# DET0355 — Detection Strategy for Email Bombing ## Descrição Esta estratégia detecta campanhas de email bombing — inundação da caixa de entrada de um usuário com grande volume de emails em curto período — utilizada como técnica de distração ou pressão social para ocultar notificações legítimas de segurança durante um ataque em andamento. A técnica é uma forma de [[t1498-network-denial-of-service|T1498-network-denial-of-service]] aplicada ao canal de email, e frequentemente precede fraudes de suporte técnico, MFA fatigue e ataques de engenharia social. A detecção baseia-se em thresholds de volume de email recebido por usuário — um número incomummente alto de emails em curto intervalo (>50 em 10 minutos, por exemplo) é um indicador de bombeamento. Correlacionar o email bombing com tentativas de acesso simultâneas (MFA push, reset de senha, ligações de suporte) eleva significativamente a fidelidade do alerta. Em LATAM, o email bombing é usado por grupos de fraude financeira para mascarar notificações de transferências não autorizadas que chegam simultaneamente ao ataque. A correlação entre pico de volume de email e eventos de autenticação é o sinal de maior valor operacional. ## Indicadores de Detecção - >50 emails recebidos por um único usuário em menos de 10 minutos (possível bombing) - Emails em massa originados de serviços legítimos de newsletter após inscrições em massa automáticas - Pico de email coincidindo com tentativas de autenticação ou atividade suspeita na conta do usuário - Emails de confirmação de inscrição em dezenas de serviços diferentes em curto intervalo (sinal de bombing via opt-in abuse) - Aumento súbito de volume de email para executivos ou equipe financeira durante período de transação - Email gateway reportando alto volume de mensagens legítimas (não-spam) para destinatário único ## Técnicas Relacionadas - [[t1498-network-denial-of-service|T1498-network-denial-of-service]] — email bombing como DoS de canal de comunicação - [[t1566-phishing|T1566-phishing]] — phishing frequentemente combinado ou precedido de email bombing - [[t1621-multi-factor-authentication-request-generation|T1621-multi-factor-authentication-request-generation]] — MFA fatigue frequentemente acompanhada de email bombing como distração - [[t1656-impersonation|T1656-impersonation]] — impersonação de suporte técnico após email bombing - [[t1204-user-execution|T1204-user-execution]] — usuário abre link malicioso em meio ao flood de emails ## Analytics Relacionadas - [[an1008-analytic-1008|AN1008 — Analytic 1008]] - [[an1009-analytic-1009|AN1009 — Analytic 1009]] - [[an1010-analytic-1010|AN1010 — Analytic 1010]] - [[an1011-analytic-1011|AN1011 — Analytic 1011]] --- *Fonte: [MITRE ATT&CK — DET0355](https://attack.mitre.org/detectionstrategies/DET0355)*