Aprenda com a F5 sobre a fraude do tipo account takeover, como acontece e quais são as estratégias de detecção e prevenção.
Apropriação indébita de conta (ATO) é o ataque mais comum e caro que tem como alvo instituições financeiras, comércio eletrônico e outros serviços digitais on-line. Usando bots automatizados e outros métodos de crimes cibernéticos, os criminosos usam credenciais roubadas para obter acesso e controlar contas de usuários para ganho monetário ou para cometer fraudes. Os impactos da fraude de apropriação indébita de contas são reais: De acordo com o Estudo de Fraude de Identidade Javelin 2022 , 22% dos adultos dos EUA foram vítimas de ATO.
A fraude de apropriação indébita de conta é o ápice de uma série de atividades de criminosos cibernéticos, geralmente começando com credenciais roubadas ou comprometidas, o que leva a ataques de preenchimento de credenciais, que podem resultar na apropriação indébita das contas on-line de um cliente. Uma vez no comando, o criminoso pode drenar os fundos da conta, monetizar o valor armazenado e usar a conta para outras fraudes.
A forma mais básica de preenchimento de credenciais envolve ataques de força bruta acionados por bots, que enviam combinações aleatórias de caracteres para formulários de login até que os invasores encontrem uma correspondência para as credenciais de uma conta.
Ataques de preenchimento de credenciais mais avançados começam com pares de nome de usuário e senha válidos que foram roubados ou comprometidos durante violações de dados. Credenciais roubadas são facilmente compradas em mercados da dark web ( de acordo com o Cyber Security Hub, 22 bilhões de registros de dados foram expostos somente em 2022).
Além disso, é possível roubar credenciais por meio de diferentes ataques cibernéticos e demais técnicas de crime cibernético, como:
Depois que os criminosos cibernéticos acumulam um estoque de credenciais válidas, eles podem começar o processo de roubo de credenciais, geralmente em grande escala. Como cerca de dois terços dos consumidores reutilizam os mesmos nomes de usuário e senhas em vários sites, essas credenciais recicladas são facilmente exploradas por criminosos cibernéticos e seus exércitos de bots automatizados: Uma fração significativa de credenciais violadas também servirá para obter acesso a contas em outros sites. Depois que os invasores assumem o controle das contas, eles podem alterar as credenciais para bloquear o proprietário legítimo da conta, drenar os ativos e usar as contas para cometer atos adicionais de fraude.
Prevê-se que as perdas por fraude digital causadas por ataques como o ATO ultrapassem US$ 343 bilhões globalmente entre 2023 e 2027, de acordo com relatórios do American Banker .
A apropriação indébita de contas também tem efeitos além do âmbito financeiro. A marca e a reputação de uma organização também podem sofrer, levando à perda de negócios e publicidade negativa em relação à fraqueza percebida na segurança. Podem ocorrer danos à marca a longo prazo, e pode levar anos para reconstruir uma reputação positiva.
As organizações também podem perder a confiança e a fidelidade dos clientes, levando ao término de relacionamentos comerciais. Os clientes ficam compreensivelmente insatisfeitos se as medidas de segurança inadequadas de uma empresa resultam em apropriação indébita de contas e atividades fraudulentas dispendiosas.
As organizações também podem enfrentar consequências legais e de conformidade por não protegerem os dados dos consumidores. Legislações e padrões como o Regulamento Geral de Proteção de Dados (GDPR) na UE, a Lei de Proteção ao Consumidor da Califórnia (CCPA) e o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS) são projetados para garantir a privacidade dos dados do consumidor e impor grandes penalidades monetárias em caso de violações de dados. Isso inclui ataques ATO que expõem dados privados a bots.
É importante monitorar as contas e atividades de usuários a fim de identificar indícios de ATO.
Uma abordagem proativa para prevenir ATO envolve vários níveis de proteção e estratégias. Isso inclui metodologias de melhores práticas, foco na educação do usuário, monitoramento de infraestrutura em tempo real e proteções de autenticação fortes.
Uma das maneiras mais eficazes de evitar a invasão de contas é por meio de programas educacionais que treinam os usuários para identificar e resistir aos riscos. Os ataques ATO geralmente começam com phishing, quando um criminoso tenta enganar os usuários para que revelem suas credenciais de conta ou cliquem em links maliciosos. E-mails e mensagens de texto de phishing podem ser muito convincentes, especialmente quando a comunicação apresenta detalhes pessoais que os criminosos podem coletar nas redes sociais. Certifique-se também de que os usuários entendam a importância de uma boa higiene de senhas e imponha o uso de protocolos de senhas fortes.
A autenticação forte exige que os usuários apresentem dois ou mais fatores de verificação, além de um nome de usuário e senha, durante uma tentativa de login. Existem várias abordagens para autenticação forte.
Tanto consumidores quanto empresas devem monitorar e auditar contas regularmente em busca de atividades suspeitas. Para os consumidores, isso inclui acessar regularmente contas financeiras e outras contas com valor armazenado (incluindo programas de fidelidade e cartões-presente) para ficar de olho nos saldos e na atividade da conta.
Empresas e organizações podem implementar diversas tecnologias para automatizar o monitoramento e a auditoria periódicos das contas, incluindo sistemas de monitoramento de contas que usam aprendizado de máquina e detecção com base em IA para impedir fraudes por meio da identificação de atividades anormais que não condizem ao comportamento costumeiro do usuário.
Um WAF protege aplicativos da web filtrando, monitorando e bloqueando qualquer tráfego HTTP/S malicioso que viaje para o aplicativo da web e impede que dados não autorizados saiam do aplicativo. Ele faz isso aderindo a um conjunto de políticas que ajudam a determinar qual tráfego é malicioso e qual tráfego é seguro. Um WAF atua como um intermediário que protege o servidor do aplicativo web de um cliente potencialmente malicioso.
Embora não tenham sido projetadas especificamente para detectar atividades de ATO, as políticas de WAF podem ser direcionadas para ajudar a identificar e bloquear ataques de tomada de conta. Os WAFs também podem ajudar a identificar atividades maliciosas de bots, que geralmente precedem ataques de força bruta de preenchimento de credenciais.
Exércitos de bots permitem que criminosos escalem seus ataques, contornem controles de MFA e possibilitem fraudes. Automação significa que bots podem ser implantados em massa para realizar suas tarefas atribuídas, seja roubo de credenciais ou ataques de phishing. Soluções de detecção de bots fornecem visibilidade de atividades maliciosas, como criação de contas falsas, acumulação de inventário, extração e clonagem digital de informações de credenciais. Soluções de detecção de bots também podem fornecer alertas para ataques do lado do cliente, como formjacking, skimming digital, Magecart e outras vulnerabilidades de JavaScript baseadas em navegador.
Devido à grande quantidade de credenciais roubadas e comprometidas prontamente disponíveis na dark web, é cada vez mais provável que as organizações sofram um ataque cibernético, mais cedo ou mais tarde. É fundamental que as organizações preparem respostas e processos robustos com antecedência para lidar com o impacto de um ataque cibernético tanto na instituição quanto em seus clientes.
Um plano de resposta a incidentes define as etapas ativas, os recursos disponíveis e as estratégias de comunicação que serão colocadas em prática após a identificação de um evento de ameaça. Um plano de resposta a incidentes deve definir os protocolos para responder ao evento e identificar uma equipe de resposta a incidentes treinada para operacionalizar o plano.
É fundamental que a equipe de resposta a incidentes notifique diretamente os clientes afetados e explique o que aconteceu, informe-os sobre as medidas que estão sendo tomadas para protegê-los e peça que alterem a senha comprometida se ela for usada em outras contas. Manter contato com os clientes afetados é importante para reconstruir a confiança.
Depois que um ataque é detectado, é crucial avaliar e conter o incidente, além de identificar a natureza e o escopo do incidente e os sistemas afetados. Depois que o ponto de acesso for identificado, a organização deve eliminar o acesso não autorizado do invasor às contas afetadas e remediar as contas comprometidas para garantir que elas não possam mais ser usadas de forma maliciosa. Como parte da revisão de recuperação de fraude, analise como evitar que tal ataque aconteça novamente.
Uma comunicação transparente sobre violações e ataques à segurança é fundamental, já que, para entidades reguladoras, a mídia e clientes, reter informações pode ser entendido como uma omissão e isso pode agravar ainda mais o impacto financeiro do ataque.
Hoje, qualquer organização que emita ou aceite pagamentos digitais é um alvo do ATO, e a ameaça de ataque continua a crescer. Isso coloca comerciantes on-line, instituições financeiras e organizações de serviços em um paradoxo: À medida que adotam a preferência dos clientes por serviços e aplicativos online mais convenientes, eles se expõem a um risco maior de fraude e outras formas de crimes cibernéticos. Depois que uma conta é comprometida, um fraudador pode drenar fundos, roubar bens ou serviços ou acessar informações de pagamento para usar em outros sites, afastando clientes e diminuindo a receita.
Os controles convencionais de 2FA e MFA não são mais suficientes para impedir que criminosos cibernéticos lancem ataques ATO cada vez mais sofisticados. Para evitar o ATO, é necessária uma abordagem completa de segurança e prevenção de fraudes que avalie a intenção, simplifique as experiências digitais e interrompa o ATO identificando padrões de fraude e transações arriscadas antes que elas ocorram.
As soluções de segurança e prevenção de fraudes da F5 oferecem a proteção mais abrangente do setor para invasão de contas em uma única plataforma . Usando tecnologias sofisticadas, como modelagem de inteligência de ameaças e aprendizado de máquina para detectar técnicas de invasores, o Distributed Cloud Bot Defense implementa contramedidas apropriadas em tempo real para combater fraudes e ATOs impulsionadas por bots com a máxima eficácia. O Distributed Cloud Authentication Intelligence reconhece usuários legítimos em toda a jornada do cliente, e o Distributed Cloud Client-Side Defense fornece insights em tempo real sobre ataques de clonagem digital do lado do cliente.
Juntamente com a rápida remoção de fraudes pós-login por meio do Distributed Cloud Account Protection , a plataforma de segurança e prevenção de fraudes F5 Distributed Cloud oferece uma abordagem de ponta a ponta que avalia a intenção, simplifica as experiências digitais e interrompe tentativas de ATO que, de outra forma, levariam à fraude, perda de receita e redução da fidelidade do cliente.
CASOS DE USO
Prevenir a tomada de conta (ATO) ›