det0107-detection-strategy-for-spearphishing-links

# DET0107 — Detection Strategy for Spearphishing Links ## Descrição Esta estratégia detecta campanhas de spearphishing via links maliciosos entregues por e-mail, mensagens ou outras plataformas de comunicação. O spearphishing de link é a variante mais prevalente de phishing direcionado — adversários enviam URLs que levam a páginas de coleta de credenciais, downloads de malware, ou exploits de browser. A detecção deve cobrir múltiplos vetores: análise do link no e-mail, comportamento de browser no acesso, e atividade pós-clique. A telemetria abrange: análise de cabeçalhos de e-mail para domínios recentemente registrados ou com baixa reputação nos links, inspeção de DNS para domínios de link seguidos de acesso de browser, proxy logs para categorização de URL, e comportamento de processo após acesso ao link (download de arquivo, spawn de processo). Soluções de Email Security Gateway com sandbox de URL (detonação de links suspeitos) são a camada primária de detecção. Indicadores contextuais incluem: links com múltiplos redirects (URL shorteners, open redirects em sites legítimos), domínios que imitam marcas conhecidas (homograph attacks, typosquatting), e URLs com parâmetros de tracking que sugerem campanha direcionada ao alvo. Grupos como [[g0016-apt29]] (campanhas de credential harvesting com páginas clone de O365), [[g0046-fin7]] (links para documentos com macros) e atores de BEC no Brasil utilizam extensivamente spearphishing via link. ## Indicadores de Detecção - Links em e-mails para domínios com <30 dias de registro (WHOIS) - URLs com múltiplos redirects (>3 hops) antes de destino final não categorizado - Acesso de browser a domínio de phishing seguido de POST com dados de formulário de login - Download de arquivo executável ou documento Office após clique em link de e-mail - Domínios com typosquatting de marcas corporativas (`microsoft-support[.]com`, `paypa1[.]com`) - URLs de open redirect em domínios legítimos apontando para sites de phishing (`accounts.google.com/oauth?redirect=evil.com`) ## Técnicas Relacionadas - [[t1566002-spearphishing-link]] — Técnica principal - [[t1566-phishing]] — Categoria pai - [[t1189-drive-by-compromise]] — Comprometimento via browser link - [[t1204001-user-execution-malicious-link]] — Execução pelo usuário ao clicar - [[t1598003-phishing-for-information-spearphishing-link]] — Reconhecimento via link de phishing ## Analytics Relacionadas - [[an0298-analytic-0298|AN0298 — Analytic 0298]] - [[an0299-analytic-0299|AN0299 — Analytic 0299]] - [[an0300-analytic-0300|AN0300 — Analytic 0300]] - [[an0301-analytic-0301|AN0301 — Analytic 0301]] --- *Fonte: [MITRE ATT&CK — DET0107](https://attack.mitre.org/detectionstrategies/DET0107)*