# DET0823 — Detection of Phishing for Information ## Descrição Phishing para coleta de informações é uma variante focada não na entrega de malware, mas na obtenção de dados sensíveis — credenciais, respostas a perguntas de segurança, informações de configuração de rede, dados de clientes ou detalhes sobre processos internos. Técnicas como páginas de login falsas de serviços corporativos, formulários de "verificação de segurança" e e-mails de engenharia social disfarçados de comúnicações legítimas de TI são amplamente utilizados por grupos como [[g0007-apt28]] (credential harvesting), [[lapsus-group]] e operadores de phishing-as-a-service que têm o Brasil como alvo prioritário. No Brasil, o phishing para coleta de informações financeiras é especialmente prevalente, com campanhas direcionadas a clientes e funcionários de grandes bancos, sistemas governamentais (e-CAC, GOV.BR) e plataformas de e-commerce. Kits de phishing específicos para o mercado brasileiro replicam com alta fidelidade as interfaces dos portais bancários e governamentais, tornando a identificação difícil para usuários sem treinamento específico. A técnica [[t1598-phishing-for-information|T1598-phishing-for-information]] se distingue de [[t1566-phishing|T1566-phishing]] por seu foco exclusivo em extração de dados, sem necessidade de execução de código malicioso. A detecção combina análise de URLs suspeitas em e-mails recebidos, monitoramento de domínios recém-registrados similares ao domínio corporativo (typosquatting), análise de certificados TLS de sites que se passam pela organização via CT logs, e correlação de logins em sistemas corporativos com IPs de redirecionamento de phishing. Implementar MFA resistente a phishing (FIDO2/passkeys) é o controle preventivo mais eficaz contra credential harvesting, independente da sofisticação do kit de phishing. ## Indicadores de Detecção - Domínios de typosquatting registrados recentemente simulando o domínio corporativo (ex: `empresa-br.com`, `empresa.com.br.net`) - Certificados TLS emitidos para domínios similares ao da organização identificados via CT logs (crt.sh) - Logins em sistemas corporativos vindos de IPs de proxy/VPN logo após recebimento de e-mail suspeito - E-mails recebidos com links para páginas de coleta de credenciais hospedadas em serviços legítimos (Google Forms, Typeform) - Usuários relatando e-mails solicitando confirmação de dados que imitam comúnicações de TI - Tentativas de autenticação com senhas recém-alteradas imediatamente após clique em link de phishing - Domínios similares ao da organização identificados em feeds de threat intelligence de phishing ## Técnicas Relacionadas - [[t1598-phishing-for-information|T1598-phishing-for-information]] — técnica específica de phishing para coleta de dados - [[t1566-phishing|T1566-phishing]] — phishing genérico (inclui entrega de malware) - [[t1589-gather-victim-identity-information|T1589-gather-victim-identity-information]] — coleta de identidades e credenciais - [[t1539-steal-web-session-cookie|T1539-steal-web-session-cookie]] — roubo de sessão em ataques AiTM de phishing avançado - [[t1585-establish-accounts|T1585-establish-accounts]] — criação de infraestrutura de phishing ## Analytics Relacionadas - [[an1955-analytic-1955|AN1955 — Analytic 1955]] --- *Fonte: [MITRE ATT&CK — DET0823](https://attack.mitre.org/detectionstrategies/DET0823)*