# AN0301 — Analytic 0301 ## Descrição Esta analítica detecta phishing de consentimento OAuth ou tentativas de login maliciosas iniciadas por links de spearphishing, incluindo a cadeia: e-mail recebido com URL OAuth → página de consentimento visitada → concessões de token incomuns registradas nos logs do IdP. A telemetria inclui logs de auditoria do provedor de identidade para eventos de concessão de token OAuth e logs de acesso a aplicativos. A detecção é crítica pois ataques de OAuth consent phishing comprometem o acesso a dados sem necessidade de roubo de senha, técnica usada em campanhas como Cozy Bear/APT29 contra organizações governamentais. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1566-002-spearphishing-link|T1566.002 — Spearphishing Link]] - [[t1550-001-application-access-token|T1550.001 — Application Access Token]] - [[t1528-steal-application-access-token|T1528 — Steal Application Access Token]] - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] --- *Fonte: [MITRE ATT&CK — AN0301](https://attack.mitre.org/detectionstrategies/DET0107#AN0301)*