Cos'è la frode di acquisizione account (ATO) nel SaaS? 

L'Account Takeover (ATO) nel SaaS descrive l'accesso a un account utente da parte di una parte esterna, con metodi che possono includere credenziali, phishing, attività di sessione o percorsi correlati a OAuth.

L'ATO può essere difficile da individuare perché l'attività può sembrare simile ai normali accessi utente, il che può renderlo più difficile da distinguere dall'accesso legittimo rispetto ad alcuni attacchi basati su malware.

L'Account Takeover (ATO) nel SaaS si riferisce all'accesso attraverso sistemi connessi e identità condivise.

Una singola identità può essere associata a e-mail, CRM, archiviazione cloud e altre applicazioni collegate.

Gli aggressori preferiscono credenziali valide perché consentono loro di aggirare le tradizionali difese perimetrali e di confondersi con la normale attività degli utenti, rendendo più difficile il rilevamento.

Le tecniche di phishing, inclusi i metodi adversary-in-the-middle che coinvolgono l'MFA, rappresentano uno dei fattori osservati in relazione agli eventi ATO negli ambienti SaaS.

Gli effetti del Rilevamento dell'Account (ATO) per le aziende SaaS possono essere raggruppati in diverse aree. Queste includono:

• scenari legati alla sicurezza come l'accesso ai dati e il monitoraggio delle transazioni, che possono comportare un movimento laterale in sistemi collegati.
• sforzi di risposta agli incidenti e considerazioni sulla conformità.
• cambiamenti nella reputazione, variazioni nella fidelizzazione dei clienti e possono verificarsi anche con l'MFA in atto, in particolare quando sono coinvolti account amministratore o di supporto, con conseguenti considerazioni a livello di tenant. 

I metodi comuni includono:

• credential stuffing
• password spraying
• Phishing
• phishing adversary-in-the-middle
• phishing di consenso OAuth
• session hijacking
• cambi di operatore mobile (SIM swapping)
• malware/infostealer
• ingegneria sociale

Il phishing moderno può implicare il targeting dei token di sessione e può aggirare i flussi di autenticazione che utilizzano l'autenticazione a più fattori (MFA).

Obiettivi ATO: 

• Istruzione
• retail/e-commerce
• Telecom
• servizi finanziari
• Assistenza sanitaria

Questi settori sono presi di mira a causa dei dati preziosi che detengono, del gran numero di account utente e della loro dipendenza dall'accesso remoto e dagli strumenti collaborativi.

I fornitori SaaS possono rilevare e prevenire l'ATO utilizzando un approccio a più livelli con prevenzione, rilevamento e risposta. I componenti chiave includono:

• MFA resistente al phishing
• analisi comportamentale
• fingerprinting del dispositivo
• rilevamento delle anomalie
• protezione della sessione
• mitigazione dei bot
• registrazione e avvisi

Esistono diversi modi attraverso i quali le soluzioni ATO possono integrarsi con i servizi SaaS, come tramite SSO e MFA, API, SDK, e connettori per fornitori di identità. 

Inoltre, integrarsi con i servizi SIEM e SOAR per gestire le risposte agli incidenti e utilizzare la valutazione dinamica del rischio per valutare le richieste di accesso.

È anche necessario proteggere i token OAuth e gli account di servizio, garantendo che non vi sia latenza per gli utenti legittimi. 

Proteggere i tuoi account SaaS implica alcuni passaggi.

1. Per prima cosa, utilizza password complesse e uniche per ogni account, e considera l'uso di un gestore di password per generarle e memorizzarle.
2. Successivamente, abilita l'autenticazione a più fattori (MFA) con metodi resistenti al phishing o passkey quando possibile.
3. Presta attenzione agli avvisi di accesso, controlla le richieste MFA inattese e verifica le schermate di consenso delle app OAuth prima di approvare le autorizzazioni.
4. Infine, segnala qualsiasi attività insolita sull'account al tuo fornitore SaaS non appena viene notata.

I metodi attuali di prevenzione ATO includono diversi approcci, ciascuno con specifici compromessi.

L'autenticazione a più fattori (MFA) tradizionale può essere utilizzata insieme a tecniche quali il phishing AiTM, la stanchezza da MFA, il SIM swapping e il furto di token.

I sistemi basati su regole statiche potrebbero non identificare ogni schema di accesso e potrebbero produrre risultati di revisione variabili.