# AN0192 — Analytic 0192 ## Descrição Detecta tentativas de phishing direcionadas a provedores de identidade (IdP), que frequentemente se manifestam como tentativas de login anômalas de convites de e-mail suspeitos ou prompts de SSO falsos, correlacionando fluxos de login, tentativas de bypass de MFA e padrões geográficos anômalos após entrega de e-mail de phishing. A telemetria inclui logs de autenticação do IdP (ex.: Azure AD, Okta, Ping) com registros de IP de origem, eventos de MFA registrando tentativas de bypass ou push bombing e alertas de acesso condicional para localizações ou dispositivos não reconhecidos. Essa analítica é crítica porque o comprometimento de um IdP ou de credenciais de SSO permite acesso a todas as aplicações integradas simultaneamente, sendo alvos prioritários de campanhas de phishing avançadas, especialmente ataques AiTM (Adversary-in-the-Middle) como os usados pelo grupo Scattered Spider. **Plataformas:** Identity Provider ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1621-multi-factor-authentication-request-generation|T1621 — Multi-Factor Authentication Request Generation]] --- *Fonte: [MITRE ATT&CK — AN0192](https://attack.mitre.org/detectionstrategies/DET0070#AN0192)*