# DET0807 — Detection of Identify Roles ## Descrição Adversários realizam reconhecimento para identificar funções e papéis de funcionários dentro da organização-alvo, com o objetivo de selecionar alvos de spear-phishing de alta eficácia ou planejar ataques de engenharia social direcionados. Cargos como administradores de sistemas, gerentes financeiros, membros do conselho e profissionais de RH são alvos prioritários, pois combinam acesso privilegiado com maior probabilidade de interagir com conteúdo externo. Grupos como [[g0046-fin7]], [[ta505]] e [[g0032-lazarus-group]] utilizam essa técnica sistematicamente antes de campanhas de phishing no setor financeiro. A coleta de informações de cargos ocorre predominantemente via LinkedIn, listas de e-mail corporativos, sites institucionais com páginas de equipe, comúnicados de imprensa e conferências públicas. Ferramentas automatizadas como `theHarvester`, `Hunter.io` e módulos do `Maltego` são usadas para enumeração em escala. No Brasil, plataformas como Catho e Indeed também expõem informações de cargos que podem ser exploradas para mapeamento organizacional. A detecção dessa atividade é principalmente prospectiva: monitorar padrões de acesso repetitivo à página de equipe do site corporativo, consultas massivas ao LinkedIn de funcionários de uma mesma organização, e enumerar perfis públicos que revelam hierarquia interna. Correlacionar essa atividade com tentativas subsequentes de phishing direcionado (identificadas via [[det0823-detection-of-phishing-for-information]]) permite confirmar a fase de reconhecimento descrita em [[t1591-gather-victim-org-information|T1591-gather-victim-org-information]]. ## Indicadores de Detecção - Scraping automatizado de páginas "Nossa Equipe" ou "Diretoria" no site corporativo - Volume anormal de visualizações de perfis do LinkedIn de funcionários da organização em curto período - Enumeração de endereços de e-mail corporativos usando padrões comuns (`[email protected]`) - Consultas ao `theHarvester` ou ferramentas similares identificadas em logs de proxy reverso - Registros de acesso a diretórios corporativos públicos (ex: portais de transparência governamental) - Correlação de IPs que acessaram perfis de múltiplos funcionários sêniores em sequência - Requisições de API ao LinkedIn Sales Navigator originadas de fora da rede corporativa ## Técnicas Relacionadas - [[t1591-gather-victim-org-information|T1591-gather-victim-org-information]] — coleta de estrutura organizacional e papéis - [[t1589-gather-victim-identity-information|T1589-gather-victim-identity-information]] — identificação de pessoas-chave na organização - [[t1598-phishing-for-information|T1598-phishing-for-information]] — spear-phishing baseado em cargos identificados - [[t1566-phishing|T1566-phishing]] — ataques de phishing direcionados a funções específicas - [[t1078-valid-accounts|T1078-valid-accounts]] — comprometimento de contas de funcionários com papéis críticos ## Analytics Relacionadas - [[an1939-analytic-1939|AN1939 — Analytic 1939]] --- *Fonte: [MITRE ATT&CK — DET0807](https://attack.mitre.org/detectionstrategies/DET0807)*