Captura de sessão
A captura de sessão é um ataque focado no cliente em que invasores tentam roubar informações usando o acesso de um cliente a um aplicativo da Web. No nosso caso, esse aplicativo é o Salesforce. Quando um cliente faz a autenticação no Salesforce, ele recebe um token de sessão. O invasor tenta obter o token de sessão para sequestrar a sessão do cliente.
Edições obrigatórias
| Disponível no Salesforce Classic (não disponível em todas as organizações) e no Lightning Experience. |
Disponível em: Enterprise, Unlimited e Developer Editions Requer assinaturas dos complementos Salesforce Shield ou Monitoramento de evento do Salesforce. |
O objeto Monitoramento de evento em tempo real SessionHijackingEvent lida com o ataque "Man In The Browser" (MiTB), um tipo de ataque de sequestro de sessão. Em um ataque MiTB, o invasor planta um vírus, como um proxy de Troia, para comprometer o aplicativo da Web do cliente. O vírus se integra ao navegador do cliente. Quando o cliente acessa um aplicativo da Web como o Salesforce, o vírus manipula páginas, coleta informações confidenciais compartilhadas entre o cliente e o Salesforce e rouba essas informações. É difícil para o cliente detectar estes tipos de ataques.
Felizmente, a Salesforce está à frente dos criminosos e tem mecanismos para detectar ataques MiTB. Quando esse ataque é detectado, o Salesforce encerra a sessão e as sessões filhas, faz logout do usuário e solicita a autenticação de dois fatores. Com essa ação, o Salesforce evita que o invasor realize qualquer outra atividade mal-intencionada com a sessão do usuário. Essa aplicação automática torna a captura de sessão custosa para os invasores e traz segurança nas sessões dos clientes do Salesforce.
Todos os clientes do Salesforce têm essa mitigação de ameaça. Os clientes do monitoramento de evento têm visibilidade granular para esses ataques. Esses clientes podem coletar informações úteis sobre os ataques em tempo real e enviar notificações a outros usuários no Salesforce.
Como o Salesforce detecta o sequestro de sessão
Para detectar tentativas de sequestro de sessão, o Salesforce primeiro cria a impressão digital do navegador para identificar o dispositivo que o usuário usou para efetuar login. Quando o Salesforce detecta um desvio significativo na impressão digital do navegador na mesma sessão, é provável que haja atividade não autorizada em um dispositivo diferente usando o ID de sessão legítimo roubado. O Salesforce calcula a pontuação de risco de sequestro de sessão para cada par de impressões digitais de navegador em uma sessão. Em seguida, o Salesforce compara a pontuação a um limite empiricamente determinado para detectar sessões de usuário anômalas em tempo real. Se o Salesforce detectar uma anomalia, ele gerará um evento SessionHijackingEvent.
- Recursos da impressão digital de navegador
Uma impressão digital de navegador é um conjunto de recursos que identificam um dispositivo. O Salesforce usa esses recursos para criar um modelo da impressão digital do navegador original do usuário quando ele efetuou login. O Salesforce usa esse modelo para detectar quando a sessão do usuário é capturada. - Investigar a captura de sessão
Aqui estão algumas dicas para investigar um ataque de sequestro de sessão.
