# DET0814 — Detection of Email Addresses ## Descrição A enumeração de endereços de e-mail corporativos é uma das atividades de reconhecimento mais comuns e eficazes para adversários que planejam campanhas de phishing, credential stuffing ou engenharia social. Ferramentas como `theHarvester`, `Hunter.io`, `Skrapp` e módulos do `Maltego` automatizam a coleta de e-mails a partir de fontes públicas como sites corporativos, resultados de busca, redes sociais, registros WHOIS e documentos indexados. Uma vez com uma lista de e-mails válidos, atores como [[ta505]], [[g0046-fin7]] e operadores de ransomware podem lançar campanhas altamente direcionadas com alto índice de entrega. A dedução de padrões de e-mail (`[email protected]`, `[email protected]`) é especialmente eficaz quando combinada com listas de funcionários obtidas via LinkedIn. Serviços como `Hunter.io` e `Clearbit` oferecem verificação de válidade de e-mails empresariais, permitindo ao atacante confirmar quais endereços estão ativos antes de iniciar o ataque. No Brasil, portais de transparência governamental frequentemente públicam e-mails funcionais de servidores públicos que podem ser explorados como alvos de spear-phishing. A detecção desta técnica, mapeada em [[t1589-gather-victim-identity-information|T1589-gather-victim-identity-information]], combina monitoramento de logs de servidor para padrões de scraping de páginas que listam contatos, implementação de honeypot addresses (e-mails públicados propositalmente que nunca deveriam receber mensagens legítimas) e monitoramento de serviços de verificação de e-mail que fazem consultas SMTP aos servidores de correio da organização para confirmar endereços válidos sem enviar mensagens. ## Indicadores de Detecção - Consultas SMTP `RCPT TO` em massa sem entrega de mensagem (verificação de válidade de e-mail) - Acesso automatizado a páginas de contato ou diretório de funcionários do site corporativo - Respostas de servidor de e-mail `250 OK` a endereços gerados por padrão sem tentativa real de envio - Recebimento de mensagem em honeypot addresses públicadas como isca em páginas públicas - Chamadas à API de serviços como Hunter.io ou Clearbit com domínio da organização como parâmetro - Enumeração de endereços de e-mail em documentos PDF ou Word indexados via Google Dorking - Spike de requisições de verificação de bounce em período incomum (varredura de lista) ## Técnicas Relacionadas - [[t1589-gather-victim-identity-information|T1589-gather-victim-identity-information]] — coleta de identidades incluindo e-mails - [[t1566-phishing|T1566-phishing]] — uso dos e-mails coletados em campanhas de phishing - [[t1598-phishing-for-information|T1598-phishing-for-information]] — spear-phishing baseado em e-mails enumerados - [[t1078-valid-accounts|T1078-valid-accounts]] — comprometimento de contas via credential stuffing com e-mails válidos - [[t1110-brute-force|T1110-brute-force]] — ataques de senha direcionados a e-mails corporativos confirmados ## Analytics Relacionadas - [[an1946-analytic-1946|AN1946 — Analytic 1946]] --- *Fonte: [MITRE ATT&CK — DET0814](https://attack.mitre.org/detectionstrategies/DET0814)*