det0576-email-forwarding-rule-abuse-detection-across-platforms

# DET0576 — Email Forwarding Rule Abuse Detection Across Platforms ## Descrição A criação de regras de encaminhamento de email não autorizadas ([[T1114.003 - Email Collection Email Forwarding Rule|T1114.003]]) é uma técnica clássica de espionagem e coleta de inteligência utilizada por adversários com acesso a contas de email comprometidas. O adversário configura uma regra silenciosa que encaminha automaticamente todas ou categorias específicas de emails recebidos para uma conta externa controlada por ele, garantindo acesso contínuo mesmo após a senha ser alterada. Operações BEC (Business Email Compromise) no Brasil frequentemente utilizam essa técnica para monitorar comúnicações financeiras e interceptar solicitações de pagamento. A técnica é especialmente eficaz porque a regra opera de forma silenciosa no servidor de email — a vítima continua recebendo seus emails normalmente e raramente verifica regras de encaminhamento. Em Microsoft 365, as regras podem ser configuradas via OWA (Outlook Web Access), PowerShell (`New-InboxRule`) ou API do Graph, dificultando a detecção sem monitoramento de auditoria de tenant. Grupos de espionagem corporativa e operadores de fraude financeira utilizam essa técnica rotineiramente. A detecção deve monitorar o Unified Audit Log do Microsoft 365 (operação `New-InboxRule` e `Set-InboxRule`) e logs equivalentes em Google Workspace para criação de filtros de encaminhamento. Alertas devem ser gerados para qualquer regra que encaminhe para domínio externo, especialmente se criada recentemente ou por conta com comportamento incomum de acesso. ## Indicadores de Detecção - Criação de `InboxRule` com ação `ForwardTo` para endereço de domínio externo - Unified Audit Log: `New-InboxRule` com `ForwardTo` ou `RedirectTo` para email fora do tenant - Regra de encaminhamento criada imediatamente após acesso bem-sucedido de novo IP/localização - Google Workspace: filtro criado com ação `forward` para conta pessoal (gmail, hotmail) - `Set-InboxRule` via PowerShell ou Graph API por conta sem histórico de uso de automação - Regra configurada para encaminhar emails com palavras-chave financeiras ("invoice", "wire", "payment") ## Técnicas Relacionadas - [[T1114.003-email-collection-email-forwarding-rule|T1114.003 — Email Forwarding Rule]] - [[t1114-email-collection|T1114 — Email Collection]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1534-internal-spearphishing|T1534 — Internal Spearphishing]] - [[t1598-phishing-for-information|T1598 — Phishing for Information]] ## Analytics Relacionadas - [[an1589-analytic-1589|AN1589 — Analytic 1589]] - [[an1590-analytic-1590|AN1590 — Analytic 1590]] - [[an1591-analytic-1591|AN1591 — Analytic 1591]] - [[an1592-analytic-1592|AN1592 — Analytic 1592]] --- *Fonte: [MITRE ATT&CK — DET0576](https://attack.mitre.org/detectionstrategies/DET0576)*