什么是SaaS中的账户盗用欺诈 (ATO)？ 

SaaS中的账号劫持（ATO）是指外部方通过凭据、网络钓鱼、会话活动或与OAuth相关的途径获取用户账户访问权限的行为。

账号劫持（ATO）很难被发现，因为其活动可能与普通用户登录相似，这使得它比某些基于恶意软件的攻击更难与合法访问区分开来。

SaaS中的账号劫持（ATO）与跨连接系统和共享身份的访问有关。

单一身份可能与电子邮件、CRM、云存储以及其他关联应用程序相关联。

攻击者偏好使用有效凭据，因为这使他们能够绕过传统的边界防御，并融入正常的用户活动，从而使检测变得更加困难。

网络钓鱼技术，包括涉及MFA的中间人攻击方法，是SaaS环境中与ATO事件相关的观察因素之一。

SaaS公司的账户盗用（ATO）影响可归结为几个方面。这些包括：

• 安全相关场景，例如数据访问和交易监控，其中可能涉及横向渗透到连接系统中。
• 事件响应工作和合规性考量。
• 声誉受损、客户留存率变化，并且即使在启用了MFA的情况下也可能发生，尤其是在涉及管理员或支持账户时，从而导致租户层面的考量。 

常见方法包括：

• 凭证填充
• 密码喷洒
• 网络钓鱼
• 中间人网络钓鱼
• OAuth同意钓鱼
• 会话劫持
• 移动运营商变更（SIM卡互换）
• 恶意软件/信息窃取器
• 社会工程

现代网络钓鱼可能涉及会话令牌定位，并且可能绕过使用多因素身份验证 (MFA) 的身份验证流程。

ATO 目标： 

• 教育
• 零售/电子商务
• 电信
• 金融服务
• 医疗保健

这些行业之所以成为目标，是由于其持有有价值的数据、拥有大量的用户账户以及对远程访问和协作工具的依赖。

SaaS提供商可以通过采用包含预防、检测和响应的分层方法来检测并防止ATO。主要组成部分包括：

• 抗钓鱼的多因素认证
• 行为分析
• 设备指纹识别
• 异常检测
• 会话保护
• 机器人缓解
• 日志记录和警报

ATO 解决方案可以通过多种方式与 SaaS 服务集成，例如通过 SSO 和 MFA， API, SDK以及身份提供商连接器。 

此外，还可以与 SIEM 和 SOAR 服务集成，以管理事件响应，并利用动态风险评分来评估访问请求。

此外，还需要保护 OAuth 令牌和服务账户，同时确保合法用户不会遇到延迟。 

保护您的 SaaS 账户涉及几个步骤。

1. 首先，为每个账户使用强大、独特的密码，并考虑使用密码管理器来生成和存储它们。
2. 接下来，启用 多因素身份验证 (MFA) 在可能的情况下，使用防网络钓鱼的方法或通行密钥。
3. 留意登录提醒，审查意外的多因素认证提示，并在批准权限前检查OAuth应用授权屏幕。
4. 最后，一旦发现任何异常账户活动，请立即向您的SaaS服务提供商报告。

当前的 ATO 防范方法包括几种不同的方法，每种方法都有其特定的权衡。

传统的MFA（多因素身份验证）可以与AiTM网络钓鱼、MFA疲劳攻击、SIM卡交换和令牌窃取等技术结合使用。

静态的基于规则的系统可能无法识别所有登录模式，并可能产生不同的审查结果。