# AN0957 — Analytic 0957 ## Descrição Detecta reutilização incomum de tokens de acesso OAuth a partir de diferentes regiões geográficas sem eventos de login completos correspondentes. A telemetria inclui logs de acesso de plataformas SaaS (Office 365, Google Workspace), eventos de autenticação OAuth e análise geoespacial de uso de tokens. Esse padrão é característico de ataques de token theft em ambientes SaaS, onde credenciais roubadas de uma localização são reutilizadas de outra, indicando comprometimento de conta sem necessidade de contornar MFA. **Plataformas:** SaaS ## Técnicas Relacionadas - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] --- *Fonte: [MITRE ATT&CK — AN0957](https://attack.mitre.org/detectionstrategies/DET0338#AN0957)*