# AN0202 — Analytic 0202 ## Descrição Detecta reutilização de cookie de sessão em navegadores não gerenciados, dispositivos ou tipos de cliente que se desviam da linha de base do usuário (ex.: troca de Chrome para curl ou ferramentas de linha de comando), indicando roubo e reutilização de cookie de sessão SaaS por um adversário. A telemetria inclui logs de acesso SaaS com análise de User-Agent para identificar mudanças anômalas de cliente, correlação de endereço IP de origem com a linha de base histórica do usuário e alertas para sessões ativas em múltiplos dispositivos geograficamente díspares simultaneamente. Essa analítica é relevante porque o roubo de cookies de sessão SaaS permite acesso a plataformas críticas como Microsoft 365, Salesforce ou Slack sem necessidade de credenciais, sendo uma técnica central em ataques de comprometimento de e-mail corporativo (BEC) e espionagem industrial. **Plataformas:** SaaS ## Técnicas Relacionadas - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1114-email-collection|T1114 — Email Collection]] --- *Fonte: [MITRE ATT&CK — AN0202](https://attack.mitre.org/detectionstrategies/DET0074#AN0202)*