ส่วนที่ 1: ทำไมบอทถึงตั้งเป้าหมายที่วิดเจ็ตลองสวมใส่
วิดเจ็ตลองสวมใส่เสมือนจริงเป็นเป้าหมายที่น่าดึงดูดสำหรับบอทเพราะช่วยให้สร้างภาพ AI ได้ฟรี จุดเชื่อมต่อ (endpoint) ของการลองสวมใส่จะรับรูปถ่ายและรูปสินค้าแล้วส่งผลลัพธ์ที่รวมด้วย AI กลับมา — ในมุมมองของบอท นี่คือ API สร้างภาพ AI ที่เข้าถึงได้สาธารณะและฟรี สคริปต์อัตโนมัติสามารถเรียกใช้งานจุดเชื่อมต่อนี้ได้หลายพันครั้งต่อชั่วโมงเพื่อสร้างรูปภาพสินค้า, ภาพบุคคล หรือข้อมูลสำหรับเทรนระบบจำลองโดยไม่มีค่าใช้จ่ายสำหรับผู้โจมตี แต่ผู้ประกอบการเช่นคุณต้องเสียค่าใช้จ่ายตามโควตารายเดือนเต็มจำนวน
แรงจูงใจทางเศรษฐกิจนั้นสูงมาก: โดยปกติ API สร้างภาพ AI ที่มีคุณภาพจะมีราคาประมาณ $0.05–0.20 ต่อภาพ จุดเชื่อมต่อวิดเจ็ตลองสวมใส่ที่ไม่มีการป้องกันบอทจึงเท่ากับการมอบบริการนี้ให้ฟรีแก่ใครก็ตามที่แกะรอยรูปแบบคำขอได้ ในระดับที่ใหญ่ขึ้น แคมเปญบอทเพียงรายการเดียวสามารถทำให้โควตาลองสวมใส่รายเดือนทั้งหมดของผู้ประกอบการหมดลงภายในไม่กี่ชั่วโมง ส่งผลให้ผู้ซื้อจริงได้รับบริการที่ด้อยคุณภาพลงในช่วงเวลาที่เหลือของรอบการเรียกเก็บเงิน
ส่วนที่ 2: การป้องกันห้าชั้นของ Photta
Photta ใช้งานการป้องกันที่เป็นอิสระต่อกันห้าชั้น ซึ่งแต่ละชั้นจะดักจับช่องทางการโจมตีที่แตกต่างกัน ชั้นที่ 1 — hCaptcha: ทุกคำขอลองสวมใส่ต้องมีโทเค็น hCaptcha ที่ถูกต้องซึ่งสร้างขึ้นในเบราว์เซอร์ บอทประเภท Headless และไคลเอนต์ HTTP อัตโนมัติไม่สามารถแก้ hCaptcha ได้โดยไม่มีการโต้ตอบจากมนุษย์ ซึ่งจะช่วยบล็อกการโจมตีด้วยสคริปต์ง่ายๆ ชั้นที่ 2 — การทำลายนิ้วมือ BotD: SDK จะรัน BotScore โดย FingerprintJS เพื่อตรวจจับเบราว์เซอร์ Headless, เฟรมเวิร์กอัตโนมัติ (Puppeteer, Playwright) และสภาพแวดล้อมเบราว์เซอร์ที่น่าสงสัยก่อนที่ผู้ซื้อจะส่งรูปภาพด้วยซ้ำ
ชั้นที่ 3 — การอนุญาตโดเมน (Domain allowlisting): คีย์ pk_live_ ของคุณจะยอมรับคำขอจากโดเมนที่คุณลงทะเบียนไว้ใน การตั้งค่า → โดเมนที่อนุญาต เท่านั้น คำขอจากแหล่งที่มาอื่นจะส่งคืนค่า HTTP 403 ทันที ก่อนที่จะมีการประมวลผล AI ใดๆ ชั้นที่ 4 — การจำกัดอัตรา IP: คำขอลองสวมใส่มากกว่า 10 ครั้งต่อนาทีจากที่อยู่ IP เดียวจะกระตุ้นการหน่วงการทำงานอัตโนมัติ และหากมากกว่า 30 ครั้งต่อนาทีจะทำให้เกิดการบล็อกชั่วคราว ชั้นที่ 5 — เพดานรายเดือน: ขีดจำกัดการลองสวมใส่รายเดือนของแผนคุณ (500/2,000/10,000 ตามระดับ) จะถูกจำกัดอย่างเข้มงวดที่ฝั่งเซิร์ฟเวอร์ เมื่อถึงขีดจำกัดแล้ว การลองสวมใส่ทั้งหมดจะหยุดลงในช่วงที่เหลือของรอบการเรียกเก็บเงิน เพื่อป้องกันสถานการณ์ค่าใช้จ่ายที่บานปลาย
ส่วนที่ 3: ตรวจสอบความพยายามของบอทในแดชบอร์ดของคุณ
เข้าสู่ระบบ business.photta.app และไปที่ ความปลอดภัย แผงความปลอดภัยจะแสดงแผนภูมิสามรายการที่อัปเดตแบบเรียลไทม์: ความพยายามที่ถูกบล็อก (ยอดรวมต่อชั่วโมง), รายละเอียดเหตุผลการบล็อก (ความล้มเหลวของ hCaptcha เทียบกับการตรวจจับของ BotD เทียบกับโดเมนที่ไม่ตรงกัน เทียบกับการจำกัดอัตรา) และ IP ที่ถูกบล็อกสูงสุด (ที่อยู่ IP ที่สร้างคำขอที่ถูกบล็อกมากที่สุดใน 24 ชั่วโมงที่ผ่านมา) ร้านค้าที่ปกติจะแสดงจำนวนความพยายามที่ถูกบล็อกใกล้กับศูนย์ในช่วงเวลาทำการปกติ
แผงความปลอดภัยยังรวมถึงส่วน การแจ้งเตือนความผิดปกติ ชั้นการวิเคราะห์ของ Photta จะเฝ้าดูการพุ่งขึ้นอย่างกะทันหันของปริมาณการลองสวมใส่หรือความพยายามที่ถูกบล็อกซึ่งเบี่ยงเบนไปมากกว่าสามเท่าของค่าเบี่ยงเบนมาตรฐานจากฐานข้อมูล 7 วันของคุณ เมื่อตรวจพบความผิดปกติ คุณจะได้รับการแจ้งเตือนทางอีเมลภายใน 15 นาที และการแจ้งเตือนจะปรากฏในแดชบอร์ด คุณสามารถกำหนดเกณฑ์การแจ้งเตือนได้ภายใต้ การตั้งค่า → การแจ้งเตือน → การแจ้งเตือนความปลอดภัย
ส่วนที่ 4: การตอบสนองต่อกิจกรรมที่น่าสงสัย
เมื่อคุณเห็นรูปแบบที่ผิดปกติในแผงความปลอดภัย — เช่น คำขอที่ถูกบล็อกพุ่งสูงขึ้น, กลุ่มความพยายามจากช่วง IP เดียวกัน หรือโควตารายเดือนที่ลดลงอย่างรวดเร็ว — ให้ดำเนินการตามลำดับดังนี้ ขั้นแรก ตรวจสอบรายการ IP ที่ถูกบล็อกสูงสุด หากมี IP เพียงหนึ่งหรือสองสามรายที่เป็นต้นเหตุของความพยายามที่ถูกบล็อกส่วนใหญ่ ให้คลิก 'บล็อก IP' ข้างแต่ละรายการเพื่อแบนอย่างถาวรในระดับ Photta การบล็อกจะมีผลทันทีและคงอยู่จนกว่าคุณจะลบออกด้วยตนเอง
ขั้นที่สอง หากการโจมตีใช้หลาย IP (บอทเน็ตแบบกระจายตัว) ให้ติดต่อฝ่ายสนับสนุนของ Photta ผ่านแชทในแดชบอร์ดพร้อมระบุ ID ผู้ประกอบการและช่วงเวลาที่เกิดการโจมตี ทีมรักษาความปลอดภัยของ Photta สามารถใช้การบล็อกระดับ CIDR กับซับเน็ตที่โจมตีได้ภายในไม่กี่ชั่วโมง ขั้นที่สาม หากโควตารายเดือนของคุณถูกบอทใช้ไปเป็นจำนวนมาก ให้เปิดตั๋วขอความช่วยเหลือ — Photta มีการคืนโควตาให้ครั้งเดียวสำหรับการโจมตีโดยบอทที่มีหลักฐานยืนยัน แนบภาพหน้าจอของการแจ้งเตือนความผิดปกติจากแผงความปลอดภัยของคุณเพื่อเป็นหลักฐาน
ส่วนที่ 5: เมื่อใดที่ควรเพิ่ม CAPTCHA แบบกำหนดเอง
hCaptcha ที่ติดตั้งมาในตัวของ Photta ทำงานแบบมองไม่เห็น — ผู้ซื้อที่ใช้งานจริงส่วนใหญ่จะไม่เห็นการทดสอบ CAPTCHA เลย ในกรณีที่พบได้ยากมาก (เช่น ร้านค้าที่มีมูลค่าสูง, จุดเชื่อมโตวิดเจ็ตที่ถูกจัดทำดัชนีสาธารณะ) การป้องกันในตัวอาจไม่เพียงพอหากผู้โจมตีที่มีทักษะสูงใช้บริการแก้ CAPTCHA ด้วยแรงงานคน ในสถานการณ์นี้ ให้เพิ่มเลเยอร์ CAPTCHA ชั้นที่สองในระดับหน้าสินค้าของคุณเองก่อนที่จะเรียก photta.open() ตรวจสอบ CAPTCHA แบบกำหนดเองของคุณบนเซิร์ฟเวอร์ของคุณ จากนั้นส่งโทเค็นการตรวจสอบที่ลงนามแล้วไปยัง Photta SDK ในรูปแบบ photta.open({ verificationToken: 'your_token' }) เพื่อให้แน่ใจว่าเซสชันที่ได้รับการตรวจสอบแล้วเท่านั้นที่จะเริ่มการลองสวมใส่ได้
CAPTCHA แบบกำหนดเองเป็นทางเลือกสุดท้ายสำหรับร้านค้าที่เคยถูกโจมตีอย่างซับซ้อนซ้ำๆ สำหรับผู้ประกอบการส่วนใหญ่ การป้องกันห้าชั้นของ Photta ให้การปกป้องที่เพียงพอโดยไม่สร้างความยุ่งยากให้กับผู้ซื้อ หากคุณกำลังพิจารณาว่าจะเพิ่มเลเยอร์แบบกำหนดเองหรือไม่ ให้ตรวจสอบรายละเอียดเหตุผลการบล็อกในแผงความปลอดภัยของคุณก่อน — หากความล้มเหลวของ hCaptcha มีสัดส่วนน้อยกว่า 1% ของความพยายามที่ถูกบล็อกทั้งหมด แสดงว่าระบบป้องกันทำงานได้ดีอยู่แล้ว และเลเยอร์เพิ่มเติมจะสร้างความยุ่งยากโดยไม่ได้รับประโยชน์ด้านความปลอดภัยที่มีนัยสำคัญ