑰時指定的 action 值相符。如果不相符，請勿允許驗證。
4. 在評估中，如果 accountDefenderAssessment=PROFILE_MATCH，請允許使用者繼續操作，不必進行任何驗證。

提領款項

提領現金是一種自動化威脅，攻擊者會利用先前驗證過的失竊付款卡，取得貨幣或高價值商品。

最低實作要求

1. 在所有可結帳的頁面中安裝分數制網站金鑰。 如要瞭解如何安裝分數制網站金鑰，請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。
2. 為所有權杖建立評估。 如要瞭解如何建立評估作業，請參閱「建立評估作業」。

最佳導入方式

1. 在所有使用者輸入禮物卡資訊的頁面中，安裝計分型網站金鑰。指定動作，例如 add_gift_card。 如要瞭解如何安裝分數制網站金鑰，請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。

2. 為所有權杖建立評估，並將 expectedAction 設為與安裝以分數為準的網站金鑰時指定的值相符。action 如要瞭解如何建立評估作業，請參閱「建立評估作業」。

3. 儲存所有評估 ID，並註記詐欺交易。

詐欺緩解策略

導入 reCAPTCHA 後，請使用下列防範詐欺策略，保護網站免於提領現金：

• 在網站的付款工作流程中安裝 reCAPTCHA。如要瞭解如何保護付款工作流程，請參閱「保護付款工作流程」。

• 實作回應模型並建立評估：

  1. 建立並實作根據分數調整風險的因應模型。

     以下範例顯示範例回應模型：

     • 如果分數門檻為低到中等 (0.0 到 0.5)，請使用情境式風險管理，例如限制嘗試次數，以及封鎖超過指定值的交易。
     • 如果分數高於最高門檻 (> 0.5)，允許使用者繼續操作，不必通過任何驗證。
  2. 建立評估時，請確保 expectedAction 的值與您在網頁上安裝計分網站金鑰時指定的 action 值相符。如果不相符，請勿允許驗證。 如果可以，請允許交易在購買時繼續進行，但稍後取消交易，以免驚動攻擊者。

建立帳戶

帳戶建立是一種自動化威脅，攻擊者會建立多個帳戶，以供後續濫用。

最低實作量

1. 在使用者需要輸入憑證的所有頁面 (包括「登入」和「忘記密碼」功能) 安裝核取方塊網站金鑰。 如要瞭解如何安裝核取方塊網站金鑰，請參閱「在網站中安裝核取方塊網站金鑰 (核取方塊驗證問題)」。

2. 為所有權杖建立評估。 如要瞭解如何建立評估作業，請參閱「建立評估作業」。

最佳導入方式

1. 在建立帳戶的所有頁面中安裝分數制網站金鑰。 在 action 參數中指定動作，例如 register。如要瞭解如何安裝分數制網站金鑰，請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。
2. 建議：針對所有驗證嘗試導入 reCAPTCHA 密碼防護機制。 如要瞭解如何使用密碼防護功能，請參閱「偵測密碼外洩情形和外洩的憑證」。
3. 導入 reCAPTCHA 帳戶防護工具，接收更多指出偽造帳戶的信號。 如要瞭解如何使用 reCAPTCHA 帳戶防護工具，請參閱「偵測及防範帳戶相關的詐欺活動」。

4. 選用：如要封鎖大量互動和 reCAPTCHA 分數偏低的互動，請將 reCAPTCHA 與網路應用程式防火牆 (WAF) 整合。 舉例來說，您可以整合 reCAPTCHA for WAF 和 Google Cloud Armor。

5. 為所有權杖建立評估，並將 expectedAction 設為與安裝以分數為準的網站金鑰時指定的值相符。action 如要瞭解如何建立評估作業，請參閱「建立評估作業」。

6. 儲存所有評估 ID，並註記詐欺交易。

詐欺緩解策略

導入 reCAPTCHA 後，請使用下列詐欺防範策略，保護網站免於帳戶建立行為的侵擾：

1. 建立並實作根據分數調整風險的因應模型。

   以下範例顯示範例回應模型：

   • 如果 reCAPTCHA 分數門檻最低 (0.0)，請限制帳戶的動作，直到通過進一步的詐欺檢查為止。
   • 如果分數介於 0.1 到 0.5 之間，則透過電子郵件或簡訊要求使用者進行多重驗證。
   • 如果分數高於最高門檻 (> 0.5)，允許使用者繼續操作，不必通過任何驗證。
2. 如果使用者通過驗證，但收到 reCAPTCHA 密碼防護機制傳回的 credentialsLeaked: true 回應，請結束或中斷工作階段，並提示使用者選取新密碼。
3. 建立評估時，請確保 expectedAction 的值與您在網頁上安裝計分網站金鑰時指定的 action 值相符。如果不相符，請勿允許註冊或建立帳戶。
4. 在評估中，如果 accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION，請限制帳戶存取權，直到完成進一步驗證為止。

詐欺帳戶和地址變更

攻擊者可能會嘗試變更帳戶詳細資料，包括電子郵件地址、電話號碼或郵寄地址，以進行詐欺活動或盜用帳戶。

最低實作量

1. 在使用者需要輸入憑證的所有頁面 (包括「登入」和「忘記密碼」功能) 安裝核取方塊網站金鑰。 如要瞭解如何安裝核取方塊網站金鑰，請參閱「在網站中安裝核取方塊網站金鑰 (核取方塊驗證問題)」。

2. 為所有權杖建立評估。 如要瞭解如何建立評估作業，請參閱「建立評估作業」。

最佳導入方式

1. 在建立帳戶的所有頁面中安裝分數制網站金鑰。 在 action 參數中指定動作，例如 change_telephone 或 change_physicalmail。如要瞭解如何安裝分數制網站金鑰，請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。

2. 為所有權杖建立評估，並將 expectedAction 設為與安裝以分數為準的網站金鑰時指定的值相符。action 如要瞭解如何建立評估作業，請參閱「建立評估作業」。

3. 導入 reCAPTCHA 帳戶防護機制，追蹤登入程序中終端使用者的行為趨勢，並接收可指出帳戶盜用行為的額外信號。如要瞭解如何使用 reCAPTCHA 帳戶防護工具，請參閱「偵測及防範帳戶相關的詐欺活動」。

4. 儲存所有評估 ID，並註記詐欺交易。

詐欺緩解策略

導入 reCAPTCHA 後，請採用下列詐騙防範策略，保護網站免受詐欺帳戶和地址變更的影響：

1. 建立並實作根據分數調整風險的因應模型。

   以下範例顯示範例回應模型：

   • 如果分數門檻為低到中等 (0.0 到 0.5)，請透過電子郵件或簡訊，要求使用者進行多重驗證。
   • 如果分數高於最高門檻 (> 0.5)，允許使用者繼續操作，不必通過任何驗證。

2. 建立評估時，請確保 expectedAction 的值與您在網頁上安裝計分網站金鑰時指定的 action 值相符。如果兩者不相符，請勿允許變更帳戶。

3. 在評估中，如果 accountDefenderAssessment 沒有 PROFILE_MATCH 標籤，請透過電子郵件或簡訊，要求使用者進行多重驗證。

權杖破解

代碼破解是一種自動化威脅，攻擊者會大量列舉優待券號碼、兌換碼、折扣代碼。

最低實作量

1. 在使用者需要輸入禮物卡資訊的所有頁面中，安裝核取方塊網站金鑰。如要瞭解如何安裝核取方塊網站金鑰，請參閱「在網站中安裝核取方塊網站金鑰 (核取方塊驗證問題)」。

2. 為所有權杖建立評估。 如要瞭解如何建立評估作業，請參閱「建立評估作業」。

最佳導入方式

1. 在所有需要使用者輸入禮物卡資訊的頁面中，安裝計分型網站金鑰。指定動作，例如 gift_card_entry。 如要瞭解如何安裝分數制網站金鑰，請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。

2. 選用：如要封鎖大量互動和 reCAPTCHA 分數偏低的互動，請將 reCAPTCHA 與網路應用程式防火牆 (WAF) 整合。 舉例來說，您可以整合 reCAPTCHA for WAF 和 Google Cloud Armor。

3. 為所有權杖建立評估，並將 expectedAction 設為與安裝以分數為準的網站金鑰時指定的值相符。action 如要瞭解如何建立評估作業，請參閱「建立評估作業」。

4. 儲存所有評估 ID，並註記變成詐欺禮物卡或優待券的評估。

詐欺緩解策略

導入 reCAPTCHA 後，請使用下列其中一種詐欺防範策略，保護網站免於權杖破解：

• 設定卡片管理 API，確保 reCAPTCHA 權杖有效，且分數高於門檻值。

  如果分數未達到或超過指定門檻，請勿執行禮物卡或信用卡授權，也不要允許使用者使用優待券或禮物卡。 如果可以，請允許交易在購買時繼續進行，但稍後取消交易，以免驚動攻擊者。

• 建立評估時，請確認評估符合下列條件，才能順利完成交易：

  • 所有評估的權杖都有效，且分數大於指定門檻值。
  • expectedAction 的值與您在網頁上安裝計分網站金鑰時指定的 action 值相符。 如要瞭解如何驗證動作，請參閱「驗證動作」。

  如果交易不符合這些條件，請勿執行禮物卡或信用卡授權，也不要允許使用者使用優待券或禮物卡。如果可以，請允許交易在購買時繼續進行，但稍後取消交易，以免驚動攻擊者。

黃牛

黃牛行為是一種自動化威脅，攻擊者會以不公平的方式取得數量有限的熱門商品或服務。

最低實作要求

1. 在使用者需要輸入禮物卡資訊的所有頁面中，安裝計分型網站金鑰。在 action 參數中指定動作，例如 add_to_cart。 如要瞭解如何安裝分數制網站金鑰，請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。
2. 為所有權杖建立評估，並將 expectedAction 設為與安裝以分數為準的網站金鑰時指定的值相符。action 如要瞭解如何建立評估作業，請參閱「建立評估作業」。

最佳導入方式

1. 在使用者需要輸入禮物卡資訊的所有頁面中，安裝計分型網站金鑰。在 action 參數中指定動作，例如 add_to_cart。 如要瞭解如何安裝分數制網站金鑰，請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。

2. 選用：如要封鎖大量互動和 reCAPTCHA 分數偏低的互動，請將 reCAPTCHA 與網路應用程式防火牆 (WAF) 整合。 舉例來說，您可以整合 reCAPTCHA for WAF 和 Google Cloud Armor。

3. 為所有權杖建立評估，並將 expectedAction 設為與安裝以分數為準的網站金鑰時指定的值相符。action 如要瞭解如何建立評估作業，請參閱「建立評估作業」。

4. 儲存所有評估 ID，並註記詐欺交易。

詐欺緩解策略

導入 reCAPTCHA 後，請使用下列詐騙防範策略，保護網站免受黃牛黨侵擾：

1. 建立並實作根據分數調整風險的因應模型。

   以下範例顯示範例回應模型：

   • 如果分數門檻為低到中等 (0.0 到 0.5)，請使用情境式風險管理，例如限制嘗試次數，以及封鎖超過指定值的交易。
   • 如果分數高於最高門檻 (> 0.5)，允許使用者繼續操作，不必通過任何驗證。

2. 建立評估時，請確保 expectedAction 的值與您在網頁上安裝計分網站金鑰時指定的 action 值相符。如果不符，請勿執行禮物卡授權。

傾斜

偏斜是一種自動化威脅，攻擊者會重複點按連結、要求網頁或提交表單，藉此改變某些指標。

最低實作量

1. 在所有可能導致指標偏誤的網頁中，安裝分數制網站金鑰。 如要瞭解如何安裝分數制網站金鑰，請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。
2. 為所有權杖建立評估。 如要瞭解如何建立評估作業，請參閱「建立評估作業」。

最佳導入方式

1. 在所有可能導致指標偏誤的網頁中，安裝分數制網站金鑰。 如要瞭解如何安裝分數制網站金鑰，請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。

2. 選用：如要封鎖大量互動和 reCAPTCHA 分數偏低的互動，請將 reCAPTCHA 與網路應用程式防火牆 (WAF) 整合。 舉例來說，您可以整合 reCAPTCHA for WAF 和 Google Cloud Armor。

3. 為所有權杖建立評估，並將 expectedAction 設為與安裝以分數為準的網站金鑰時指定的值相符。action 如要瞭解如何建立評估作業，請參閱「建立評估作業」。

4. 儲存所有評估 ID，並註記詐欺交易。

詐欺緩解策略

導入 reCAPTCHA 後，請使用下列詐欺防範策略，保護網站免於遭到扭曲：

建立並實作根據分數調整風險的因應模型。

以下範例顯示範例回應模型：

• 如果分數門檻為低到中等 (0.0 到 0.5)，請使用情境式風險管理，例如追蹤使用者點擊廣告的次數，或使用者重新載入網頁的次數。根據這項資料判斷是否要計算指標。
• 如果分數高於最高門檻 (> 0.5)，允許使用者繼續操作，不必通過任何驗證。

抓取

網頁抓取是一種自動化威脅，攻擊者會以自動方式收集網站資料或構件。

最低實作量

1. 在所有含有重要資訊的網頁，以及重要的常見使用者互動網頁中，安裝計分網站金鑰。如要瞭解如何安裝分數制網站金鑰，請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。
2. 為所有權杖建立評估。 如要瞭解如何建立評估作業，請參閱「建立評估作業」。

最佳導入方式

1. 在所有含有重要資訊的網頁，以及重要的常見使用者互動網頁中，安裝計分網站金鑰。如要瞭解如何安裝分數制網站金鑰，請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。

2. 選用：如要封鎖大量互動和 reCAPTCHA 分數偏低的互動，請將 reCAPTCHA 與網路應用程式防火牆 (WAF) 整合。 舉例來說，您可以整合 reCAPTCHA for WAF 和 Google Cloud Armor。

3. 為所有權杖建立評估。 如要瞭解如何建立評估作業，請參閱「建立評估作業」。

4. 儲存所有評估 ID，並註記詐欺交易。

詐欺緩解策略

導入 reCAPTCHA 後，請使用下列詐欺防範策略，保護網站免於遭到內容抓取：

• 整合 reCAPTCHA 與網路應用程式防火牆 (WAF)，封鎖大量互動和 reCAPTCHA 分數偏低的互動。 舉例來說，您可以整合 reCAPTCHA for WAF 和 Google Cloud Armor
• 如果網頁擷取作業涉及 API，請使用 Apigee Management API 採取額外的防範措施。

人機驗證失敗

人機驗證破解是一種自動化威脅，攻擊者會使用自動化技術分析並判斷圖像和/或語音人機驗證測試及相關謎題的答案。

最低實作要求

1. 在所有涉及使用者輸入、帳戶建立、付款資訊，或使用者互動可能發生詐欺行為的頁面，安裝以分數為準的網站金鑰。在 action 參數中指定說明動作。 如要瞭解如何安裝分數制網站金鑰，請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。

2. 為所有權杖建立評估，並將 expectedAction 設為與安裝以分數為準的網站金鑰時指定的值相符。action 如要瞭解如何建立評估作業，請參閱「建立評估作業」。

最佳導入方式

1. 在所有涉及使用者輸入、帳戶建立、付款資訊，或使用者互動可能發生詐欺行為的頁面，安裝以分數為準的網站金鑰。在 action 參數中指定說明動作。 如要瞭解如何安裝分數制網站金鑰，請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。

2. 選用：如要封鎖大量互動和 reCAPTCHA 分數偏低的互動，請將 reCAPTCHA 與網路應用程式防火牆 (WAF) 整合。 舉例來說，您可以整合 reCAPTCHA for WAF 和 Google Cloud Armor。

3. 為所有權杖建立評估，並將 expectedAction 設為與安裝以分數為準的網站金鑰時指定的值相符。action 如要瞭解如何建立評估作業，請參閱「建立評估作業」。

4. 儲存所有評估 ID，並將變成詐欺交易或退款的評估註記為 fraudulent。如要瞭解如何為評估加上註解，請參閱「為評估加上註解」。

詐欺緩解策略

導入 reCAPTCHA 後，請使用下列其中一種詐欺防範策略，保護網站免於 CAPTCHA 破解：

• 實作回應模型並建立評估：

  1. 建立並實作根據分數調整風險的因應模型。

     以下範例顯示範例回應模型：

     • 如果分數門檻為低到中等 (0.0 到 0.5)，請透過電子郵件或簡訊，要求使用者進行多重驗證。
     • 如果分數高於最高門檻 (> 0.5)，允許使用者繼續操作，不必通過任何驗證。
  2. 建立評估時，請確保 expectedAction 的值與您在網頁上安裝計分網站金鑰時指定的 action 值相符。如果不相符，請勿允許驗證。

• 如果使用者使用的網頁瀏覽器已停用 JavaScript，請執行下列操作：

  1. 封鎖這些使用者。
  2. 通知使用者網站需要 JavaScript 才能繼續。

• 請確保已完成 grecaptcha.enterprise.ready Promise，以免使用者瀏覽器封鎖 Google 指令碼載入。這表示 reCAPTCHA 已完全載入，且未發生錯誤。

• 如果是僅限網頁的 API，建議您將 reCAPTCHA 權杖或 reCAPTCHA 評估結果傳遞至後端 API，然後只在 reCAPTCHA 權杖有效且符合分數門檻值時，才允許 API 動作。確保使用者不會略過網站直接使用 API。

後續步驟

• 安裝分數制網站金鑰。
• 安裝核取方塊網站金鑰。
• 建立評估作業。
• 為評估結果加上註解。
• 導入 Password Defense。
• 導入 Account Defender。