本文說明建議採用的 reCAPTCHA 實作方式和詐欺防範策略,以防範重大自動化威脅 (OWASP 網路應用程式自動化威脅 (OAT))。企業架構師和技術利害關係人可以查看這項資訊,針對其用途的 reCAPTCHA 實作和詐欺防範策略,做出明智的決策。
這份文件會針對每種威脅提供下列資訊:
以最佳方式導入 reCAPTCHA。這項實作方式採用 reCAPTCHA 的相關功能,可提供最佳的詐欺防護。
最簡單的 reCAPTCHA 實作方式。這項實作方式旨在提供最低程度的詐欺防護。
建議的詐欺緩解策略。
請根據您的用途,選擇最合適的實作和詐欺防範策略。 下列因素可能會影響您選擇的實作和詐欺防範策略:
- 機構的反詐欺需求和能力。
- 機構現有的環境。
如要進一步瞭解適用於您用途的詐欺防範策略,請與我們的銷售團隊聯絡。
梳理
盜刷是自動化威脅,攻擊者會多次嘗試授權付款,以驗證大量竊取的付款卡片資料是否有效。
最低實作量
在使用者需要輸入信用卡資訊的所有頁面,安裝核取方塊網站金鑰。如要瞭解如何安裝核取方塊網站金鑰,請參閱「在網站中安裝核取方塊網站金鑰 (核取方塊驗證問題)」。
為所有權杖建立評估。 如要瞭解如何建立評估作業,請參閱「建立評估作業」。
最佳導入方式
在使用者需要輸入信用卡資訊的所有頁面中,安裝計分型網站金鑰。在
action參數中指定動作,例如card_entry。如要瞭解如何安裝分數制網站金鑰,請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。在網站的付款工作流程中安裝 reCAPTCHA。如要瞭解如何保護付款工作流程,請參閱「保護付款工作流程」。
為所有權杖建立評估,並將
expectedAction設為與安裝以分數為準的網站金鑰時指定的值相符。action如要瞭解如何建立評估作業,請參閱「建立評估作業」。儲存所有評估 ID,並將變成詐欺交易或退款的評估註記為
fraudulent。如要瞭解如何為評估加上註解,請參閱「為評估加上註解」。
詐欺緩解策略
導入 reCAPTCHA 後,請使用下列其中一種詐欺防範策略,保護網站免於卡號盜用:
在網站的付款工作流程中安裝 reCAPTCHA。如要瞭解如何保護付款工作流程,請參閱「保護付款工作流程」。
設定卡片管理 API,確保 reCAPTCHA 權杖有效,且分數高於門檻值。
如果分數未達到或超過指定門檻值,請勿執行授權或允許使用者使用卡片。如果可以,請允許交易在購買時繼續進行,但稍後取消交易,以免驚動攻擊者。
建立評估時,請確認評估符合下列條件,才能順利完成交易:
- 所有評估的權杖都有效,且分數大於指定門檻值。
expectedAction的值與您在網頁上安裝計分網站金鑰時指定的action值相符。 如要瞭解如何驗證動作,請參閱「驗證動作」。
如果交易不符合這些條件,請勿執行授權或允許使用者使用卡片。如果可以,請允許交易在購買時繼續進行,但稍後取消交易,以免驚動攻擊者。
盜刷信用卡
卡片破解是一種自動化威脅,攻擊者會嘗試不同的值,找出遭竊付款卡資料的開始日期、有效期限和安全碼。
最低實作量
在所有需要使用者輸入付款詳細資料的頁面 (包括「結帳」和「新增付款方式」功能),安裝核取方塊網站金鑰。 如要瞭解如何安裝核取方塊網站金鑰,請參閱「在網站中安裝核取方塊網站金鑰 (核取方塊驗證問題)」。
為所有權杖建立評估。 如要瞭解如何建立評估作業,請參閱「建立評估作業」。
最佳導入方式
在使用者需要輸入付款詳細資料的所有頁面中,安裝計分型網站金鑰。在
action參數中指定動作,例如checkout或add_pmtmethod。 如要瞭解如何安裝分數制網站金鑰,請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。在網站的付款工作流程中安裝 reCAPTCHA。如要瞭解如何保護付款工作流程,請參閱「保護付款工作流程」。
為所有權杖建立評估,並將
expectedAction設為與安裝以分數為準的網站金鑰時指定的值相符。action如要瞭解如何建立評估作業,請參閱「建立評估作業」。儲存所有評估 ID,並將變成詐欺交易或退款的評估註記為
fraudulent。如要瞭解如何為評估加上註解,請參閱「為評估加上註解」。
詐欺緩解策略
導入 reCAPTCHA 後,請使用下列其中一種詐欺防範策略,保護網站免受信用卡破解攻擊:
在網站的付款工作流程中安裝 reCAPTCHA。如要瞭解如何保護付款工作流程,請參閱「保護付款工作流程」。
實作回應模型並建立評估:
建立並實作根據分數調整風險的因應模型。
以下範例顯示範例回應模型:
- 如果分數門檻為低到中等 (0.0 到 0.5),請使用情境式風險管理,例如限制嘗試次數,以及封鎖超過指定值的交易。
- 如果分數高於最高門檻 (> 0.5),允許使用者繼續操作,不必通過任何驗證。
建立評估時,請確保
expectedAction的值與您在網頁上安裝計分網站金鑰時指定的action值相符。如果兩者不符,請勿執行授權或允許使用者使用該卡片。如果可以,請允許交易在購買時繼續進行,但稍後取消交易,以免驚動攻擊者。
破解憑證
憑證破解是一種自動化威脅,攻擊者會嘗試不同的使用者名稱和密碼值,找出有效的登入憑證。
最低實作量
在使用者需要輸入憑證的所有頁面 (包括「登入」和「忘記密碼」功能) 安裝核取方塊網站金鑰。 如要瞭解如何安裝核取方塊網站金鑰,請參閱「在網站中安裝核取方塊網站金鑰 (核取方塊驗證問題)」。
為所有權杖建立評估。 如要瞭解如何建立評估作業,請參閱「建立評估作業」。
最佳導入方式
-
在所有需要使用者輸入憑證的頁面中,安裝計分型網站金鑰。
在
action參數中指定動作,例如login或authenticate。如要瞭解如何安裝分數制網站金鑰,請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。 - 建議:針對所有驗證嘗試導入 reCAPTCHA 密碼防護機制。 如要瞭解如何使用密碼防護功能,請參閱「偵測密碼外洩情形和外洩的憑證」。
- 選用:如要封鎖大量互動和 reCAPTCHA 分數偏低的互動,請將 reCAPTCHA 與網路應用程式防火牆 (WAF) 整合。 舉例來說,您可以整合 reCAPTCHA for WAF 和 Google Cloud Armor。
- 導入 reCAPTCHA 帳戶防護機制,追蹤登入程序中終端使用者的行為趨勢,並接收可指出帳戶盜用行為的額外信號。如要瞭解如何使用 reCAPTCHA 帳戶防護工具,請參閱「偵測及防範帳戶相關的詐欺活動」。
-
為所有權杖建立評估,並將
expectedAction設為與安裝以分數為準的網站金鑰時指定的值相符。action如要瞭解如何建立評估作業,請參閱「建立評估作業」。 - 儲存所有評估 ID,並註記疑似詐欺的評估,例如帳戶盜用 (ATO) 或任何其他詐欺活動。如要瞭解如何為評估加上註解,請參閱「為評估加上註解」。
詐欺緩解策略
導入 reCAPTCHA 後,請使用下列詐欺防範策略,保護網站免受憑證破解攻擊:
-
建立並實作根據分數調整風險的應變模型。
以下範例顯示範例回應模型:
- 如果分數門檻為低到中等 (0.0 到 0.5),請透過電子郵件或簡訊,要求使用者進行多重驗證。
- 如果分數高於最高門檻 (> 0.5),允許使用者繼續操作,不必通過任何驗證。
-
如果使用者通過驗證,但收到 reCAPTCHA 密碼防護機制傳回的
credentialsLeaked: true回應,請結束或中斷這些使用者的工作階段,並傳送電子郵件給他們,要求變更密碼。 -
建立評估時,請確保
expectedAction的值與您在網頁上安裝計分網站金鑰時指定的action值相符。如果不相符,請勿允許驗證。
憑證填充行為
憑證填塞是一種自動化威脅,攻擊者會嘗試大量登入,藉此驗證竊取的使用者名稱/密碼組合是否有效。
最低實作量
在使用者需要輸入憑證的所有頁面 (包括「登入」和「忘記密碼」功能) 安裝核取方塊網站金鑰。 如要瞭解如何安裝核取方塊網站金鑰,請參閱「在網站中安裝核取方塊網站金鑰 (核取方塊驗證問題)」。
為所有權杖建立評估。 如要瞭解如何建立評估作業,請參閱「建立評估作業」。
最佳導入方式
-
在所有需要使用者輸入憑證的頁面中,安裝計分型網站金鑰。
在
action參數中指定動作,例如login或authenticate。如要瞭解如何安裝分數制網站金鑰,請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。 - 建議:針對所有驗證嘗試導入 reCAPTCHA 密碼防護機制。 如要瞭解如何使用密碼防護功能,請參閱「偵測密碼外洩情形和外洩的憑證」。
- 導入 reCAPTCHA 帳戶防護機制,追蹤登入程序中終端使用者的行為趨勢,並接收可指出帳戶盜用行為的額外信號。如要瞭解如何使用 reCAPTCHA 帳戶防護工具,請參閱「偵測及防範帳戶相關的詐欺活動」。
選用:如要封鎖大量互動和 reCAPTCHA 分數偏低的互動,請將 reCAPTCHA 與網路應用程式防火牆 (WAF) 整合。 舉例來說,您可以整合 reCAPTCHA for WAF 和 Google Cloud Armor。
為所有權杖建立評估,並將
expectedAction設為與安裝以分數為準的網站金鑰時指定的值相符。action如要瞭解如何建立評估作業,請參閱「建立評估作業」。儲存所有評估 ID,並將變成詐欺交易或退款的評估註記為
fraudulent。如要瞭解如何為評估加上註解,請參閱「為評估加上註解」。
詐欺緩解策略
導入 reCAPTCHA 後,請使用下列詐欺防範策略,保護網站免受憑證填充攻擊:
-
建立並實作根據分數調整風險的因應模型。
以下範例顯示範例回應模型:
- 如果 reCAPTCHA 分數門檻最低 (0.0),請通知使用者密碼不正確。
- 如果分數介於 0.1 到 0.5 之間,則透過電子郵件或簡訊,要求使用者完成多重驗證。
- 如果分數高於最高門檻 (> 0.5),允許使用者繼續操作,不必通過任何驗證。
-
如果使用者通過驗證,但收到 reCAPTCHA 密碼防護機制傳回的
credentialsLeaked: true回應,請結束或中斷這些使用者的工作階段,並傳送電子郵件給他們,要求變更密碼。 -
建立評估時,請確保
expectedAction的值與您在網頁上安裝計分網站金鑰時指定的action值相符。如果不相符,請勿允許驗證。 - 在評估中,如果
accountDefenderAssessment=PROFILE_MATCH,請允許使用者繼續操作,不必進行任何驗證。
提領款項
提領現金是一種自動化威脅,攻擊者會利用先前驗證過的失竊付款卡,取得貨幣或高價值商品。
最低實作要求
- 在所有可結帳的頁面中安裝分數制網站金鑰。 如要瞭解如何安裝分數制網站金鑰,請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。
- 為所有權杖建立評估。 如要瞭解如何建立評估作業,請參閱「建立評估作業」。
最佳導入方式
- 在所有使用者輸入禮物卡資訊的頁面中,安裝計分型網站金鑰。指定動作,例如
add_gift_card。 如要瞭解如何安裝分數制網站金鑰,請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。 為所有權杖建立評估,並將
expectedAction設為與安裝以分數為準的網站金鑰時指定的值相符。action如要瞭解如何建立評估作業,請參閱「建立評估作業」。儲存所有評估 ID,並註記詐欺交易。
詐欺緩解策略
導入 reCAPTCHA 後,請使用下列防範詐欺策略,保護網站免於提領現金:
在網站的付款工作流程中安裝 reCAPTCHA。如要瞭解如何保護付款工作流程,請參閱「保護付款工作流程」。
實作回應模型並建立評估:
-
建立並實作根據分數調整風險的因應模型。
以下範例顯示範例回應模型:
- 如果分數門檻為低到中等 (0.0 到 0.5),請使用情境式風險管理,例如限制嘗試次數,以及封鎖超過指定值的交易。
- 如果分數高於最高門檻 (> 0.5),允許使用者繼續操作,不必通過任何驗證。
-
建立評估時,請確保
expectedAction的值與您在網頁上安裝計分網站金鑰時指定的action值相符。如果不相符,請勿允許驗證。 如果可以,請允許交易在購買時繼續進行,但稍後取消交易,以免驚動攻擊者。
-
建立帳戶
帳戶建立是一種自動化威脅,攻擊者會建立多個帳戶,以供後續濫用。
最低實作量
在使用者需要輸入憑證的所有頁面 (包括「登入」和「忘記密碼」功能) 安裝核取方塊網站金鑰。 如要瞭解如何安裝核取方塊網站金鑰,請參閱「在網站中安裝核取方塊網站金鑰 (核取方塊驗證問題)」。
為所有權杖建立評估。 如要瞭解如何建立評估作業,請參閱「建立評估作業」。
最佳導入方式
- 在建立帳戶的所有頁面中安裝分數制網站金鑰。
在
action參數中指定動作,例如register。如要瞭解如何安裝分數制網站金鑰,請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。 - 建議:針對所有驗證嘗試導入 reCAPTCHA 密碼防護機制。 如要瞭解如何使用密碼防護功能,請參閱「偵測密碼外洩情形和外洩的憑證」。
- 導入 reCAPTCHA 帳戶防護工具,接收更多指出偽造帳戶的信號。 如要瞭解如何使用 reCAPTCHA 帳戶防護工具,請參閱「偵測及防範帳戶相關的詐欺活動」。
選用:如要封鎖大量互動和 reCAPTCHA 分數偏低的互動,請將 reCAPTCHA 與網路應用程式防火牆 (WAF) 整合。 舉例來說,您可以整合 reCAPTCHA for WAF 和 Google Cloud Armor。
為所有權杖建立評估,並將
expectedAction設為與安裝以分數為準的網站金鑰時指定的值相符。action如要瞭解如何建立評估作業,請參閱「建立評估作業」。儲存所有評估 ID,並註記詐欺交易。
詐欺緩解策略
導入 reCAPTCHA 後,請使用下列詐欺防範策略,保護網站免於帳戶建立行為的侵擾:
-
建立並實作根據分數調整風險的因應模型。
以下範例顯示範例回應模型:
- 如果 reCAPTCHA 分數門檻最低 (0.0),請限制帳戶的動作,直到通過進一步的詐欺檢查為止。
- 如果分數介於 0.1 到 0.5 之間,則透過電子郵件或簡訊要求使用者進行多重驗證。
- 如果分數高於最高門檻 (> 0.5),允許使用者繼續操作,不必通過任何驗證。
- 如果使用者通過驗證,但收到 reCAPTCHA 密碼防護機制傳回的
credentialsLeaked: true回應,請結束或中斷工作階段,並提示使用者選取新密碼。 -
建立評估時,請確保
expectedAction的值與您在網頁上安裝計分網站金鑰時指定的action值相符。如果不相符,請勿允許註冊或建立帳戶。 - 在評估中,如果
accountDefenderAssessment=SUSPICIOUS_ACCOUNT_CREATION,請限制帳戶存取權,直到完成進一步驗證為止。
詐欺帳戶和地址變更
攻擊者可能會嘗試變更帳戶詳細資料,包括電子郵件地址、電話號碼或郵寄地址,以進行詐欺活動或盜用帳戶。
最低實作量
在使用者需要輸入憑證的所有頁面 (包括「登入」和「忘記密碼」功能) 安裝核取方塊網站金鑰。 如要瞭解如何安裝核取方塊網站金鑰,請參閱「在網站中安裝核取方塊網站金鑰 (核取方塊驗證問題)」。
為所有權杖建立評估。 如要瞭解如何建立評估作業,請參閱「建立評估作業」。
最佳導入方式
在建立帳戶的所有頁面中安裝分數制網站金鑰。 在
action參數中指定動作,例如change_telephone或change_physicalmail。如要瞭解如何安裝分數制網站金鑰,請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。為所有權杖建立評估,並將
expectedAction設為與安裝以分數為準的網站金鑰時指定的值相符。action如要瞭解如何建立評估作業,請參閱「建立評估作業」。導入 reCAPTCHA 帳戶防護機制,追蹤登入程序中終端使用者的行為趨勢,並接收可指出帳戶盜用行為的額外信號。如要瞭解如何使用 reCAPTCHA 帳戶防護工具,請參閱「偵測及防範帳戶相關的詐欺活動」。
儲存所有評估 ID,並註記詐欺交易。
詐欺緩解策略
導入 reCAPTCHA 後,請採用下列詐騙防範策略,保護網站免受詐欺帳戶和地址變更的影響:
建立並實作根據分數調整風險的因應模型。
以下範例顯示範例回應模型:
- 如果分數門檻為低到中等 (0.0 到 0.5),請透過電子郵件或簡訊,要求使用者進行多重驗證。
- 如果分數高於最高門檻 (> 0.5),允許使用者繼續操作,不必通過任何驗證。
建立評估時,請確保
expectedAction的值與您在網頁上安裝計分網站金鑰時指定的action值相符。如果兩者不相符,請勿允許變更帳戶。在評估中,如果
accountDefenderAssessment沒有PROFILE_MATCH標籤,請透過電子郵件或簡訊,要求使用者進行多重驗證。
權杖破解
代碼破解是一種自動化威脅,攻擊者會大量列舉優待券號碼、兌換碼、折扣代碼。
最低實作量
在使用者需要輸入禮物卡資訊的所有頁面中,安裝核取方塊網站金鑰。如要瞭解如何安裝核取方塊網站金鑰,請參閱「在網站中安裝核取方塊網站金鑰 (核取方塊驗證問題)」。
為所有權杖建立評估。 如要瞭解如何建立評估作業,請參閱「建立評估作業」。
最佳導入方式
在所有需要使用者輸入禮物卡資訊的頁面中,安裝計分型網站金鑰。指定動作,例如
gift_card_entry。 如要瞭解如何安裝分數制網站金鑰,請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。選用:如要封鎖大量互動和 reCAPTCHA 分數偏低的互動,請將 reCAPTCHA 與網路應用程式防火牆 (WAF) 整合。 舉例來說,您可以整合 reCAPTCHA for WAF 和 Google Cloud Armor。
為所有權杖建立評估,並將
expectedAction設為與安裝以分數為準的網站金鑰時指定的值相符。action如要瞭解如何建立評估作業,請參閱「建立評估作業」。儲存所有評估 ID,並註記變成詐欺禮物卡或優待券的評估。
詐欺緩解策略
導入 reCAPTCHA 後,請使用下列其中一種詐欺防範策略,保護網站免於權杖破解:
設定卡片管理 API,確保 reCAPTCHA 權杖有效,且分數高於門檻值。
如果分數未達到或超過指定門檻,請勿執行禮物卡或信用卡授權,也不要允許使用者使用優待券或禮物卡。 如果可以,請允許交易在購買時繼續進行,但稍後取消交易,以免驚動攻擊者。
建立評估時,請確認評估符合下列條件,才能順利完成交易:
- 所有評估的權杖都有效,且分數大於指定門檻值。
expectedAction的值與您在網頁上安裝計分網站金鑰時指定的action值相符。 如要瞭解如何驗證動作,請參閱「驗證動作」。
如果交易不符合這些條件,請勿執行禮物卡或信用卡授權,也不要允許使用者使用優待券或禮物卡。如果可以,請允許交易在購買時繼續進行,但稍後取消交易,以免驚動攻擊者。
黃牛
黃牛行為是一種自動化威脅,攻擊者會以不公平的方式取得數量有限的熱門商品或服務。
最低實作要求
- 在使用者需要輸入禮物卡資訊的所有頁面中,安裝計分型網站金鑰。在
action參數中指定動作,例如add_to_cart。 如要瞭解如何安裝分數制網站金鑰,請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。 -
為所有權杖建立評估,並將
expectedAction設為與安裝以分數為準的網站金鑰時指定的值相符。action如要瞭解如何建立評估作業,請參閱「建立評估作業」。
最佳導入方式
在使用者需要輸入禮物卡資訊的所有頁面中,安裝計分型網站金鑰。在
action參數中指定動作,例如add_to_cart。 如要瞭解如何安裝分數制網站金鑰,請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。選用:如要封鎖大量互動和 reCAPTCHA 分數偏低的互動,請將 reCAPTCHA 與網路應用程式防火牆 (WAF) 整合。 舉例來說,您可以整合 reCAPTCHA for WAF 和 Google Cloud Armor。
為所有權杖建立評估,並將
expectedAction設為與安裝以分數為準的網站金鑰時指定的值相符。action如要瞭解如何建立評估作業,請參閱「建立評估作業」。儲存所有評估 ID,並註記詐欺交易。
詐欺緩解策略
導入 reCAPTCHA 後,請使用下列詐騙防範策略,保護網站免受黃牛黨侵擾:
建立並實作根據分數調整風險的因應模型。
以下範例顯示範例回應模型:
- 如果分數門檻為低到中等 (0.0 到 0.5),請使用情境式風險管理,例如限制嘗試次數,以及封鎖超過指定值的交易。
- 如果分數高於最高門檻 (> 0.5),允許使用者繼續操作,不必通過任何驗證。
建立評估時,請確保
expectedAction的值與您在網頁上安裝計分網站金鑰時指定的action值相符。如果不符,請勿執行禮物卡授權。
傾斜
偏斜是一種自動化威脅,攻擊者會重複點按連結、要求網頁或提交表單,藉此改變某些指標。
最低實作量
- 在所有可能導致指標偏誤的網頁中,安裝分數制網站金鑰。 如要瞭解如何安裝分數制網站金鑰,請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。
- 為所有權杖建立評估。 如要瞭解如何建立評估作業,請參閱「建立評估作業」。
最佳導入方式
在所有可能導致指標偏誤的網頁中,安裝分數制網站金鑰。 如要瞭解如何安裝分數制網站金鑰,請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。
選用:如要封鎖大量互動和 reCAPTCHA 分數偏低的互動,請將 reCAPTCHA 與網路應用程式防火牆 (WAF) 整合。 舉例來說,您可以整合 reCAPTCHA for WAF 和 Google Cloud Armor。
為所有權杖建立評估,並將
expectedAction設為與安裝以分數為準的網站金鑰時指定的值相符。action如要瞭解如何建立評估作業,請參閱「建立評估作業」。儲存所有評估 ID,並註記詐欺交易。
詐欺緩解策略
導入 reCAPTCHA 後,請使用下列詐欺防範策略,保護網站免於遭到扭曲:
建立並實作根據分數調整風險的因應模型。
以下範例顯示範例回應模型:
- 如果分數門檻為低到中等 (0.0 到 0.5),請使用情境式風險管理,例如追蹤使用者點擊廣告的次數,或使用者重新載入網頁的次數。根據這項資料判斷是否要計算指標。
- 如果分數高於最高門檻 (> 0.5),允許使用者繼續操作,不必通過任何驗證。
抓取
網頁抓取是一種自動化威脅,攻擊者會以自動方式收集網站資料或構件。
最低實作量
- 在所有含有重要資訊的網頁,以及重要的常見使用者互動網頁中,安裝計分網站金鑰。如要瞭解如何安裝分數制網站金鑰,請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。
- 為所有權杖建立評估。 如要瞭解如何建立評估作業,請參閱「建立評估作業」。
最佳導入方式
在所有含有重要資訊的網頁,以及重要的常見使用者互動網頁中,安裝計分網站金鑰。如要瞭解如何安裝分數制網站金鑰,請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。
選用:如要封鎖大量互動和 reCAPTCHA 分數偏低的互動,請將 reCAPTCHA 與網路應用程式防火牆 (WAF) 整合。 舉例來說,您可以整合 reCAPTCHA for WAF 和 Google Cloud Armor。
為所有權杖建立評估。 如要瞭解如何建立評估作業,請參閱「建立評估作業」。
儲存所有評估 ID,並註記詐欺交易。
詐欺緩解策略
導入 reCAPTCHA 後,請使用下列詐欺防範策略,保護網站免於遭到內容抓取:
- 整合 reCAPTCHA 與網路應用程式防火牆 (WAF),封鎖大量互動和 reCAPTCHA 分數偏低的互動。 舉例來說,您可以整合 reCAPTCHA for WAF 和 Google Cloud Armor
- 如果網頁擷取作業涉及 API,請使用 Apigee Management API 採取額外的防範措施。
人機驗證失敗
人機驗證破解是一種自動化威脅,攻擊者會使用自動化技術分析並判斷圖像和/或語音人機驗證測試及相關謎題的答案。
最低實作要求
在所有涉及使用者輸入、帳戶建立、付款資訊,或使用者互動可能發生詐欺行為的頁面,安裝以分數為準的網站金鑰。在
action參數中指定說明動作。 如要瞭解如何安裝分數制網站金鑰,請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。為所有權杖建立評估,並將
expectedAction設為與安裝以分數為準的網站金鑰時指定的值相符。action如要瞭解如何建立評估作業,請參閱「建立評估作業」。
最佳導入方式
- 在所有涉及使用者輸入、帳戶建立、付款資訊,或使用者互動可能發生詐欺行為的頁面,安裝以分數為準的網站金鑰。在
action參數中指定說明動作。 如要瞭解如何安裝分數制網站金鑰,請參閱「在網站中安裝分數制網站金鑰 (無驗證問題)」。 選用:如要封鎖大量互動和 reCAPTCHA 分數偏低的互動,請將 reCAPTCHA 與網路應用程式防火牆 (WAF) 整合。 舉例來說,您可以整合 reCAPTCHA for WAF 和 Google Cloud Armor。
為所有權杖建立評估,並將
expectedAction設為與安裝以分數為準的網站金鑰時指定的值相符。action如要瞭解如何建立評估作業,請參閱「建立評估作業」。儲存所有評估 ID,並將變成詐欺交易或退款的評估註記為
fraudulent。如要瞭解如何為評估加上註解,請參閱「為評估加上註解」。
詐欺緩解策略
導入 reCAPTCHA 後,請使用下列其中一種詐欺防範策略,保護網站免於 CAPTCHA 破解:
實作回應模型並建立評估:
-
建立並實作根據分數調整風險的因應模型。
以下範例顯示範例回應模型:
- 如果分數門檻為低到中等 (0.0 到 0.5),請透過電子郵件或簡訊,要求使用者進行多重驗證。
- 如果分數高於最高門檻 (> 0.5),允許使用者繼續操作,不必通過任何驗證。
-
建立評估時,請確保
expectedAction的值與您在網頁上安裝計分網站金鑰時指定的action值相符。如果不相符,請勿允許驗證。
-
如果使用者使用的網頁瀏覽器已停用 JavaScript,請執行下列操作:
- 封鎖這些使用者。
- 通知使用者網站需要 JavaScript 才能繼續。
請確保已完成
grecaptcha.enterprise.readyPromise,以免使用者瀏覽器封鎖 Google 指令碼載入。這表示 reCAPTCHA 已完全載入,且未發生錯誤。如果是僅限網頁的 API,建議您將 reCAPTCHA 權杖或 reCAPTCHA 評估結果傳遞至後端 API,然後只在 reCAPTCHA 權杖有效且符合分數門檻值時,才允許 API 動作。確保使用者不會略過網站直接使用 API。