O que é Fraude de Tomada de Controle de Conta (ATO) em SaaS? 

Tomada de Conta (ATO) em SaaS descreve o acesso a uma conta de usuário por uma parte externa, com métodos que podem incluir credenciais, phishing, atividade de sessão ou caminhos relacionados a OAuth.

O ATO pode ser difícil de detectar porque a atividade pode parecer semelhante a logins de usuário comuns, o que pode tornar mais difícil separá-lo de acessos legítimos do que alguns ataques baseados em malware.

Tomada de Conta (ATO) em SaaS refere-se ao acesso através de sistemas conectados e identidades compartilhadas.

Uma única identidade pode ser associada a e-mail, CRM, armazenamento em nuvem e outros aplicativos vinculados.

Atacantes preferem credenciais válidas porque elas permitem que ignorem defesas de perímetro tradicionais e se misturem com a atividade normal do usuário, tornando a detecção mais difícil.

Técnicas de phishing, incluindo métodos de adversário no meio envolvendo MFA, representam um dos fatores observados em relação a eventos ATO em ambientes SaaS.

Os efeitos de Account Takeover (ATO) para empresas SaaS podem ser agrupados em diversas áreas. Estes incluem:

• cenários relacionados à segurança, como acesso a dados e monitoramento de transações, que podem envolver movimento lateral em sistemas conectados.
• esforços de resposta a incidentes e considerações de conformidade.
• mudanças na reputação, alterações na retenção de clientes, e podem ocorrer mesmo com MFA implementado, particularmente quando contas de administrador ou de suporte estão envolvidas, resultando em considerações no nível do locatário. 

Os métodos comuns incluem:

• preenchimento de credenciais
• pulverização de senhas
• Phishing
• phishing de adversário no meio
• phishing de consentimento OAuth
• sequestro de sessão
• alterações de operadora de celular (SIM swapping)
• malware/ladrões de informações
• engenharia social

Phishing moderno pode envolver a segmentação de tokens de sessão, e pode contornar fluxos de autenticação que utilizam autenticação multifator (MFA).

Alvos de ATO: 

• Educação
• varejo/e-commerce
• Telecom
• serviços financeiros
• Saúde

Estes setores são visados devido aos dados valiosos que possuem, ao grande número de contas de usuário e à sua dependência de acesso remoto e ferramentas colaborativas.

Provedores de SaaS podem detectar e prevenir ATO usando uma abordagem em camadas com prevenção, detecção e resposta. Os principais componentes incluem:

• MFA resistente a phishing
• análise comportamental
• impressão digital do dispositivo
• detecção de anomalias
• proteção de sessão
• mitigação de bots
• registro e alerta

Existem várias maneiras pelas quais as soluções ATO podem se integrar com serviços SaaS, como por meio de SSO e MFA, APIs, SDKs, e conectores de provedor de identidade. 

Além disso, integre-se com serviços SIEMs e SOAR para gerenciar respostas a incidentes e utilize pontuação de risco dinâmica para avaliar solicitações de acesso.

Também é necessário proteger tokens OAuth e contas de serviço, garantindo que não haja latência para usuários legítimos. 

Proteger suas contas SaaS envolve algumas etapas.

1. Primeiro, use senhas fortes e únicas para cada conta e considere usar um gerenciador de senhas para gerá-las e armazená-las.
2. Em seguida, ative autenticação multifator (MFA) com métodos resistentes a phishing ou chaves de acesso (passkeys) sempre que possível.
3. Preste atenção aos alertas de login, revise as solicitações de MFA inesperadas e verifique as telas de consentimento de aplicativos OAuth antes de aprovar as permissões.
4. Por fim, relate qualquer atividade incomum na conta ao seu provedor de SaaS assim que for percebida.

Os métodos atuais de prevenção de ATO incluem várias abordagens diferentes, cada uma com compensações específicas.

A autenticação multifator tradicional (MFA) pode ser usada juntamente com técnicas como phishing AiTM, fadiga de MFA, troca de SIM e roubo de token.

Sistemas estáticos baseados em regras podem não identificar todos os padrões de login e podem gerar resultados de análise variados.