Was ist Account Takeover Fraud (ATO) bei SaaS? 

Kontoübernahme (ATO) im SaaS-Bereich beschreibt den Zugriff auf ein Benutzerkonto durch eine externe Partei, mit Methoden, die Anmeldedaten, Phishing, Sitzungsaktivität oder OAuth-bezogene Wege umfassen können.

ATO kann schwierig zu erkennen sein, da die Aktivität gewöhnlichen Benutzeranmeldungen ähneln kann, was es schwieriger macht, sie von legitimen Zugriffen zu unterscheiden als bei einigen Malware-basierten Angriffen.

Kontoübernahme (ATO) im SaaS-Bereich bezieht sich auf den Zugriff über verbundene Systeme und gemeinsame Identitäten hinweg.

Eine einzige Identität kann E-Mail, CRM, Cloud-Speicher und anderen verknüpften Anwendungen zugeordnet sein.

Angreifer bevorzugen gültige Zugangsdaten, da diese es ihnen ermöglichen, traditionelle Perimeter-Verteidigungen zu umgehen und sich in die normale Benutzeraktivität einzufügen, was die Erkennung erschwert.

Phishing-Techniken, einschließlich Adversary-in-the-Middle-Methoden, die MFA betreffen, stellen einen der Faktoren dar, die im Zusammenhang mit ATO-Ereignissen in SaaS-Umgebungen beobachtet werden.

Die Auswirkungen von Account Takeover (ATO) für SaaS-Unternehmen lassen sich in mehrere Bereiche gruppieren. Dazu gehören:

• sicherheitsrelevante Szenarien wie Datenzugriff und Transaktionsüberwachung, die eine laterale Bewegung in verbundene Systeme beinhalten können.
• Bemühungen zur Reaktion auf Vorfälle und Compliance-Überlegungen.
• Veränderungen des Reputationsstatus, Verschiebungen bei der Kundenbindung und können selbst bei implementierter MFA auftreten, insbesondere wenn Admin- oder Support-Konten betroffen sind, was zu Überlegungen auf Mandantenebene führt. 

Gängige Methoden sind:

• Credential Stuffing
• Password Spraying
• Phishing
• Adversary-in-the-Middle-Phishing
• OAuth-Consent-Phishing
• Session Hijacking
• Wechsel des Mobilfunkanbieters (SIM-Swapping)
• Malware/Informationsdiebe
• Social Engineering

Modernes Phishing kann auf Session-Tokens abzielen und Authentifizierungsabläufe umgehen, die Multi-Faktor-Authentifizierung (MFA) verwenden.

ATO-Ziele: 

• Bildung
• Einzelhandel/E-Commerce
• Telekommunikation
• Finanzdienstleistungen
• Gesundheitswesen

Diese Branchen werden aufgrund der wertvollen Daten, die sie besitzen, der großen Anzahl von Benutzerkonten und ihrer Abhängigkeit von Fernzugriffs- und Kollaborationstools ins Visier genommen.

SaaS-Anbieter können ATO durch einen geschichteten Ansatz mit Prävention, Erkennung und Reaktion erkennen und verhindern. Zu den Schlüsselkomponenten gehören:

• Phishing-resistente MFA
• Verhaltensanalysen
• Geräte-Fingerprinting
• Anomalieerkennung
• Sitzungsschutz
• Bot-Abwehr
• Protokollierung und Benachrichtigung

Es gibt mehrere Wege, über die sich ATO-Lösungen in SaaS-Dienste integrieren lassen, etwa über SSO und MFA, APIs, SDKs, und Identitätsanbieter-Konnektoren. 

Zusätzlich ist eine Integration mit SIEMs und SOAR-Diensten erforderlich, um Vorfallsreaktionen zu verwalten und eine dynamische Risikobewertung zur Evaluierung von Zugriffsanfragen einzusetzen.

Es ist auch erforderlich, OAuth-Token und Service-Konten zu sichern und dabei sicherzustellen, dass legitime Benutzer keine Latenz erfahren. 

Der Schutz Ihrer SaaS-Konten umfasst einige Schritte.

1. Verwenden Sie zunächst starke, einzigartige Passwörter für jedes Konto und ziehen Sie in Betracht, einen Passwort-Manager zu nutzen, um diese zu generieren und zu speichern.
2. Als Nächstes aktivieren Sie Multi-Faktor-Authentifizierung (MFA) mit Phishing-resistenten Methoden oder Passkeys, wenn möglich.
3. Achten Sie auf Anmeldehinweise, überprüfen Sie unerwartete MFA-Aufforderungen und prüfen Sie OAuth-App-Zustimmungsbildschirme, bevor Sie Berechtigungen genehmigen.
4. Melden Sie schließlich jede ungewöhnliche Kontoaktivität Ihrem SaaS-Anbieter, sobald diese bemerkt wird.

Aktuelle ATO-Präventionsmethoden umfassen verschiedene Ansätze, jeder mit spezifischen Kompromissen.

Traditionelle Multi-Faktor-Authentifizierung (MFA) kann zusammen mit Techniken wie AiTM-Phishing, MFA-Müdigkeit, SIM-Swapping und Token-Diebstahl eingesetzt werden.

Statische regelbasierte Systeme erkennen möglicherweise nicht jedes Anmeldemuster und können unterschiedliche Prüfungsergebnisse liefern.