# AN0686 — Analytic 0686 ## Descrição Correlaciona fatiga de push MFA ou tentativas incomuns de consentimento OAuth com atividade de chamadas onde adversários podem ter engenheirado socialmente o usuário por voz. A telemetria inclui logs de auditoria do Identity Provider (Azure AD Sign-In Logs, Okta System Log), registros de CDR corporativos e logs de MFA que identificam padrões de usuário que aprovam requests de autenticação incomuns imediatamente após receber chamadas de números desconhecidos. Essa analítica é crítica para detectar ataques MFA Fatigue combinados com vishing, uma técnica amplamente documentada em campanhas do grupo Scattered Spider/Lapsus$ contra organizações no Brasil e LATAM. **Plataformas:** Identity Provider ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1621-multi-factor-authentication-request-generation|T1621 — Multi-Factor Authentication Request Generation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] --- *Fonte: [MITRE ATT&CK — AN0686](https://attack.mitre.org/detectionstrategies/DET0245#AN0686)*