# AN1946 — Analytic 1946 ## Descrição Esta analítica detecta probing de endereços de e-mail e nomes de usuário por meio de monitoramento de tráfego de rede suspeito — incluindo grande volume ou iterações de requisições de autenticação originadas de uma única fonte (especialmente IPs associados a adversários ou botnets) e análise de metadados HTTP como campos `Referer` e `User-Agent` que revelam atividade de coleta de informações. A telemetria inclui logs de servidor de e-mail e portais de autenticação monitorando respostas de enumeração de usuários (diferença entre erros "usuário não encontrado" vs "senha incorreta"), alertas de raté limiting e análise de origem de IPs com correlação a threat feeds. Esta detecção é importante porque enumeração de endereços de e-mail precede ataques de phishing direcionado e campanhas de credential stuffing. **Plataformas:** PRE --- ## Técnicas Relacionadas - [[t1589-gather-victim-identity-information|T1589 — Gather Victim Identity Information]] - [[t1598-phishing-for-information|T1598 — Phishing for Information]] - [[t1566-phishing|T1566 — Phishing]] - [[t1110-brute-force|T1110 — Brute Force]] --- *Fonte: [MITRE ATT&CK — AN1946](https://attack.mitre.org/detectionstrategies/DET0814#AN1946)*