O que é a fraude do tipo account takeover (ATO)?

Aprenda com a F5 sobre a fraude do tipo account takeover, como acontece e quais são as estratégias de detecção e prevenção.

Account takeover (ATO) é o ataque mais frequente e oneroso que tem como alvo instituições financeiras, comércio eletrônico e outros serviços digitais on-line. Com bots automatizados e outros métodos de crime cibernético, os criminosos usam as credenciais roubadas para ter acesso e controlar as contas de usuários com a finalidade de ganhar dinheiro ou cometer fraudes. Os impactos dessa fraude são reais: segundo o Javelin 2022 ID Fraud Study, 22% dos adultos nos Estados Unidos já foram vítimas de ATO.

Como funciona: técnicas da fraude “account takeover”

A fraude “account takeover” trata-se da culminação de várias atividades de crime cibernético. Normalmente, ela começa com as credenciais roubadas ou violadas, que levam a ataques do tipo credential stuffing, o que, por sua vez, pode levar ao controle de contas on-line de clientes. Assim que assume o controle, o criminoso consegue extrair tudo o que há nas contas bancárias, ganhar dinheiro com valores armazenados e usar a conta para realizar outras fraudes. 

A forma mais básica desse tipo de ataque envolve ataques de força bruta orientados por bots, que enviam combinações aleatórias de caracteres a formulários de login até encontrar a combinação de credenciais da conta.

Como as credenciais são roubadas?

Ataques de credential stuffing mais avançados começam com nomes de usuário e senhas que foram roubados ou comprometidos durante as violações de dados. É fácil adquirir credenciais roubadas em marketplaces na dark web (segundo o Cyber Security Hub, 22 bilhões de dados foram expostos em 2022).

Além disso, é possível roubar credenciais por meio de diferentes ataques cibernéticos e demais técnicas de crime cibernético, como:

  • Ataques de phishing, um tipo de exploração de engenharia social no qual os criminosos usam e-mail, textos ou mensagens em redes sociais para fazer com que as vítimas compartilhem informações privadas, como credenciais de login, dados da conta bancária, números da previdência social e outros dados confidenciais.
  • Keylogging, Magecart, skimming e outras formas de malware do lado do cliente, nos quais os criminosos roubam as credenciais ao injetar scripts maliciosos em formulários de finalização de compra on-line. Conforme a vítima digita as credenciais e os dados do cartão de crédito, o script transmite os dados para o criminoso, que consegue usar as informações para aplicar fraudes ou vendê-las a outros criminosos.
  • Ataques Man-in-the-Middle (MitM), nos quais os invasores interceptam mensagens ou transações de dados inserindo-os como proxies entre duas partes legítimas que participam da comunicação de dados. Dessa forma, o criminoso consegue interceptar a transferência das informações e dos dados de ambos os lados, bem como extrair credenciais de login e outras informações pessoais.

Depois que os invasores cibernéticos conseguem acumular uma quantidade de credenciais válidas, eles podem começar o processo de credential stuffing, o que muitas vezes acontece em escala impressionante. Como dois terços, aproximadamente, dos clientes usam os mesmos nomes de usuário e senhas em diferentes sites, essas credenciais reutilizadas podem ser facilmente exploradas por criminosos cibernéticos e seus bots automatizados: uma fração significativa de credenciais violadas também funcionam para obter acesso a contas de outros sites. Depois que os criminosos conseguem assumir o controle das contas, eles conseguem mudar as credenciais e bloquear o acesso do titular legítimo da conta, extrair os recursos e usar as contas para cometer ainda mais fraude.

Impactos da fraude “account takeover”

Segundo estimativas, as perdas provocadas por fraudes digitais, como ataques ATO, devem ultrapassar a casa dos US$ 343 bilhões no mundo todo entre 2023 e 2027, conforme relatórios do American Banker

Além disso, o ataque do tipo account takeover vai muito além da esfera financeira; ele também pode afetar a marca e reputação de uma empresa, levando ao esquecimento da marca e à publicidade negativa no que diz respeito à fragilidade de segurança. Também pode haver danos de longo prazo à marca, e pode levar anos para voltar a consolidar uma reputação positiva.

As empresas também podem perder a confiança e a fidelidade do cliente, o que acaba levando ao fim das relações comerciais. É totalmente compreensível que, se as medidas de segurança inadequadas de uma empresa abram portas para ataques do tipo account takeover e atividades fraudulentas onerosas, os clientes fiquem insatisfeitos.

Além disso, as organizações podem enfrentar consequências de conformidade e legais por não conseguirem proteger os dados dos clientes. A legislação e as normas, como a Regulamentação Geral de Proteção de Dados (RGPD) da União Europeia, a Lei de Privacidade do Consumidor da Califórnia (CCPA, na sigla em inglês) e os Payment Card Industry Data Security Standard (Padrões de segurança de dados do setor de cartões de pagamento — PCI DSS), são criadas com a finalidade de garantir a privacidade de dados de clientes e impor sanções monetárias significativas em caso de violação de dados, o que inclui ataques ATO, que colocam dados privados expostos a bots.

Como detectar fraudes do tipo account takeover

É importante monitorar as contas e atividades de usuários a fim de identificar indícios de ATO.

  • Fique de olho em mudanças inesperadas nas atividades de uma conta, como transações novas ou não autorizadas, saques de grandes valores, picos de tráfego aleatórios e esporádicos, ou solicitações de alteração de senha, endereço ou beneficiário de pagamento. Essas atividades anormais podem ser um indício de que a conta está sofrendo um ataque. Nesses casos, verifique se algum dos dados do usuário, como senha ou telefone, foram alterados, o que também pode indicar que a conta foi violada.
  • Atente-se a tentativas de login não reconhecidas. Diversas tentativas falhas de login podem indicar que uma pessoa mal-intencionada pode estar tentando violar uma conta por meio de métodos de credential stuffing Fique especialmente alerta se as tentativas de login forem provenientes de um local incomum ou sejam realizadas em um horário no qual a conta costuma ficar inativa. 
  • Preste atenção aos dispositivos novos ou não reconhecidos que estão acessando a conta. Atividades provenientes de dispositivos novos ou desconhecidos podem indicar que a conta foi violada ou que uma pessoa mal-intencionada está tentando logar com credenciais roubadas. Da mesma forma, diversos dispositivos logados a uma única conta também podem indicar que a conta está sofrendo um ataque de criminosos.
  • E-mails ou mensagens de texto suspeitos. O aumento de e-mails de phishing e e-mails normais pode indicar que os usuários estão sendo alvo de criminosos. Lembre os clientes de nunca clicarem em anexos ou links ativos em uma mensagem digital enviada por um remetente desconhecido e de nunca compartilharem nomes de usuário, senhas ou informações pessoais ou financeiras pelo telefone ou Internet com ninguém. Empresas legítimas não pedem informações da conta por e-mail ou mensagem de texto.

Como impedir fraudes do tipo account takeover

Uma abordagem proativa de impedir ataques ATO envolve diferentes níveis de proteções e estratégias, o que inclui metodologias de práticas recomendadas, foco na capacitação do usuário, monitoramento da infraestrutura em tempo real e proteções de autenticação forte.

Conscientização e capacitação do usuário

Uma das formas mais eficazes de impedir ataques do tipo account takeover é por meio de programas educacionais que capacitam os usuários a identificar e enfrentar os riscos. Muitas vezes, esse tipo de ataque começa com o phishing, quando uma pessoa mal-intencionada tenta ludibriar usuários para compartilharem as credenciais de suas contas ou para clicar em links maliciosos. E-mails e mensagens de texto de phishing podem ser bastante convincentes, principalmente quando a comunicação inclui informações pessoais que os criminosos coletam das redes sociais. Além disso, assegure que os usuários entendam a importância de uma boa higienização de senha e saliente o uso de protocolos de senha forte.

Medidas de autenticação forte

A autenticação forte exige que os usuários informem dois ou mais fatores de verificação, além do nome de usuário e senha, durante a tentativa de login. Há várias abordagens voltadas à autenticação forte.

  • A autenticação de dois fatores (2FA) trata-se de um método de segurança de gerenciamento de acesso e identidade que requer dois fatores de verificação para definir a identidade de uma pessoa para obter acesso a recursos e dados. Na prática, muitas vezes isso inclui digitar uma senha de uso único de um e-mail ou mensagem de texto em um dispositivo conhecido, como smartphone ou navegador em um computador domiciliar.
  • A autenticação multifator (MFA) é parecida com a 2FA, com exceção do fato de exigir, ao menos, três fatores de verificação ao realizar login. Na maioria dos casos, envolve o recebimento de um código de uso único em um dispositivo conhecido, além do fornecimento de um dado biométrico, como leitura da impressão digital, leitura da retina ou reconhecimento de voz. Vale destacar que, embora os dois métodos de autenticação (2FA e MFA) sejam ótimas ferramentas para agregar ainda mais segurança às contas on-line, não são mais suficientes como proteção decisiva contra ataques ATO, já que os criminosos podem contorná-los facilmente e isso desvaloriza a experiência do usuário.
  • A autenticação com base em risco é um método de gerenciamento de acesso que adapta os requisitos do processo de autenticação ao nível de risco oferecido pela tentativa de login. Por exemplo, um login com a simples finalidade de consultar o saldo de uma conta requer um processo de autenticação menos rigoroso do que um login com a finalidade de alterar senhas ou transferir valores para uma nova conta. Em essência, conforme aumenta o nível de risco, o processo de autenticação se torna mais rigoroso, exigindo outros fatores e supervisão.

Como monitorar e auditar contas

Clientes e empresas têm a responsabilidade de monitorar e auditar contas regularmente quanto a atividades suspeitas. No que diz respeito aos clientes, isso inclui o acesso periódico a contas financeiras e demais contas que armazenam valor (incluindo programas de fidelidade e vales-presentes) para acompanhar os dados e atividades da conta.

Empresas e organizações podem implementar diversas tecnologias para automatizar o monitoramento e a auditoria periódicos das contas, incluindo sistemas de monitoramento de contas que usam aprendizado de máquina e detecção com base em IA para impedir fraudes por meio da identificação de atividades anormais que não condizem ao comportamento costumeiro do usuário.

Web Application Firewall (WAF)

Um WAF protege suas aplicações Web ao filtrar, monitorar e bloquear qualquer tráfego HTTP/S malicioso que se desloca para a aplicação Web e evita que dados não autorizados saiam da aplicação. Ele faz isso ao aderir a um conjunto de políticas que ajudam a determinar qual tráfego é malicioso e qual é seguro. O WAF age como um intermediário que protege o servidor de aplicações Web de um cliente potencialmente malicioso.

Embora não sejam criadas especificamente para detectar atividades de ATO, as políticas de WAF podem ser direcionadas a identificar e bloquear ataques do tipo. Além disso, os WAFs ajudam a identificar atividades de bots maliciosos, o que muitas vezes acaba sobrepujando ataques de credential stuffing de força bruta.

Incorpore a detecção e mitigação de bots às redes

Com “exércitos” de bots, criminosos conseguem expandir os ataques, contornar controles de MFA e realizar fraudes. A automação significa que os bots podem ser implementados em massa para concretizar a tarefa designada, seja um ataque de credential stuffing ou de phishing. As soluções de detecção de bots oferecem visibilidade sobre as atividades maliciosas, como criação de conta falsa, retenção de inventário, extração de dados e skimming digital de informações sobre credenciais. Além disso, elas oferecer alertas sobre ataques do lado do cliente, como formjacking, skimming digital, Magecart e outras vulnerabilidades de JavaScript em navegador.

Como responder a fraudes de account takeover

Devido à diversidade de credenciais roubadas e violadas disponíveis na dark web, é cada vez mais provável que as empresas enfrentem, mais cedo ou mais tarde, um ataque cibernético. É fundamental que as empresas desenvolvam processos e respostas robustos com antecedência para lidar com o impacto de um ataque cibernético tanto para a instituição quanto para seus clientes.

Plano de resposta ao incidente

O plano de resposta ao incidente define as etapas, recursos disponíveis e estratégias de comunicação que serão colocadas em prática para identificar um evento de ameaça. É ele que define os protocolos de resposta ao evento e designa a equipe de resposta ao incidente que foi treinada para colocar o plano em prática.

Suporte e notificação do cliente

É fundamental que a equipe de resposta ao incidente notifique diretamente os clientes afetados e explique o que aconteceu, informe quais etapas serão realizadas para protegê-los e recomende que alterem a senha violada, caso usem a mesma senha em outras contas. Para consolidar novamente a confiança, é importante manter contato com os clientes afetados.

Investigação e remediação

Depois que um ataque é detectado, é importante avaliar e controlar o incidente, bem como identificar a natureza e o escopo do incidente e dos sistemas afetados. Após identificar o ponto de acesso, cabe à empresa remover o acesso não autorizado do criminoso a contas afetadas e solucionar as contas afetadas, para que não possam mais ser usadas para fins maliciosos. Como parte da revisão de recuperação de fraudes, analise como impedir que tal ataque volte a acontecer.

Comunicação e transparência

Uma comunicação transparente sobre violações e ataques à segurança é fundamental, já que, para entidades reguladoras, a mídia e clientes, reter informações pode ser entendido como uma omissão e isso pode agravar ainda mais o impacto financeiro do ataque.

Resumo

Atualmente, empresas que emitem ou aceitam pagamentos digitais são alvo de ataques de ATO, e a ameaça só cresce. Dito isso, varejistas on-line, instituições financeiras e organizações prestadoras de serviços se veem e um paradoxo: enquanto incorporam a preferência dos clientes por aplicações e serviços on-line mais convenientes, eles se tornam mais expostos a um risco maior de sofrer fraudes ou outros tipos de crime cibernético. Depois que uma conta é comprometida, o criminoso pode extrair os fundos, roubar bens ou serviços, ou ter acesso a dados financeiros para usá-los em outros sites, alienando clientes e acabando com a receita.

Controles convencionais de 2FA e MFA não são mais suficientes para impedir que criminosos cibernéticos implementem ataques de ATO cada vez mais sofisticados. Para evitar esse tipo de ataque, é necessária uma abordagem exaustiva de segurança e prevenção contra fraudes que avaliem a intenção, melhorem as experiências digitais e mitiguem ataques ATO ao identificar os padrões de fraude e as transações perigosas antes que aconteçam.

Como a F5 pode ajudar

As soluções de segurança e prevenção contra fraudes da F5 oferecem a mais completa proteção contra account takeover do setor em uma única plataforma. Com tecnologias sofisticadas, como modelagem de inteligência contra ameaças e aprendizado de máquina, para detectar técnica de criminosos, o Distributed Cloud Bot Defense implanta contramedidas adequadas em tempo real para enfrentar fraudes orientadas por bots e ataques ATO com o máximo de eficiência. O Distributed Cloud Authentication Intelligence reconhece usuários legítimos ao longo da jornada do cliente, enquanto que o Distributed Cloud Client-Side Defense fornece insights em tempo real sobre ataques de skimming digitais do lado do cliente.

Atrelado à rápida supressão de fraudes pós-login por meio do Distributed Cloud Account Protection, a plataforma de segurança e prevenção contra fraude do F5 Distributed Cloud oferece uma abordagem holística que avalia a intenção, melhora a experiência digital e mitiga tentativas de ATO que levam a fraudes, perda de receita e fidelidade do cliente menor.