# DET0821 — Detection of Spearphishing Service ## Descrição Spearphishing via serviços de terceiros envolve o uso de plataformas legítimas — redes sociais, serviços de mensageria, plataformas de colaboração como LinkedIn, WhatsApp, Telegram, Slack e Microsoft Teams — para entregar mensagens maliciosas a alvos específicos. Ao utilizar plataformas confiáveis, o atacante contorna filtros de e-mail tradicionais e explora a maior propensão das vítimas em confiar em comúnicações via redes sociais profissionais. Grupos como [[g0032-lazarus-group]] (Operation DreamJob), [[g0016-apt29]] (via LinkedIn) e [[ta505]] utilizam extensivamente essa técnica para acessar alvos de alto perfil no setor de tecnologia, defesa e financeiro. No contexto brasileiro e latino-americano, WhatsApp é uma superfície de ataque especialmente relevante dado seu uso massivo corporativo. Mensagens de phishing via WhatsApp Business falsificando fornecedores, bancos ou colegas de trabalho são vetores comuns de fraude financeira e comprometimento corporativo. A técnica [[T1566.003-phishing-spearphishing-via-service]] é particularmente difícil de bloquear pois o tráfego chega de endereços IP e domínios de serviços legítimos e amplamente confiáveis. A detecção combina monitoramento de comportamento de usuário após recebimento de mensagens suspeitas (download de arquivos, acesso a URLs novas), análise de links compartilhados via plataformas de mensagem corporativa, e treinamento de usuários para reconhecer abordagens por canais não esperados. Políticas de Zero Trust que exigem verificação de identidade independente do canal de comunicação são controles preventivos fundamentais, especialmente para comúnicações que solicitam ações financeiras ou de acesso. ## Indicadores de Detecção - Download de arquivos executáveis ou documentos com macros após interação em plataforma de mensageria - Acesso a URLs encurtadas ou domínios recém-registrados compartilhados via LinkedIn, WhatsApp ou Telegram - Instalação de ferramentas de acesso remoto (AnyDesk, TeamViewer) por usuários após contato via redes sociais - Perfis falsos no LinkedIn conectando-se sistematicamente a funcionários de organizações específicas - Campanhas de phishing identificadas via análise de cabeçalhos de e-mail com referência a serviços sociais - Logins em plataformas corporativas (VPN, email) de dispositivos novos imediatamente após interação social - Relatórios de usuários sobre contatos suspeitos via aplicativos de mensagem correlacionados com IOCs conhecidos ## Técnicas Relacionadas - [[t1566-phishing|T1566-phishing]] — técnica pai de spearphishing - [[T1566.003-phishing-spearphishing-via-service]] — spearphishing específicamente via serviços de terceiros - [[t1598-phishing-for-information|T1598-phishing-for-information]] — coleta de informações via engenharia social - [[t1204-user-execution|T1204-user-execution]] — execução de payload por usuário enganado - [[t1585-establish-accounts|T1585-establish-accounts]] — criação de contas falsas em serviços para spearphishing ## Analytics Relacionadas - [[an1953-analytic-1953|AN1953 — Analytic 1953]] --- *Fonte: [MITRE ATT&CK — DET0821](https://attack.mitre.org/detectionstrategies/DET0821)*