编者注:HBO Max 高级安全工程师 Randy Gingeleski 和 HBO Max 首席信息安全官 Brian Lozada 共同撰写了此博客,分享他们使用 reCAPTCHA Enterprise 的经验,希望帮助其他企业实现相同级别的客户体验安全。

COVID-19 让受众有比以往更多的时间来探索 HBO Max 上托管的精彩内容,并大大增加了对快速、可靠流媒体服务体验的需求。为了支持这一需求,我们在客户体验工具和数字体验上进行了大量的投资,以持续为我们的客户提供最新内容,同时打造一流的体验。但随着对我们服务的需求增加,我们的攻击面也随之增大。

在去年有 65% 的企业注意到在线攻击有所增加,我们就是其中的一员。攻击者试图以我们的方式抛出任何东西,从使用泄露的凭据登录账号,到输入虚假的促销代码,再到在支付页面上使用被盗的信用卡信息。

在我们对抵御基于 Web 的攻击方法进行评估时,我们着手构建一个安全策略,将客户体验置于我们所做一切措施的中心位置。在 HBO Max,我们认为安全性应该为我们的安全团队所用,并且对我们的最终用户透明。我们用来实现该目标的策略之一是 reCAPTCHA Enterprise,这是一种零摩擦的 Bot 管理解决方案,可以阻止欺诈者,同时允许客户顺畅的使用我们的服务。今天,我们将分享我们如何使用 reCAPTCHA Enterprise 为我们的客户创造顺畅的体验,增强我们的安全团队的能力,并进一步发展我们的业务。

与大多数拥有网站和移动应用程序的企业一样,我们有多个网页,这些网页会成为人类和自动化行为者的目标。受到最大和最频繁攻击的网页是帮助客户购买 HBO Max 会员资格的网页。我们注意到攻击者试图使用被盗的信用卡信息或在我们的支付页面上反复重新输入相同的信用卡信息。我们还注意到攻击者试图在支付页面上反复使用当前和过期的优惠券代码。

我们之所以选择 reCAPTCHA Enterprise,是因为我们想采用一款经过验证的产品,可以防止撞库、优惠券欺诈和其他欺诈攻击,同时提供顺畅的客户体验。Google 拥有超过 10 年的经验来保护超过 500 万个站点的网络的互联网和数据,而这种经验正是 reCAPTCHA Enterprise 的基础,这让我们相信它可以满足我们的需求。

在我们的用户群中,有很大一部分用户不必注册 HBO Max,因为他们已经是 Hulu、AT&T 或其他合作伙伴公司的客户。对于全新客户,他们需要直接通过 HBO Max 注册、创建账号并登录。在为这些客户保护注册系统时,我们必须平衡几个内部利益相关者的需求。我们的客户体验团队需要一种安全产品,该产品不会对他们构建和优化的客户旅程产生影响,从而让用户尽可能轻松完成 HBO Max 的注册。我们的营销团队需要一种不会阻止他们直接与潜在客户互动和联系的安全产品。我们的产品团队则希望客户能够安全地浏览和流式传输内容。我们的注册流程必须满足所有利益相关者的需求,同时为我们的网站提供高级别的安全性。

用复选框、单击图像或让我们的客户参与某种挑战的传统方法感觉像是一种老掉牙且廉价的方法。借助 reCAPTCHA Enterprise,我们消除了受众的负担,因为它可以确保注册流程的安全,并且无需人工参与任何类型的挑战测试。这对每个人来说都是一场胜利。内部利益相关者可以创造以客户为中心的体验,客户可以轻松使用我们的服务。这甚至使客户更喜欢我们的服务,而不是使用需要更多努力才能完成安全验证的竞争对手。

reCAPTCHA Enterprise 提供了许多功能,包括移动应用程序 SDK 支持和用于模型调整的注释 API,可帮助我们的安全团队确定与我们网站的交互是来自人类还是 bot。

我们使用 reCAPTCHA Enterprise 中的风险评分来确定交互是否会影响合法客户以及我们的业务。reCAPTCHA Enterprise 为我们提供了从 0 到 1 之间的 11 个分值,接近 0 的分数如 0.1 和 0.3 表示高风险或高度欺诈,而分数如 0.7 和 0.9 表示低风险且可能是人类。我们通过分析我们的网络和网络流量以及客户的用户名和账号 ID 来审查我们的风险评分。总之,所有这些信息有助于我们为网站设置风险阈值,我们不会允许低分的网站交互。我们还使用 reCAPTCHA Enterprise 的注释 API 来根据我们网站的偏好调整网络风险分析,例如不允许在我们的网页上进行低分互动。到目前为止,我们所设下的门槛没有出现问题,合法客户已经能够与我们的网站互动。

除了使用 reCAPTCHA Enterprise 的风险评分外,我们还使用其原因代码来帮助我们解释与我们网站的交互。原因代码是 reCAPTCHA Enterprise 为交互分配风险评分的方式。他们告诉我们诸如交互是自动进行还是不遵循正常模式之类的事情。原因代码为我们提供了信心、准确性和确定交互中出了什么问题的起点。从那里,我们还会查看日志以及用户完成不同操作的速度。

reCAPTCHA Enterprise 不仅改变了我们的客户和我们的安全团队,也改变了我们的业务。通过保护我们一些最易受攻击的页面,例如帐号创建、登录、促销代码页或支付页面,我们发现暴力破解和撞库攻击大幅减少。我们还用 reCAPTCHA  Enterprise 替换了用于保护礼品卡的旧软件,并且我们注意到令牌破解欺诈大幅降低。由于包括智能电视、手机和计算机等可以创建 HBO Max 帐号的位置很多,我们的网站每天会收到数十亿个请求。reCAPTCHA Enterprise 使我们能够轻松确定哪些请求来自我们的客户,哪些请求是欺诈性的,从而增加了我们的客户群和收入。

由于 reCAPTCHA Enterprise 为我们的客户提供了顺畅的体验,并且为我们的安全团队提供了可用性,因此我们强烈建议其他希望确保其客户体验安全的企业立即开始使用 reCAPTCHA Enterprise。我们也强烈建议任何拥有 Web 应用程序或移动应用程序的企业使用 reCAPTCHA Enterprise 来防止在线欺诈和滥用并维护您的客户体验。


文章信息

相关推荐