Kradzież danych uwierzytelniających to prawdziwa plaga naszych czasów. dzięki wykradzionych lub sztucznie stworzonych danych oszuści mogą zaśmiecać Twoją stronę fałszywymi komentarzami, to w najlepszym wypadku, lub dokonywać fałszywych transakcji. Jak wychwycić takie działanie? Odpowiedzią jest reCAPTCHA Enterprise.

reCAPTCHA Enterprise wykorzystuje uczenie maszynowe do monitorowania realnego ruchu na Twojej stronie internetowej. Każde z zapytań otrzymuje ocenę w zależności od przypuszczenia z jak dużym prawdopodobieństwem jest ono prawidłowe. Na tej podstawie decyduje, czy przepuścić ruch, czy też zażądać weryfikacji.

Aby ułatwić Ci decyzję o działaniu jakie należy podjąć, reCAPTCHA Enterprise generuje specjalne kody “powodów” odrzucenia żądania. Może to być np. ostrzeżenie przed wykrytym botem.

Mimo, iż reCAPTCHA Enterprise jest rozwiązaniem oferowanym przez Google i dostępnym w ramach Google Cloud, to działa ono z beckendami również innych chmur czy też dostępnych on-premises. Co więcej działa zarówno na urządzeniach mobilnych jak i w formie webowej.

Jak korzystać z reCAPTCHA Enterprise?

W jaki sposób reCAPTCHA jest w stanie wykryć, czy mamy do czynienia z prawdziwym użytkownikiem czy z botem lub oszustem? Jak można to sprawdzić z poziomu dashboardu Admin Analytics?

Jeżeli użytkownik odwiedzi Twoją stronę internetową lub korzysta z aplikacji, na której działa reCAPTCHA Enterprise, wyzwalane są następujące zdarzenia:

W pierwszej kolejności następuje uruchomienie strony internetowej lub aplikacji. Kiedy wchodzący na nią użytkownik wpisze login i hasło, reCAPTCHA Enterprise zaczyna analizować dane i zwraca zaszyfrowany token, który można później wykorzystać.

Token ląduje w backendzie, który wysyła żądanie utworzenia oceny – assessmentu (assessments.create), a w kolejnym kroku jest przesyłany do API reCAPTCHA Enterprise, gdzie następuje faza oceny.

Po dokonaniu oceny API reCAPTCHA Enterprise zwraca do backendu klienta werdykt w postaci wyniku od 0.0 do 1.0 oraz kodu przyczyny, czyli reason code. Werdykt wydawany jest na podstawie ryzyka oszacowanego dla danego żądania.

Na podstawie werdyktu i score ty, jako programista możesz zdecydować o kolejnych krokach, które należy podjąć.

źródło: Google Cloud

Przykłady użycia reCAPTCHA w praktyce

Firmy, z różnych względów wymagają coraz częściej od swoich klientów zakładania kont. Może “wymagają” to słowo nieco na wyrost, bo przecież zawsze jest lub powinna być możliwość zrobienia zakupów bez zakładania konta w danym serwisie. Jednak praktyka i marketing pokazują, iż z kontem jest łatwiej, sprawniej weryfikować status zamówienia, otrzymuje się dostęp do promocji itp.

Druga strona medalu jest taka, iż jak wynika z badań Akrose Lab, około 73% przypadków oszustw i nadużyć dotyczyło właśnie logowania, a 19% samej rejestracji kont. Jakich ataków możemy się spodziewać w tym zakresie? Jak je rozpoznać?

Kreacja wielu kont

Zdarza się tworzenie wielu kont na raz, które w następnej kolejności wykorzystywane są do generowania spamu, prania pieniędzy czy też rozprzestrzeniania złośliwego oprogramowania.

Jak rozpoznać ten typ ataku? Na pewno przez obserwację, o ile mamy nagle wyższy niż średni współczynnik tworzenia kont, lub też rośnie nam liczba kont z niekompletnymi informacjami, przynajmniej w porównaniu do kont typowych posiadaczy lub konta zostały utworzone, ale nie są od razu wykorzystywane, to prawdopodobnie mamy do czynienia z tym atakiem i koniecznie powinniśmy wdrożyć reCAPTACHA.

Carding

Innym popularnym atakiem jest carding, czyli wiele prób autoryzacji płatności stosowanych w celu sprawdzenia ważności masowo skradzionych danych kart płatniczych. Brzmi skomplikowanie?

Sprzedawcy, którzy dopuszczają zakupy kartą identyfikują prawidłowość danych karty. Ponieważ jakość skradzionych masowo danych bywa dla przestępców często nieznana, carding służy weryfikacji prawidłowych danych o większej wartości. Najczęściej do kradzieży danych dochodzi w innej aplikacji lub też w innym kanale płatności.

O tym, czy mamy do czynienia z cardingiem może świadczyć większa niż zwykle liczba porzuceń koszyka czy też obniżona średnia cena koszyka. Naturalny w tym przypadku jest też wyższy odsetek nieudanych autoryzacji płatności, a szczególnie dla tego samego użytkownika lub adresu IP.

Podobne symptomy dotyczą jeszcze jednego nielegalnego zjawiska jakim jest Card Cracking. W tym przypadku oszuści próbują ustalić brakujące dane takie jak np. termin ważności karty czy numer CVC.

Cashing Out

Na koniec jeszcze jeden typ przestępstwa, czyli cashing out. Cyberprzestępcy mogą próbować zainstalować w serwisie, najczęściej instytucji finansowej lub podmiotu przetwarzającego płatności, złośliwe oprogramowanie, które zdobywa informacje o rachunku debetowym i karcie klienta. W następnej kolejności wykorzystują te dane, aby otrzymać np. zwrot środków za zwrócony produkt (oczywiście oszukańczo zwrócony, bo nigdy nie zamówiony).

Jeżeli widzisz zwiększony popyt na usługi lub towary wyższej wartości lub pochodzące od jednego dostawcy, albo w przypadku serwisów działających na zasadzie “giełdy” ogłoszeń – te same lub podobne konta po stronie sprzedającego i kupującego, to może to być podłoże do cashing out’u. Tu również przyda się zabezpieczenie reCAPTACHA.

Podsumowanie

reCAPTCHA Enterprise to Twój naturalny sojusznik, który pomoże ochronić witrynę internetową, sklep online czy aplikację przed botami oraz nadużyciami, zarówno automatycznymi jak i dokonywanymi przez ludzi.

Pamiętajcie, iż zawsze możesz skonsultować kwestie bezpieczeństwa z ekspertami FOTC, którzy chętnie pomogą Ci skonfigurować reCAPTCHA Enterprise, tak aby ograniczyć ryzyko ataku.