# AN0150 — Analytic 0150 ## Descrição Detecta spear-phishing interno via aplicações SaaS como Slack, Microsoft Teams ou Gmail, onde mensagem é enviada por usuário comprometido com anexo ou URL seguida de comportamento de clique e acesso a credenciais. A telemetria inclui logs de auditoria das plataformas SaaS (Slack Audit Logs, Microsoft Teams Compliance Logs, Google Workspace Audit), análise de links compartilhados para identificar redirecionamentos maliciosos ou phishing pages, e correlação com atividade de autenticação anômala da conta remetente. Este analítico é crítico porque o spear-phishing via plataformas SaaS corporativas tem maior taxa de sucesso do que e-mails externos, pois a mensagem chega por um canal confiável de um colega conhecido, reduzindo a desconfiança do alvo. **Plataformas:** SaaS --- ## Técnicas Relacionadas - [[t1534-internal-spearphishing|T1534 — Internal Spearphishing]] - [[t1566-phishing|T1566 — Phishing]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] --- *Fonte: [MITRE ATT&CK — AN0150](https://attack.mitre.org/detectionstrategies/DET0054#AN0150)*