# DET0806 — Detection of Determine Physical Locations ## Descrição Durante a fase de reconhecimento, adversários buscam determinar a localização física de organizações-alvo — incluindo endereços de escritórios, data centers, instalações críticas e a distribuição geográfica de funcionários. Essa informação pode ser usada para planejar ataques físicos, engenharia social presencial (tailgating, shoulder surfing) ou para identificar jurisdições legais relevantes para exfiltração de dados. Grupos com motivação de espionagem estatal, como [[g0007-apt28]] e [[g0065-leviathan|apt40]], frequentemente combinam reconhecimento digital com dados físicos para operações integradas. As fontes usadas por adversários incluem registros públicos de empresas (Junta Comercial, CNPJ), plataformas de mapeamento (Google Maps, Street View), redes sociais de funcionários (LinkedIn, Instagram com geolocalização), e-mails corporativos com assinaturas contendo endereços, e dados WHOIS que revelam localização de registrantes de domínio. No contexto brasileiro, o uso de portais como o da Receita Federal e registros da ANATEL são vetores comuns para obtenção dessas informações. A detecção direta é limitada, pois a maioria dessas fontes é pública. No entanto, é possível monitorar acessos suspeitos a sistemas internos que contenham dados de localização física, correlacionar buscas por endereços corporativos específicos com outras atividades de reconhecimento, e detectar coleta automatizada via raspagem de páginas institucionais. A estratégia se relaciona diretamente com [[t1591-gather-victim-org-information|T1591-gather-victim-org-information]] e [[t1589-gather-victim-identity-information|T1589-gather-victim-identity-information]]. ## Indicadores de Detecção - Acesso repetitivo a páginas de contato ou "Sobre nós" do site corporativo por IPs externos únicos - Scraping de informações de localização em registros públicos de forma automatizada (user-agents de bot) - Consultas WHOIS em massa a domínios da organização com padrão de enumeração sequencial - Pesquisas de funcionários em LinkedIn combinadas com termos de localização ("São Paulo", "Brasília", "data center") - Acesso não autorizado a sistemas internos contendo plantas baixas, layouts de escritório ou endereços de filiais - Metadados de geolocalização em arquivos exfiltrados de sistemas corporativos - Solicitações incomuns de dados cadastrais via APIs de registro público ## Técnicas Relacionadas - [[t1591-gather-victim-org-information|T1591-gather-victim-org-information]] — coleta de informações organizacionais incluindo localização - [[t1589-gather-victim-identity-information|T1589-gather-victim-identity-information]] — identificação de funcionários e suas localizações - [[t1598-phishing-for-information|T1598-phishing-for-information]] — engenharia social para obter dados de localização - [[t1593-search-open-websitesdomains]] — busca em sites públicos por informações físicas - [[t1596-search-open-technical-databases|T1596-search-open-technical-databases]] — uso de registros públicos para geolocalização ## Analytics Relacionadas - [[an1938-analytic-1938|AN1938 — Analytic 1938]] --- *Fonte: [MITRE ATT&CK — DET0806](https://attack.mitre.org/detectionstrategies/DET0806)*