# AN0193 — Analytic 0193 ## Descrição Detecta phishing entregue via serviços SaaS (plataformas de chat e colaboração) onde mensagens contêm URLs maliciosas ou anexos, identificando cliques anômalos em links, uploads de arquivo suspeitos ou uso indevido de tokens após tentativas de phishing baseadas em SaaS. A telemetria inclui logs de auditoria da plataforma SaaS (ex.: Slack, Teams, Google Workspace) registrando compartilhamento de links e acesso a arquivos, eventos de DLP identificando padrões de URL suspeitos e anomalias em OAuth tokens ou permissões de aplicação concedidas após interação com mensagens suspeitas. Essa analítica é relevante porque plataformas de colaboração SaaS tornaram-se vetores emergentes de phishing, com adversários utilizando contas comprometidas ou bots para distribuir links maliciosos dentro de organizações que confiam em comúnicações internas nesses canais. **Plataformas:** SaaS ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1528-steal-application-access-token|T1528 — Steal Application Access Token]] - [[t1534-internal-spearphishing|T1534 — Internal Spearphishing]] --- *Fonte: [MITRE ATT&CK — AN0193](https://attack.mitre.org/detectionstrategies/DET0070#AN0193)*