Aprenda com a F5 sobre a fraude do tipo account takeover, como acontece e quais são as estratégias de detecção e prevenção.
Account takeover (ATO) é o ataque mais frequente e oneroso que tem como alvo instituições financeiras, comércio eletrônico e outros serviços digitais on-line. Com bots automatizados e outros métodos de crime cibernético, os criminosos usam as credenciais roubadas para ter acesso e controlar as contas de usuários com a finalidade de ganhar dinheiro ou cometer fraudes. Os impactos dessa fraude são reais: segundo o Javelin 2022 ID Fraud Study, 22% dos adultos nos Estados Unidos já foram vítimas de ATO.
A fraude “account takeover” trata-se da culminação de várias atividades de crime cibernético. Normalmente, ela começa com as credenciais roubadas ou violadas, que levam a ataques do tipo credential stuffing, o que, por sua vez, pode levar ao controle de contas on-line de clientes. Assim que assume o controle, o criminoso consegue extrair tudo o que há nas contas bancárias, ganhar dinheiro com valores armazenados e usar a conta para realizar outras fraudes.
A forma mais básica desse tipo de ataque envolve ataques de força bruta orientados por bots, que enviam combinações aleatórias de caracteres a formulários de login até encontrar a combinação de credenciais da conta.
Ataques de credential stuffing mais avançados começam com nomes de usuário e senhas que foram roubados ou comprometidos durante as violações de dados. É fácil adquirir credenciais roubadas em marketplaces na dark web (segundo o Cyber Security Hub, 22 bilhões de dados foram expostos em 2022).
Além disso, é possível roubar credenciais por meio de diferentes ataques cibernéticos e demais técnicas de crime cibernético, como:
Depois que os invasores cibernéticos conseguem acumular uma quantidade de credenciais válidas, eles podem começar o processo de credential stuffing, o que muitas vezes acontece em escala impressionante. Como dois terços, aproximadamente, dos clientes usam os mesmos nomes de usuário e senhas em diferentes sites, essas credenciais reutilizadas podem ser facilmente exploradas por criminosos cibernéticos e seus bots automatizados: uma fração significativa de credenciais violadas também funcionam para obter acesso a contas de outros sites. Depois que os criminosos conseguem assumir o controle das contas, eles conseguem mudar as credenciais e bloquear o acesso do titular legítimo da conta, extrair os recursos e usar as contas para cometer ainda mais fraude.
Segundo estimativas, as perdas provocadas por fraudes digitais, como ataques ATO, devem ultrapassar a casa dos US$ 343 bilhões no mundo todo entre 2023 e 2027, conforme relatórios do American Banker.
Além disso, o ataque do tipo account takeover vai muito além da esfera financeira; ele também pode afetar a marca e reputação de uma empresa, levando ao esquecimento da marca e à publicidade negativa no que diz respeito à fragilidade de segurança. Também pode haver danos de longo prazo à marca, e pode levar anos para voltar a consolidar uma reputação positiva.
As empresas também podem perder a confiança e a fidelidade do cliente, o que acaba levando ao fim das relações comerciais. É totalmente compreensível que, se as medidas de segurança inadequadas de uma empresa abram portas para ataques do tipo account takeover e atividades fraudulentas onerosas, os clientes fiquem insatisfeitos.
Além disso, as organizações podem enfrentar consequências de conformidade e legais por não conseguirem proteger os dados dos clientes. A legislação e as normas, como a Regulamentação Geral de Proteção de Dados (RGPD) da União Europeia, a Lei de Privacidade do Consumidor da Califórnia (CCPA, na sigla em inglês) e os Payment Card Industry Data Security Standard (Padrões de segurança de dados do setor de cartões de pagamento — PCI DSS), são criadas com a finalidade de garantir a privacidade de dados de clientes e impor sanções monetárias significativas em caso de violação de dados, o que inclui ataques ATO, que colocam dados privados expostos a bots.
É importante monitorar as contas e atividades de usuários a fim de identificar indícios de ATO.
Uma abordagem proativa de impedir ataques ATO envolve diferentes níveis de proteções e estratégias, o que inclui metodologias de práticas recomendadas, foco na capacitação do usuário, monitoramento da infraestrutura em tempo real e proteções de autenticação forte.
Uma das formas mais eficazes de impedir ataques do tipo account takeover é por meio de programas educacionais que capacitam os usuários a identificar e enfrentar os riscos. Muitas vezes, esse tipo de ataque começa com o phishing, quando uma pessoa mal-intencionada tenta ludibriar usuários para compartilharem as credenciais de suas contas ou para clicar em links maliciosos. E-mails e mensagens de texto de phishing podem ser bastante convincentes, principalmente quando a comunicação inclui informações pessoais que os criminosos coletam das redes sociais. Além disso, assegure que os usuários entendam a importância de uma boa higienização de senha e saliente o uso de protocolos de senha forte.
A autenticação forte exige que os usuários informem dois ou mais fatores de verificação, além do nome de usuário e senha, durante a tentativa de login. Há várias abordagens voltadas à autenticação forte.
Clientes e empresas têm a responsabilidade de monitorar e auditar contas regularmente quanto a atividades suspeitas. No que diz respeito aos clientes, isso inclui o acesso periódico a contas financeiras e demais contas que armazenam valor (incluindo programas de fidelidade e vales-presentes) para acompanhar os dados e atividades da conta.
Empresas e organizações podem implementar diversas tecnologias para automatizar o monitoramento e a auditoria periódicos das contas, incluindo sistemas de monitoramento de contas que usam aprendizado de máquina e detecção com base em IA para impedir fraudes por meio da identificação de atividades anormais que não condizem ao comportamento costumeiro do usuário.
Um WAF protege suas aplicações Web ao filtrar, monitorar e bloquear qualquer tráfego HTTP/S malicioso que se desloca para a aplicação Web e evita que dados não autorizados saiam da aplicação. Ele faz isso ao aderir a um conjunto de políticas que ajudam a determinar qual tráfego é malicioso e qual é seguro. O WAF age como um intermediário que protege o servidor de aplicações Web de um cliente potencialmente malicioso.
Embora não sejam criadas especificamente para detectar atividades de ATO, as políticas de WAF podem ser direcionadas a identificar e bloquear ataques do tipo. Além disso, os WAFs ajudam a identificar atividades de bots maliciosos, o que muitas vezes acaba sobrepujando ataques de credential stuffing de força bruta.
Com “exércitos” de bots, criminosos conseguem expandir os ataques, contornar controles de MFA e realizar fraudes. A automação significa que os bots podem ser implementados em massa para concretizar a tarefa designada, seja um ataque de credential stuffing ou de phishing. As soluções de detecção de bots oferecem visibilidade sobre as atividades maliciosas, como criação de conta falsa, retenção de inventário, extração de dados e skimming digital de informações sobre credenciais. Além disso, elas oferecer alertas sobre ataques do lado do cliente, como formjacking, skimming digital, Magecart e outras vulnerabilidades de JavaScript em navegador.
Devido à diversidade de credenciais roubadas e violadas disponíveis na dark web, é cada vez mais provável que as empresas enfrentem, mais cedo ou mais tarde, um ataque cibernético. É fundamental que as empresas desenvolvam processos e respostas robustos com antecedência para lidar com o impacto de um ataque cibernético tanto para a instituição quanto para seus clientes.
O plano de resposta ao incidente define as etapas, recursos disponíveis e estratégias de comunicação que serão colocadas em prática para identificar um evento de ameaça. É ele que define os protocolos de resposta ao evento e designa a equipe de resposta ao incidente que foi treinada para colocar o plano em prática.
É fundamental que a equipe de resposta ao incidente notifique diretamente os clientes afetados e explique o que aconteceu, informe quais etapas serão realizadas para protegê-los e recomende que alterem a senha violada, caso usem a mesma senha em outras contas. Para consolidar novamente a confiança, é importante manter contato com os clientes afetados.
Depois que um ataque é detectado, é importante avaliar e controlar o incidente, bem como identificar a natureza e o escopo do incidente e dos sistemas afetados. Após identificar o ponto de acesso, cabe à empresa remover o acesso não autorizado do criminoso a contas afetadas e solucionar as contas afetadas, para que não possam mais ser usadas para fins maliciosos. Como parte da revisão de recuperação de fraudes, analise como impedir que tal ataque volte a acontecer.
Uma comunicação transparente sobre violações e ataques à segurança é fundamental, já que, para entidades reguladoras, a mídia e clientes, reter informações pode ser entendido como uma omissão e isso pode agravar ainda mais o impacto financeiro do ataque.
Atualmente, empresas que emitem ou aceitam pagamentos digitais são alvo de ataques de ATO, e a ameaça só cresce. Dito isso, varejistas on-line, instituições financeiras e organizações prestadoras de serviços se veem e um paradoxo: enquanto incorporam a preferência dos clientes por aplicações e serviços on-line mais convenientes, eles se tornam mais expostos a um risco maior de sofrer fraudes ou outros tipos de crime cibernético. Depois que uma conta é comprometida, o criminoso pode extrair os fundos, roubar bens ou serviços, ou ter acesso a dados financeiros para usá-los em outros sites, alienando clientes e acabando com a receita.
Controles convencionais de 2FA e MFA não são mais suficientes para impedir que criminosos cibernéticos implementem ataques de ATO cada vez mais sofisticados. Para evitar esse tipo de ataque, é necessária uma abordagem exaustiva de segurança e prevenção contra fraudes que avaliem a intenção, melhorem as experiências digitais e mitiguem ataques ATO ao identificar os padrões de fraude e as transações perigosas antes que aconteçam.
As soluções de segurança e prevenção contra fraudes da F5 oferecem a mais completa proteção contra account takeover do setor em uma única plataforma. Com tecnologias sofisticadas, como modelagem de inteligência contra ameaças e aprendizado de máquina, para detectar técnica de criminosos, o Distributed Cloud Bot Defense implanta contramedidas adequadas em tempo real para enfrentar fraudes orientadas por bots e ataques ATO com o máximo de eficiência. O Distributed Cloud Authentication Intelligence reconhece usuários legítimos ao longo da jornada do cliente, enquanto que o Distributed Cloud Client-Side Defense fornece insights em tempo real sobre ataques de skimming digitais do lado do cliente.
Atrelado à rápida supressão de fraudes pós-login por meio do Distributed Cloud Account Protection, a plataforma de segurança e prevenção contra fraude do F5 Distributed Cloud oferece uma abordagem holística que avalia a intenção, melhora a experiência digital e mitiga tentativas de ATO que levam a fraudes, perda de receita e fidelidade do cliente menor.
CASOS DE USO
Impeça ataques de account takeover (ATO) ›