Grupo de regras de prevenção contra fraude na criação de contas (ACFP) do AWS WAF Fraud Control - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

Grupo de regras de prevenção contra fraude na criação de contas (ACFP) do AWS WAF Fraud Control

Esta seção explica o que o grupo de regras gerenciadas de prevenção contra fraude na criação de contas (ACFP) Fraud Control do AWS WAF faz.

VendorName: AWS, Nome: AWSManagedRulesACFPRuleSet, WCU: 50

O grupo de regras de prevenção contra fraude na criação de contas (ACFP) do AWS WAF Fraud Control rotula e gerencia solicitações que podem fazer parte de tentativas fraudulentas de criação de contas. O grupo de regras faz isso inspecionando as solicitações de criação de conta que os clientes enviam para os endpoints de registro e criação de conta do seu aplicativo.

O grupo de regras do ACFP inspeciona as tentativas de criação de contas de várias maneiras, para oferecer visibilidade e controle sobre interações potencialmente maliciosas. O grupo de regras usa tokens de solicitação para coletar informações sobre o navegador do cliente e sobre o nível de interatividade humana na criação da solicitação de criação da conta. O grupo de regras detecta e gerencia as tentativas de criação de contas em massa agregando solicitações por endereço IP e sessão do cliente e agregando pelas informações fornecidas da conta, como endereço físico e número de telefone. Além disso, o grupo de regras detecta e bloqueia a criação de novas contas usando credenciais que foram comprometidas, o que ajuda a proteger a postura de segurança de seu aplicativo e de seus novos usuários.

Considerações sobre o uso deste grupo de regras

Este grupo de regras requer uma configuração personalizada, que inclui a especificação dos caminhos de registro da conta e de criação da conta da aplicação. Exceto onde indicado, as regras desse grupo de regras inspecionam todas as solicitações que seus clientes enviam para esses dois endpoints. Para configurar e implementar esse grupo de regras, consulte a orientação em Como evitar fraudes na criação de contas com a Prevenção contra fraude na criação de contas (ACFP) Fraud Control do AWS WAF.

nota

Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte Preços do AWS WAF.

Esse grupo de regras faz parte das proteções de mitigação de ameaças inteligentes em AWS WAF. Para ter mais informações, consulte Como implementar a mitigação inteligente de ameaças no AWS WAF.

Para manter seus custos baixos e ter certeza de que você está gerenciando seu tráfego da web como deseja, use esse grupo de regras de acordo com as orientações em Práticas recomendadas para mitigação de ameaças inteligentes no AWS WAF.

Esse grupo de regras não está disponível para uso com grupos de usuários do Amazon Cognito. Você não pode associar uma web ACL que usa esse grupo de regras a um grupo de usuários e não pode adicionar esse grupo de regras a uma web ACL que já esteja associada a um grupo de usuários.

Rótulos adicionados por esse grupo de regras

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras que são executadas após esse grupo de regras na sua web ACL. O AWS WAF também registra os rótulos nas métricas do Amazon CloudWatch. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte Como usar rótulos em solicitações da Web e Métricas e dimensões do rótulo.

rótulos de token

Esse grupo de regras usa o gerenciamento de tokens do AWS WAF para inspecionar e rotular solicitações da web de acordo com o status de seus tokens do AWS WAF. O AWS WAF usa tokens para acompanhamento e verificação da sessão do cliente.

Para obter informações sobre os tokens e sobre o gerenciamento de token, consulte Como usar tokens em solicitações da Web no AWS WAF.

Para obter informações sobre os componentes do rótulo descritos aqui, consulte Requisitos de sintaxe de rótulos e nomenclatura no AWS WAF.

Rótulo de sessão do cliente

O rótulo awswaf:managed:token:id:identifier contém um identificador exclusivo que o gerenciamento de token do AWS WAF usa para identificar a sessão do cliente. O identificador pode ser alterado se o cliente adquirir um novo token, por exemplo, após descartar o token que estava usando.

nota

O AWS WAF não relata métricas do Amazon CloudWatch para esse rótulo.

Rótulos de status do token: prefixos de namespace para os rótulos

Os rótulos de status do token informam sobre o status do token e sobre as informações de desafio e de CAPTCHA que ele contém.

Cada rótulo de status do token começa com um dos seguintes prefixos de namespace:

  • awswaf:managed:token:: usado para relatar o status geral do token e para informar o status das informações de desafio do token.

  • awswaf:managed:captcha:: usado para relatar o status das informações de CAPTCHA do token.

Rótulos de status do token: nomes de rótulos

Na sequência do prefixo, o restante do rótulo fornece informações detalhadas sobre o status do token:

  • accepted: o token de solicitação está presente e contém o seguinte:

    • Uma solução de desafio ou de CAPTCHA válida.

    • Um carimbo de data/hora de desafio ou de CAPTCHA não expirado.

    • Uma especificação de domínio válida para a ACL da Web.

    Exemplo: o rótulo awswaf:managed:token:accepted indica que o token de solicitações da Web tem uma solução de desafio válida, um carimbo de data/hora de desafio não expirado e um domínio válido.

  • rejected: o token de solicitação está presente, mas não atende aos critérios de aceitação.

    Em conjunto com o rótulo rejeitado, o gerenciamento de token adiciona um namespace e um nome de rótulo personalizado para indicar o motivo.

    • rejected:not_solved: a solução de desafio ou de CAPTCHA está ausente no token.

    • rejected:expired: o carimbo de data/hora de desafio ou de CAPTCHA expirou no token, de acordo com os tempos de imunidade de token configurados pela sua ACL da Web.

    • rejected:domain_mismatch: o domínio do token não corresponde à configuração de domínio do token da sua ACL da Web.

    • rejected:invalid: o AWS WAF não conseguiu realizar a leitura do token indicado.

    Exemplo: os rótulos awswaf:managed:captcha:rejected e awswaf:managed:captcha:rejected:expired indicam que a solicitação foi rejeitada porque o carimbo de data/hora de CAPTCHA no token excedeu o tempo de imunidade para o token de CAPTCHA configurado na ACL da Web.

  • absent: a solicitação não tem o token ou o gerenciador de token não conseguiu realizar a leitura dele.

    Exemplo: o rótulo awswaf:managed:captcha:absent indica que a solicitação não tem o token.

rótulos do ACFP

Esse grupo de regras gera rótulos com o prefixo do namespace awswaf:managed:aws:acfp: seguido pelo namespace personalizado e pelo nome do rótulo. O grupo de regras pode adicionar mais de um rótulo a uma solicitação.

Você pode recuperar todos os rótulos de um grupo de regras por meio da API chamando DescribeManagedRuleGroup. Os rótulos estão listados na propriedade AvailableLabels na resposta.

Lista de regras de prevenção contra fraude na criação de contas

Esta seção lista as regras de ACFP em AWSManagedRulesACFPRuleSet e os rótulos que as regras do grupo de regras adicionam às solicitações da Web.

nota

As informações que publicamos sobre as regras nos grupos de regras das regras gerenciadas da AWS têm como objetivo fornecer informações suficientes para você usar as regras, sem fornecer informações que pessoas mal-intencionadas possam usar para contorná-las. Se precisar de mais informações do que as encontradas nesta documentação, entre em contato com o AWS Support Center.

Todas as regras desse grupo de regras exigem um token de solicitação da web, exceto UnsupportedCognitoIDP e AllRequests das duas primeiras. Para obter uma descrição das informações que o token fornece, consulte Características do token do AWS WAF.

Exceto onde indicado, as regras desse grupo de regras inspecionam todas as solicitações que seus clientes enviam para os caminhos da página de registro e criação de conta que você fornece na configuração do grupo de regras. Para obter informações sobre como configurar esse grupo de regras, consulte Como evitar fraudes na criação de contas com a Prevenção contra fraude na criação de contas (ACFP) Fraud Control do AWS WAF.

Nome da regra Descrição e rótulo
UnsupportedCognitoIDP

Inspeciona o tráfego da web que vai para um grupo de usuários do Amazon Cognito. O ACFP não está disponível para uso com grupos de usuários do Amazon Cognito, e essa regra ajuda a garantir que as outras regras do grupo de regras do ACFP não sejam usadas para avaliar o tráfego de grupos de usuários.

Ação da regra: Block

Rótulos: awswaf:managed:aws:acfp:unsupported:cognito_idp e awswaf:managed:aws:acfp:UnsupportedCognitoIDP

AllRequests

Aplica a ação de regra às solicitações que acessam o caminho da página de registro. Você configura o caminho da página de registro ao configurar o grupo de regras.

Por padrão, essa regra se aplica às solicitações Challenge. Ao aplicar essa ação, a regra garante que o cliente adquira um token de desafio antes que qualquer solicitação seja avaliada pelo restante das regras no grupo de regras.

Certifique-se de que seus usuários finais carreguem o caminho da página de registro antes de enviarem uma solicitação de criação de conta.

Os tokens são adicionados às solicitações pelos SDKs de integração do aplicativo cliente e pelas ações de regra CAPTCHA e Challenge. Para obter a aquisição de token mais eficiente, é altamente recomendável que você use os SDKs de integração de aplicativos. Para ter mais informações, consulte Como usar integrações de aplicativos do cliente com o AWS WAF.

Ação de regra: Challenge

Rótulos: nenhum

RiskScoreHigh

Inspeciona solicitações de criação de conta com endereços IP ou outros fatores considerados altamente suspeitos. Essa avaliação geralmente é baseada em vários fatores contribuintes, que você pode ver nos rótulos risk_score que o grupo de regras adiciona à solicitação.

Ação da regra: Block

Rótulos: awswaf:managed:aws:acfp:risk_score:high e awswaf:managed:aws:acfp:RiskScoreHigh

A regra também pode aplicar rótulos de pontuação de risco medium ou low à solicitação.

Se o AWS WAF não conseguir avaliar a pontuação de risco da solicitação da web, a regra adiciona o rótulo awswaf:managed:aws:acfp:risk_score:evaluation_failed

Além disso, a regra adiciona rótulos com o awswaf:managed:aws:acfp:risk_score:contributor: do namespace que incluem o status e os resultados da avaliação da pontuação de risco para contribuidores específicos da pontuação de risco, como avaliações de reputação de IP e credenciais roubadas.

SignalCredentialCompromised

Pesquisa no banco de dados de credenciais roubadas as credenciais que foram enviadas na solicitação de criação da conta.

Essa regra garante que novos clientes inicializem suas contas com uma postura de segurança positiva.

nota

Você pode adicionar uma resposta de bloqueio personalizada para descrever o problema para o usuário final e dizer a ele como proceder. Para ter mais informações, consulte Exemplo de ACFP: resposta personalizada para credenciais comprometidas.

Ação da regra: Block

Rótulos: awswaf:managed:aws:acfp:signal:credential_compromised e awswaf:managed:aws:acfp:SignalCredentialCompromised

O grupo de regras aplica o rótulo relacionado a seguir, mas não executa nenhuma ação, pois nem todas as solicitações na criação da conta terão credenciais: awswaf:managed:aws:acfp:signal:missing_credential

SignalClientHumanInteractivityAbsentLow

Inspeciona o token da solicitação de criação de conta em busca de dados que indiquem interatividade humana anormal com o aplicativo. A interatividade humana é detectada por meio de interações como movimentos do mouse e pressionamentos de teclas. Se a página tiver um formulário HTML, a interatividade humana incluirá interações com o formulário.

nota

Essa regra só inspeciona as solicitações para o caminho de criação da conta e só é avaliada se você tiver implementado os SDKs de integração de aplicativos. As implementações de SDK capturam passivamente a interatividade humana e armazenam as informações no token de solicitação. Para ter mais informações, consulte Características do token do AWS WAF e Como usar integrações de aplicativos do cliente com o AWS WAF.

Ação da regra: CAPTCHA

Rótulos: nenhum. A regra determina uma correspondência com base em vários fatores, portanto, não há um rótulo individual que se aplique a todos os cenários de correspondência possíveis.

O grupo de regras pode aplicar um ou mais dos rótulos a seguir às solicitações:

awswaf:managed:aws:acfp:signal:client:human_interactivity:low|medium|high

awswaf:managed:aws:acfp:SignalClientHumanInteractivityAbsentLow|Medium|High

awswaf:managed:aws:acfp:signal:client:human_interactivity:insufficient_data

awswaf:managed:aws:acfp:signal:form_detected.

AutomatedBrowser

Inspeciona indicadores de que o navegador do cliente pode ser automatizado.

Ação da regra: Block

Rótulos: awswaf:managed:aws:acfp:signal:automated_browser e awswaf:managed:aws:acfp:AutomatedBrowser

BrowserInconsistency

Inspeciona o token da solicitação em busca de dados inconsistentes de interrogação do navegador. Para ter mais informações, consulte Características do token do AWS WAF.

Ação de regra: CAPTCHA

Rótulos: awswaf:managed:aws:acfp:signal:browser_inconsistency e awswaf:managed:aws:acfp:BrowserInconsistency

VolumetricIpHigh

Inspeciona grandes volumes de solicitações de criação de contas enviadas de endereços IP individuais. Um volume alto é de mais de 20 solicitações em uma janela de 10 minutos.

nota

Os limites aplicados por essa regra podem variar um pouco devido à latência. Para o alto volume, algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.

Ação da regra: CAPTCHA

Rótulos: awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:high e awswaf:managed:aws:acfp:VolumetricIpHigh

A regra aplica os seguintes rótulos às solicitações com volumes médios (mais de 15 solicitações por janela de 10 minutos) e volumes baixos (mais de 10 solicitações por janela de 10 minutos), mas não executa nenhuma ação em relação a elas: awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:medium e awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:low.

VolumetricSessionHigh

Inspeciona grandes volumes de solicitações de criação de contas enviadas de sessões individuais de clientes. Um volume alto é de mais de 10 solicitações em uma janela de 30 minutos.

nota

Os limites aplicados por essa regra podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.

Ação de regra: Block

Rótulos: awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:high e awswaf:managed:aws:acfp:VolumetricSessionHigh

O grupo de regras aplica os seguintes rótulos às solicitações com volumes médios (mais de 5 solicitações por janela de 30 minutos) e volumes baixos (mais de 1 solicitação por janela de 30 minutos), mas não executa nenhuma ação em relação a elas: awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:medium e awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:low.

AttributeUsernameTraversalHigh

Inspeciona uma alta taxa de solicitações de criação de contas de uma única sessão de cliente que usa nomes de usuário diferentes. O limite para uma avaliação alta é de mais de 10 solicitações em 30 minutos.

nota

Os limites aplicados por essa regra podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.

Ação de regra: Block

Rótulos: awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:high e awswaf:managed:aws:acfp:AttributeUsernameTraversalHigh

O grupo de regras aplica os seguintes rótulos às solicitações com volumes médios (mais de 5 solicitações por janela de 30 minutos) e volumes baixos (mais de 1 solicitação por janela de 30 minutos) de solicitações transversais de nome de usuário, mas não executa nenhuma ação em relação a elas: awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:medium e awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:low.

VolumetricPhoneNumberHigh

Inspeciona grandes volumes de solicitações de criação de contas que usam o mesmo número de telefone. O limite para uma avaliação alta é de mais de 10 solicitações em 30 minutos.

nota

Os limites aplicados por essa regra podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.

Ação de regra: Block

Rótulos: awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:high e awswaf:managed:aws:acfp:VolumetricPhoneNumberHigh

O grupo de regras aplica os seguintes rótulos às solicitações com volumes médios (mais de 5 solicitações por janela de 30 minutos) e volumes baixos (mais de 1 solicitação por janela de 30 minutos), mas não executa nenhuma ação em relação a elas: awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:medium e awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:low.

VolumetricAddressHigh

Inspeciona grandes volumes de solicitações de criação de contas que usam o mesmo endereço físico. O limite para uma avaliação alta é de mais de 100 solicitações em 30 minutos.

nota

Os limites aplicados por essa regra podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.

Ação de regra: Block

Rótulos: awswaf:managed:aws:acfp:aggregate:volumetric:address:high e awswaf:managed:aws:acfp:VolumetricAddressHigh

VolumetricAddressLow

Inspeciona volumes de solicitações baixos e médios de criação de contas que usam o mesmo endereço físico. O limite para uma avaliação média é de mais de 50 solicitações por janela de 30 minutos, e para uma avaliação baixa é de mais de 10 solicitações por janela de 30 minutos.

A regra aplica a ação para volumes médios ou baixos.

nota

Os limites aplicados por essa regra podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.

Ação de regra: CAPTCHA

Rótulos: awswaf:managed:aws:acfp:aggregate:volumetric:address:low|medium e awswaf:managed:aws:acfp:VolumetricAddressLow|Medium

VolumetricIPSuccessfulResponse

Inspeciona um grande volume de solicitações bem-sucedidas de criação de conta para um único endereço IP. Essa regra agrega respostas bem-sucedidas do recurso protegido às solicitações de criação de conta. O limite para uma avaliação alta é de mais de 10 solicitações em 10 minutos.

Essa regra ajuda a proteger contra tentativas de criação de contas em massa. Ele tem um limite menor do que o VolumetricIpHigh da regra, que conta apenas as solicitações.

Se você configurou o grupo de regras para inspecionar o corpo da resposta ou os componentes JSON, o AWS WAF pode inspecionar os primeiros 65.536 bytes (64 KB) desses tipos de componentes em busca de indicadores de sucesso ou falha.

Essa regra aplica a ação e a rotulagem da regra a novas solicitações da web de um endereço IP, com base nas respostas de sucesso e falha do recurso protegido às recentes tentativas de login do mesmo endereço IP. Você define como contar os sucessos e as falhas ao configurar o grupo de regras.

nota

O AWS WAF avalia essa regra somente em web ACLsque protegem as distribuições do Amazon CloudFront.

nota

Os limites aplicados por essa regra podem variar um pouco devido à latência. É possível que o cliente envie mais tentativas bem-sucedidas de criação de conta do que as permitidas antes que a regra comece a corresponder às tentativas subsequentes.

Ação da regra: Block

Rótulos: awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:high e awswaf:managed:aws:acfp:VolumetricIPSuccessfulResponse

O grupo de regras também aplica os seguintes rótulos relacionados às solicitações, sem nenhuma ação associada. Todas as contagens são para uma janela de 10 minutos. awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:medium para mais de 5 solicitações bem-sucedidas, awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:low para mais de 1 solicitação bem-sucedida, awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:high para mais de 10 solicitações malsucedidas, awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:medium para mais de 5 solicitações malsucedidas e awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:low para mais de 1 solicitação malsucedida.

VolumetricSessionSuccessfulResponse

Inspeciona um baixo volume de respostas bem-sucedidas do recurso protegido às solicitações de criação de conta que estão sendo enviadas de uma única sessão do cliente. Essa regra ajuda a proteger contra tentativas de criação de contas em massa. O limite para uma avaliação alta é de mais de 1 solicitação em 30 minutos.

Isso ajuda a proteger contra tentativas de criação de contas em massa. Essa regra usa um limite inferior ao da regra VolumetricSessionHigh, que acompanha somente as solicitações.

Se você configurou o grupo de regras para inspecionar o corpo da resposta ou os componentes JSON, o AWS WAF pode inspecionar os primeiros 65.536 bytes (64 KB) desses tipos de componentes em busca de indicadores de sucesso ou falha.

Essa regra aplica a ação e a rotulagem da regra a novas solicitações da web de um endereço IP, com base nas respostas de sucesso e falha do recurso protegido às recentes tentativas de login da mesma sessão de cliente. Você define como contar os sucessos e as falhas ao configurar o grupo de regras.

nota

O AWS WAF avalia essa regra somente em web ACLsque protegem as distribuições do Amazon CloudFront.

nota

Os limites aplicados por essa regra podem variar um pouco devido à latência. É possível que o cliente envie mais tentativas mal sucedidas de criação de conta do que as permitidas antes que a regra comece a corresponder às tentativas subsequentes.

Ação da regra: Block

Rótulos: awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:low e awswaf:managed:aws:acfp:VolumetricSessionSuccessfulResponse

O grupo de regras também aplica os seguintes rótulos relacionados às solicitações. Todas as contagens são para uma janela de 30 minutos. awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high para mais de 10 solicitações bem-sucedidas, awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:medium para mais de 5 solicitações bem-sucedidas, awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:high para mais de 10 solicitações malsucedidas, awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:medium para mais de 5 solicitações malsucedidas e awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:low para mais de 1 solicitação malsucedida.

VolumetricSessionTokenReuseIp

Inspeciona as solicitações de criação de conta para o uso de um único token entre mais de 5 endereços IP distintos.

nota

Os limites aplicados por essa regra podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.

Ação de regra: Block

Rótulos: awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:token_reuse:ip e awswaf:managed:aws:acfp:VolumetricSessionTokenReuseIp