det0070-detection-strategy-for-phishing-across-platforms

# DET0070 — Detection Strategy for Phishing across platforms. ## Descrição Phishing é consistentemente o vetor de acesso inicial mais utilizado por grupos de ameaça em todo o mundo, incluindo no Brasil e na América Latina. Esta estratégia de detecção multi-plataforma cobre spear-phishing via e-mail (T1566.001 — anexo malicioso, T1566.002 — link malicioso), phishing via serviços de terceiros (T1566.003 — Microsoft Teams, Slack, SMS) e páginas de login falsas para captura de credenciais. A detecção requer correlação entre múltiplas fontes de telemetria: gateway de e-mail, proxy web, EDR e CASB. No nível de e-mail, indicadores como cabeçalhos SPF/DKIM/DMARC com falha, domínios de remetente semelhantes a marcas legítimas (typosquatting), anexos com dupla extensão (`.pdf.exe`) e links para domínios recém-registrados são os principais sinais. No nível de endpoint, a execução de processo filho a partir de cliente de e-mail ou abertura de documento Office que lança `cmd.exe` ou `PowerShell.exe` são indicadores de alta fidelidade. No contexto brasileiro, ataques de phishing frequentemente se passam por comúnicações de bancos (Bradesco, Itaú, Caixa), Receita Federal e operadoras de telecomúnicações. Grupos como operadores de [[s0531-grandoreiro]] e [[mekotio]] utilizam campanhas de phishing massivas com URLs encurtadas e redirecionadores para distribuir trojans bancários direcionados ao Brasil e outros países LATAM. ## Indicadores de Detecção - E-mail com falha em válidação SPF, DKIM ou DMARC combinado com link ou anexo - Domínio do remetente registrado há menos de 7 dias ou com semelhança léxica a domínio legítimo - Anexo com extensão `.iso`, `.img`, `.lnk`, `.hta` ou macro-habilitado (`.xlsm`, `.docm`) de remetente externo - Processo Office (`winword.exe`, `excel.exe`) spawning `cmd.exe`, `PowerShell.exe` ou `wscript.exe` - Clique em link de e-mail seguido de redirecionamento para página de login fora do domínio corporativo - Credenciais corporativas submetidas para domínio externo não catalogado no inventário de SaaS ## Técnicas Relacionadas - [[t1566001-phishing-spearphishing-attachment|T1566.001 — Spearphishing Attachment]] - [[t1566002-phishing-spearphishing-link|T1566.002 — Spearphishing Link]] - [[t1566003-phishing-spearphishing-via-service|T1566.003 — Spearphishing via Service]] - [[t1204002-user-execution-malicious-file|T1204.002 — Malicious File]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] ## Analytics Relacionadas - [[an0188-analytic-0188|AN0188 — Analytic 0188]] - [[an0189-analytic-0189|AN0189 — Analytic 0189]] - [[an0190-analytic-0190|AN0190 — Analytic 0190]] - [[an0191-analytic-0191|AN0191 — Analytic 0191]] - [[an0192-analytic-0192|AN0192 — Analytic 0192]] - [[an0193-analytic-0193|AN0193 — Analytic 0193]] --- *Fonte: [MITRE ATT&CK — DET0070](https://attack.mitre.org/detectionstrategies/DET0070)*