使用欺诈防范功能保护付款交易

本页介绍了如何使用 reCAPTCHA 欺诈防范功能,有效保护付款交易免受卡盗、付款方式盗窃欺诈和账号盗用付款欺诈等攻击。

reCAPTCHA 欺诈防范通过识别有针对性的人为攻击和规模化的欺诈尝试,帮助您保护付款交易。它会自动训练行为和交易模型,以识别可能存在欺诈行为的事件,如果接受这些事件,可能会导致争议或退款。

作为这些模型的一部分,reCAPTCHA 欺诈防范会检查交易信号,以便检测欺诈行为。例如,一系列价格较低的购买尝试可能表明存在盗刷攻击。在响应中,您会收到不同类型欺诈的风险得分,您可以根据这些得分将交易送交人工审核,或直接屏蔽高度可疑的交易。

如需设置 reCAPTCHA 欺诈防范,您需要完成以下步骤:

  1. 准备环境

  2. 为您的 Google Cloud 项目启用 reCAPTCHA 欺诈防范

  3. 通过安装基于得分的 reCAPTCHA 密钥,在付款前端安装 reCAPTCHA JavaScript

    执行 JavaScript 时,reCAPTCHA 会为每个用户会话生成唯一的 reCAPTCHA 令牌,并收集用户行为数据以评估用户。

  4. 从后端提交 Create Assessment API 请求,并附上付款工作流程中用户事件的交易数据

    在 create assessment API 请求的响应中,reCAPTCHA 会提供交易风险评分和其他原因代码(例如 suspected_carding),如果适用。

  5. 根据得分确定用户的后续操作

    您可以选择允许交易、要求进行额外验证、转交人工审核或屏蔽交易。

准备工作

  1. 如果您刚接触 reCAPTCHA,请执行以下操作:

    1. 在您的 Google Cloud 项目中配置 reCAPTCHA

    2. 创建基于得分的 reCAPTCHA 密钥

  2. 请确保您的环境支持大于 8 KB 的令牌,因为 reCAPTCHA 欺诈防范功能可能会使用较大的令牌。

启用 reCAPTCHA 欺诈防范

  1. 在 Google Cloud 控制台中,前往 reCAPTCHA 页面。

    前往 reCAPTCHA

  2. 验证项目名称是否显示在资源选择器中。

    如果您没有看到项目名称,请点击资源选择器,然后选择您的项目。

  3. 点击 设置

  4. Fraud Prevention 窗格中,点击 Configure

  5. 点击启用切换开关,然后点击保存

在付款前端安装 reCAPTCHA

如需开始检测攻击,请在付款用户体验流程的每个页面上安装基于得分的 reCAPTCHA 密钥。这包括用户查看购物车、选择付款方式和完成购买交易的界面。用户在每个步骤中做出选择后,调用 grecaptcha.enterprise.execute() 生成令牌。如需了解如何安装基于得分的网站密钥并调用 execute(),请参阅安装基于得分的网站密钥

以下示例展示了如何在信用卡交易事件中集成基于得分的网站密钥:

function submitForm() {
  grecaptcha.enterprise.ready(function() {
    grecaptcha.enterprise.execute(
      'reCAPTCHA_site_key', {action: 'purchase'}).then(function(token) {
       document.getElementById("token").value = token;
       document.getElementByID("paymentForm").submit();
    });
  });
}
 
<form id="paymentForm" action="?" method="POST">
  Total: $1.99
  Credit Card Number: <input name="cc-number" id="cc-number" autocomplete="cc-number"><br/>
  <input type="hidden" id="token" name="recaptcha_token"/>
  <button onclick="submitForm()">Purchase</button>
</form>
 
<script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>

您可以通过单击代码窗口右上角的 <> 图标,在 JSFiddle 中尝试此代码。

<html>
  <head>
    <title>Protected Payment</title>
    <script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>
    <script>
    function submitForm() {
      grecaptcha.enterprise.ready(function() {
        grecaptcha.enterprise.execute(
          'reCAPTCHA_site_key', {action: 'purchase'}).then(function(token) {
           document.getElementById("token").value = token;
           document.getElementByID("paymentForm").submit();
        });
      });
    }
    </script>
  </head>
  <body>
    <form id="paymentForm" action="?" method="POST">
      Total: $1.99
      Credit Card Number: <input name="cc-number" id="cc-number" autocomplete="cc-number"><br/>
      <input type="hidden" id="token" name="recaptcha_token"/>
      <button onclick="submitForm()">Purchase</button>
    </form>
  </body>
</html>

使用交易数据创建评估

如需启用付款欺诈判定,请使用 projects.assessments.create 方法中的其他字段,创建包含交易数据的评估。

最简单的集成包括 transaction_idpayment_methodcard_binvalue。为了提高检测质量,我们建议添加 emailbilling_address 等可选字段。

{
  "event": {
    "token": "YOUR_TOKEN",
    "site_key": "KEY_ID",
    "expected_action": "YOUR_CHECKOUT_ACTION_NAME",
    "transaction_data": {
            "transaction_id": "txid-1234567890",
            "payment_method": "credit-card",
            "card_bin": "411111",
            "card_last_four": "1234",
            "currency_code": "USD",
            "value": 39.98,
            "user": {
                "email": "someEmailAddress@example.com"
            },
            "billing_address": {
                "recipient": "name1 name2",
                "address": [
                    "123 Street Name",
                    "Apt 1"
                ],
                "locality": "Sunnyvale",
                "administrative_area": "CA",
                "region_code": "USA",
                "postal_code": "123456"
            }
        }
    }
}

为了提高得分质量,我们建议您发送其他信号

如需了解如何创建评估,请参阅为您的网站创建评估。reCAPTCHA 欺诈防范功能可能会使用较大的令牌,因此请确保以 POST 请求(而非 GET 请求)发送请求,并在正文中发送,而不是在标头中发送。

解读评估

开始发送交易数据后,您会以 JSON 响应的形式接收评估结果,其中包含 riskAnalysis 中的 fraudPreventionAssessment 组件。

以下示例是一个响应示例:

{
  "event": {....
  ....
  }
  .....
  ....
  ....
"riskAnalysis": {
    "score": "0.5"
    "reasons": SUSPECTED_CARDING
}
"fraudPreventionAssessment": {
    "transactionRisk": 0.9,
}
}

您收到的响应中包含分数和原因代码(如果适用)。分数越高,交易欺诈风险可能越大;分数越低,交易合法性可能越高。例如,得分为 0.9 表示交易欺诈风险可能较高,得分为 0.1 表示交易合法性可能较高。

您需对根据此评估采取的措施负责。 如需进行最简单的集成,您可以在 transactionRisk 上设置阈值,以便做出决策。例如,这有助于将交易送交人工审核或直接拒绝可能存在欺诈风险的交易。您还可以在自己的欺诈工作流中使用该得分,或将其作为现有系统规则的一部分使用。由于 reCAPTCHA 会检查独特的信号,并对互联网上的行为具有独特的可见性,因此即使您已经拥有成熟的欺诈检测引擎,也能获得额外的价值。

每个得分分桶都会针对最大假正例率进行校准,该比例表示可能会遇到额外摩擦的真实用户的最大比例。您需要选择的阈值取决于您的业务需求。以下示例展示了如何使用 transactionRisk 评分:

风险容忍度 建议的阈值 最大假正例率 用法示例
0.5 5% 要求在接受交易之前进行额外验证(例如两步验证)
0.7 1% 将交易送交人工审核
0.9 0.1% 拒绝交易

后续步骤