Os aplicativos SaaS, como o Microsoft 365 e o Google Workspace, são ferramentas essenciais para a produtividade, a comunicação e a colaboração modernas, o que os torna alvos atraentes para os criminosos cibernéticos. De acordo com uma pesquisa recente, as violações de SaaS aumentaram 300% entre setembro de 2023 e 2024.
Atualmente, muitas empresas adotam medidas rigorosas, como tokens de segurança, para impedir que agentes mal-intencionados acessem seus sistemas e dados. Esses tokens vão além das senhas para reforçar ainda mais a segurança, autenticando e autorizando usuários em processos de autenticação de dois fatores (2FA) e autenticação multifatorial (MFA). No entanto, os cibercriminosos descobriram novos métodos para roubar esses tokens e contornar a autenticação multifatorial (MFA).
Ainda este ano, um MSP compartilhou no Reddit que o e-mail do Microsoft 365 de um cliente foi hackeado, apesar de a autenticação de duas etapas (MFA) estar ativada, e perguntou à comunidade como os invasores conseguiram contornar essa proteção.
Detectar e corrigir automaticamente ameaças à segurança de SaaS
Com o Kaseya SaaS Alerts pode identificar violações, criar alertas instantâneos e bloquear contas afetadas, permitindo uma resposta rápida a incidentes de segurança de SaaS
Começar a usarOs criminosos cibernéticos estão se tornando mais sofisticados e estão usando técnicas como roubo de token e sequestro de sessão para contornar a MFA. No entanto, muitas empresas e provedores de serviços não estão totalmente cientes desses métodos de ataque.
Neste artigo, vamos analisar em profundidade o que é o roubo de tokens, como ele funciona e o que você pode fazer para proteger seus ambientes SaaS, usuários finais e dados.
O que é roubo de tokens?
O roubo de tokens é o processo de subtrair tokens de sessão ou chaves criptografadas digitalmente para obter acesso não autorizado a contas ou sistemas. O roubo de tokens representa uma grande ameaça para as organizações, pois, uma vez que os hackers capturam os tokens de login, eles podem se passar por um usuário ou acessar informações confidenciais, mesmo quando há senhas ou autenticação multifatorial (MFA) em vigor.
Tradicionalmente, os usuários inserem seus nomes de usuário e senhas sempre que desejam acessar um serviço ou sistema. Os usuários que utilizam a autenticação baseada em token fazem login uma única vez, e as credenciais são verificadas por meio de processos como a autenticação multifatorial (MFA). Após o login inicial, o sistema emite um token seguro (como uma chave digital) que comprova que o usuário está autenticado e permite o acesso a recursos protegidos por um período determinado. Os cibercriminosos procuram explorar essa vulnerabilidade roubando tokens de sessão válidos.
Alguns tipos comuns de tokens utilizados em sistemas modernos de autenticação e segurança incluem tokens de hardware, como as chaves de segurança FIDO 2, tokens de software, como o Google Authenticator ou o Microsoft Authenticator, e tokens de acesso, API, identificação e atualização.
Como funciona o roubo de tokens e os métodos usados
Os tokens roubados permitem que os hackers contornem controles de segurança, como senhas e autenticação multifatorial (MFA), se façam passar por usuários e acessem contas ou sistemas.
Quando um usuário faz login em um aplicativo SaaS, como o Microsoft 365 ou o Google Workspace, o sistema gera um token de autenticação (um JSON Web Token (JWT) ou um cookie de sessão). Esse token permite que o usuário acesse o aplicativo e seus recursos sem precisar fazer vários logins sucessivos. Ele é armazenado no dispositivo do usuário (no armazenamento do navegador, na memória ou em cookies de sessão) para manter o usuário autenticado e uma conexão ativa.
Se os invasores conseguirem roubar esse token enquanto ele estiver válido, poderão inseri-lo em seus próprios navegadores ou ferramentas e obter acesso imediato à conta do usuário. Assim, poderão se passar pelo usuário, roubar informações confidenciais ou realizar atividades maliciosas. Em resumo, os invasores efetivamente se apropriam da sessão do usuário.
Métodos comuns usados para roubar tokens
Phishing
Os invasores enviam e-mails de phishing que contêm links ou anexos maliciosos. Ao clicar nesses links, os usuários são redirecionados para sites de phishing projetados para imitar páginas de login reais. Os invasores utilizam kits de phishing AiTM que capturam credenciais de login e tokens, permitindo que eles contornem a MFA.
Malware e infostealers
Os cibercriminosos utilizam softwares maliciosos, como o RedLine ou o Raccoon Stealer, para extrair tokens e cookies de sessão do navegador ou dos dispositivos dos usuários. O malware vasculha o armazenamento do navegador e a memória dos aplicativos em busca de tokens que possam ser roubados.
Ataques MitM
Nesses tipos de ataques, os invasores interceptam as comunicações de rede para capturar tokens em trânsito. Eles se posicionam entre o alvo e o serviço de SaaS (por exemplo, o Microsoft 365). Eles usam ferramentas como o Evilginx (um servidor proxy reverso) que intercepta sessões de autenticação e captura tokens de sessão válidos.
Reutilização de tokens e ataques de repetição
Depois que os invasores roubam os tokens, eles podem reutilizá-los várias vezes para acessar sistemas sem precisar de credenciais de login ou autenticação multifatorial (MFA). Esses métodos permitem que os invasores reutilizem os tokens roubados para se passar por um usuário ou obter acesso não autorizado a um serviço repetidamente, até que os tokens expirem ou sejam revogados.
Roubo de token vs. sequestro de sessão: Qual é a diferença?
O roubo de token e o sequestro de sessão são vetores de ataque relacionados, mas distintos, e usam mecanismos diferentes.
O roubo de token envolve a extração ou o roubo de tokens de autenticação, como tokens OAuth, API ou JWT. Em contrapartida, o sequestro de sessão envolve assumir o controle de uma sessão ativa explorando um token de sessão roubado ou interceptado.
Aqui está uma rápida análise das diferenças entre o roubo de token e o sequestro de sessão.
| Característica | Roubo de token | Sequestro de sessão |
| Foco | Token de autenticação (OAuth, API, JWT) | ID de sessão ou cookie |
| Método de ataque comum | Phishing, malware, MiTM | Força bruta, XSS (cross-site scripting), MiTM, fixação de sessão |
| Escopo | Mais amplo (APIs, aplicativos móveis e da Web) | Normalmente focado em sessões da Web |
| Persistência | Vida mais longa (depende da expiração do token) | Sessão ativa ou até a sessão expirar |
Figura 1: Diferença entre roubo de token e sequestro de sessão
Os riscos e impactos do roubo de tokens
O roubo de tokens é uma das maiores ameaças que as empresas enfrentam atualmente. Os tokens roubados permitem que os invasores:
Ignorar MFA
Isso permite que os cibercriminosos contornem medidas de segurança como senhas e até mesmo a autenticação multifatorial (MFA). Isso os ajuda a obter acesso não autorizado contínuo sem acionar alertas de MFA.
Acesso não autorizado à conta
Os invasores utilizam tokens roubados para se passar por usuários. Assim que obtêm acesso a uma conta, eles passam a atacar outras plataformas, como e-mail, redes sociais ou aplicativos corporativos. Eles podem se deslocar lateralmente dentro de um sistema ou rede, ou elevar os privilégios da conta para obter permissões de nível superior e direitos administrativos.
Comprometer dados confidenciais
Quando uma conta é comprometida, os agentes maliciosos podem acessar recursos confidenciais, como dados de usuários, registros financeiros, e-mails, conversas e outros serviços em nuvem. Isso pode resultar na exfiltração em massa de dados de plataformas SaaS, como o Microsoft 365 e o Google Workspace. Os cibercriminosos usam as informações roubadas para exigir resgate. Frequentemente, os dados exfiltrados são vendidos em fóruns da dark web com o objetivo de obter lucro financeiro.
As consequências desses riscos podem resultar em violações de dados, perdas financeiras, não conformidade e danos à reputação.
Devido aos riscos que representa, a Equipe de Detecção e Resposta da Microsoft (DART) analisa minuciosamente o roubo de tokens e suas táticas. A equipe DART da Microsoft tem como objetivo capacitar as equipes de TI e segurança com o conhecimento e as estratégias adequadas para combater o roubo de tokens de forma eficaz.
Práticas recomendadas para evitar o roubo de tokens
Embora o roubo de tokens seja uma ameaça complexa e moderna, há certas medidas que você pode tomar para reduzir esse risco.
Políticas de acesso condicional
As políticas de acesso condicional podem ser aplicadas em ambientes como o Microsoft Entra ID, o Azure AD e o Google Workspace. Essas políticas avaliam o contexto do acesso, o que pode ajudar a reduzir o risco associado ao roubo de tokens. Com base em regras predefinidas, as políticas de acesso condicional verificam vários fatores, como a identidade do usuário, o status de conformidade do dispositivo, a localização/endereço IP, o aplicativo que está sendo acessado e avaliações de risco em tempo real, antes de conceder o acesso.
Informar os usuários
Embora os funcionários sejam o maior patrimônio de uma organização, o comportamento de risco dos usuários continua sendo um dos pontos mais vulneráveis da segurança cibernética. Em 2024, mais de 90% das violações de dados estavam relacionadas a erros humanos.
Aproveite as soluções de treinamento em conscientização de segurança e testes de vulnerabilidade do usuário, como BullPhish ID um componente essencial do Kaseya 365 ), para ensinar os usuários a identificar e-mails de phishing e páginas de login falsas. Informe-os sobre os riscos de clicar em links desconhecidos, reutilizar senhas e usar redes Wi-Fi públicas sem uma VPN.
Passkeys ou chaves de hardware
Use chaves de acesso ou chaves de hardware, como as chaves de segurança FIDO 2, as chaves de acesso do Microsoft Authenticator e as chaves de acesso do Google. Elas oferecem uma camada adicional de proteção, já que o acesso à chave privada exige o Face ID, a impressão digital ou o PIN do dispositivo. As chaves de acesso oferecem um mecanismo de autenticação mais confiável e fácil de usar contra ameaças cibernéticas, como o roubo de tokens.
Como Kaseya 365 ajuda a prevenir o roubo de tokens
À medida que os cibercriminosos e suas táticas continuam a evoluir rapidamente, as empresas precisam de uma estratégia de defesa robusta e em camadas para proteger seus ambientes SaaS, usuários finais e dados em todos os níveis.
Kaseya 365 é uma solução abrangente por assinatura que inclui todos os componentes essenciais de segurança cibernética para proteger seu ambiente do Microsoft 365 ou do Google Workspace. Desde a detecção de atividades suspeitas em tempo real e a resposta automática a ameaças até o bloqueio de e-mails de phishing antes que cheguem às caixas de entrada dos funcionários, passando pelo backup e a recuperação seguros de seus dados SaaS, Kaseya 365 está aqui para protegê-lo.
Nossa solução de segurança revoga automaticamente os tokens de sessão para bloquear acessos não autorizados e redefine senhas quando um ataque é detectado. Ela correlaciona a atividade dos dispositivos, como padrões de login, com a atividade das contas para aumentar a probabilidade de detecção de violações. Ao comparar os dados dos dispositivos com os dados das aplicações SaaS, ela garante que apenas usuários autorizados em dispositivos autorizados possam acessar as aplicações SaaS críticas da sua organização.
Descubra como Kaseya 365 ajuda você a prevenir, responder e se recuperar de ataques de roubo de tokens. Saiba mais.
