# DET0812 — Detection of Social Media ## Descrição Adversários monitoram e analisam redes sociais corporativas e de funcionários como parte do reconhecimento pré-ataque. Plataformas como LinkedIn, Twitter/X, Facebook, Instagram e fóruns especializados fornecem informações sobre estrutura organizacional, tecnologias utilizadas, projetos em andamento, viagens de executivos e eventos corporativos — dados que alimentam campanhas de engenharia social altamente personalizadas. Grupos como [[g0046-fin7]], [[ta505]] e atores de espionagem como [[g0016-apt29]] utilizam inteligência de redes sociais para criar pretextos convincentes em ataques de spear-phishing. No contexto brasileiro, o LinkedIn é amplamente utilizado para mapear hierarquias corporativas e identificar funcionários com acesso privilegiado a sistemas financeiros ou infraestrutura crítica. Instagram e Twitter frequentemente revelam viagens de executivos, participação em conferências e relacionamentos profissionais que podem ser explorados para ataques de impersonação. A técnica se enquadra em [[t1591-gather-victim-org-information|T1591-gather-victim-org-information]] e [[t1589-gather-victim-identity-information|T1589-gather-victim-identity-information]], e frequentemente precede campanhas descritas em [[t1566-phishing|T1566-phishing]] e [[t1598-phishing-for-information|T1598-phishing-for-information]]. A detecção é indireta e focada em monitoramento proativo: implementar alertas para menções à organização e executivos-chave em plataformas sociais, monitorar o volume de visualizações de perfis corporativos no LinkedIn, e detectar criação de perfis falsos que se passam por funcionários da empresa (brand impersonation). Políticas de conscientização sobre o que pode ser compartilhado públicamente e configurações de privacidade adequadas são controles preventivos críticos. ## Indicadores de Detecção - Pico de visualizações de perfis LinkedIn de múltiplos funcionários da mesma organização em período curto - Criação de perfis falsos em redes sociais usando nome, foto ou cargo de funcionários reais (detectável via monitoramento de marca) - Posts de funcionários revelando detalhes de infraestrutura, projetos internos ou viagens de executivos - Solicitações de conexão em massa no LinkedIn a funcionários de uma mesma organização por perfis recém-criados - Menções à organização em fóruns underground (Telegram, dark web) correlacionadas com atividade de reconhecimento - Interações incomuns em contas sociais corporativas — perguntas específicas sobre processos internos ou tecnologias - Coleta automatizada de posts públicos via APIs de redes sociais por atores não identificados ## Técnicas Relacionadas - [[t1591-gather-victim-org-information|T1591-gather-victim-org-information]] — coleta de informações organizacionais via redes sociais - [[t1589-gather-victim-identity-information|T1589-gather-victim-identity-information]] — identificação de funcionários e papéis - [[t1566-phishing|T1566-phishing]] — phishing baseado em inteligência de redes sociais - [[t1598-phishing-for-information|T1598-phishing-for-information]] — coleta de informações via engenharia social em redes sociais - [[t1585-establish-accounts|T1585-establish-accounts]] — criação de contas falsas para aproximação de alvos ## Analytics Relacionadas - [[an1944-analytic-1944|AN1944 — Analytic 1944]] --- *Fonte: [MITRE ATT&CK — DET0812](https://attack.mitre.org/detectionstrategies/DET0812)*