O que é Fraude de Apropriação de Conta (ATO) em SaaS? 

A Tomada de Controle de Conta (ATO) em SaaS descreve o acesso a uma conta de usuário por uma parte externa, com métodos que podem incluir credenciais, phishing, atividade de sessão ou caminhos relacionados a OAuth.

A ATO pode ser difícil de detetar porque a atividade pode parecer semelhante a logins de usuário comuns, o que pode tornar mais difícil separá-la de acessos legítimos do que alguns ataques baseados em malware.

A Tomada de Controle de Conta (ATO) em SaaS refere-se ao acesso entre sistemas conectados e identidades compartilhadas.

Uma única identidade pode ser associada a e-mail, CRM, armazenamento em nuvem e outras aplicações interligadas.

Atacantes preferem credenciais válidas porque lhes permitem contornar as defesas de perímetro tradicionais e misturar-se com a atividade normal do utilizador, tornando a deteção mais difícil.

Técnicas de phishing, incluindo métodos de adversário-no-meio envolvendo MFA, representam um dos fatores observados em relação a eventos de ATO em ambientes SaaS.

Os efeitos da Tomada de Controle de Conta (ATO) para empresas SaaS podem ser agrupados em várias áreas. Estas incluem:

• cenários relacionados à segurança, como acesso a dados e monitoramento de transações, que podem envolver movimento lateral para sistemas conectados.
• esforços de resposta a incidentes e considerações de conformidade.
• alterações na reputação, mudanças na retenção de clientes, e podem ocorrer mesmo com MFA implementado, especialmente quando contas de administrador ou de suporte estão envolvidas, resultando em considerações a nível de inquilino. 

Métodos comuns incluem:

• credential stuffing
• password spraying
• Phishing
• phishing de adversário no meio
• phishing de consentimento OAuth
• sequestro de sessão
• alterações de operadora móvel (troca de SIM)
• malware/ladrões de informação
• engenharia social

O phishing moderno pode envolver a segmentação de tokens de sessão e pode ignorar fluxos de autenticação que utilizam autenticação multifator (MFA).

Alvos de ATO: 

• Educação
• varejo/e-commerce
• Telecomunicações
• serviços financeiros
• Saúde

Estas indústrias são alvo devido aos dados valiosos que detêm, ao grande número de contas de utilizadores e à sua dependência de acesso remoto e ferramentas colaborativas.

Provedores de SaaS podem detectar e prevenir ATO usando uma abordagem em camadas com prevenção, detecção e resposta. Os principais componentes incluem:

• MFA resistente a phishing
• análise comportamental
• impressão digital do dispositivo
• detecção de anomalias
• proteção de sessão
• mitigação de bots
• registro e alertas

Existem várias maneiras pelas quais as soluções ATO podem integrar-se com serviços SaaS, como através de SSO e MFA, APIs, SDKs, e conectores de provedor de identidade. 

Além disso, integram-se com serviços SIEM e SOAR para gerenciar respostas a incidentes e utilizam pontuação de risco dinâmica para avaliar solicitações de acesso.

Também é necessário proteger tokens OAuth e contas de serviço, garantindo que não haja latência para usuários legítimos. 

Proteger suas contas SaaS envolve alguns passos.

1. Primeiro, use senhas fortes e exclusivas para cada conta e considere usar um gerenciador de senhas para as gerar e armazenar.
2. Em seguida, ative autenticação multifator (MFA) com métodos resistentes a phishing ou passkeys sempre que possível.
3. Preste atenção aos alertas de login, analise as solicitações de MFA inesperadas e verifique as telas de consentimento de aplicativos OAuth antes de aprovar as permissões.
4. Por fim, denuncie qualquer atividade incomum na conta ao seu provedor de SaaS assim que for notada.

Métodos atuais de prevenção de ATO incluem diversas abordagens diferentes, cada uma com compensações específicas.

A autenticação multifator (MFA) tradicional pode ser usada em conjunto com técnicas como phishing AiTM, fadiga de MFA, SIM swapping e roubo de token.

Sistemas estáticos baseados em regras podem não identificar todos os padrões de login e podem produzir resultados de análise variados.