# DET0835 — Detection of Email Accounts ## Descrição Adversários criam ou comprometem contas de e-mail para uso em operações de phishing, spear-phishing, engenharia social e comúnicações C2. A criação de contas em provedores gratuitos (Gmail, Outlook, Yahoo, ProtonMail) com identidades falsas permite ao atacante conduzir campanhas sem exposição de sua infraestrutura permanente. O comprometimento de contas legítimas de terceiros (fornecedores, parceiros, clientes) é especialmente valioso para ataques de Business Email Compromise (BEC) que exploram a confiança estabelecida entre as organizações. Grupos como [[g0016-apt29]], [[g0046-fin7]] e operadores de BEC têm documentado uso extensivo dessa técnica. No contexto brasileiro, ataques de BEC direcionados a empresas que realizam transferências internacionais ou pagamentos a fornecedores são responsáveis por prejuízos significativos anuais. A técnica [[T1585.002-establish-accounts-email-accounts]] é frequentemente o primeiro passo em cadeias de ataque que levam a fraude financeira, e a detecção requer tanto monitoramento de padrões de e-mail recebido quanto de comportamento de contas corporativas de e-mail que podem ter sido comprometidas. A detecção abrange múltiplas dimensões: análise de reputação de domínios de e-mail de remetentes externos, identificação de e-mails com display name enganoso (nome legítimo com endereço falso), monitoramento de logins em contas de e-mail corporativas de IPs e dispositivos não reconhecidos, e detecção de regras de encaminhamento de e-mail criadas automaticamente (indicativo de comprometimento de conta para interceptação de comúnicações). Implementar DMARC com política de reject é o controle preventivo mais eficaz contra spoofing de domínio. ## Indicadores de Detecção - E-mails com display name de executivos ou fornecedores conhecidos vindos de domínios externos não autorizados - Regras de encaminhamento de e-mail criadas em contas corporativas sem aprovação de TI - Logins em webmail corporativo de IPs associados a VPNs comerciais ou geografias incomuns - E-mails recebidos de domínios recém-registrados (< 30 dias) com conteúdo financeiro ou de RH - Múltiplas tentativas de login em contas de e-mail corporativo de IPs externos diferentes - Criação de contas de e-mail em provedores gratuitos com nomes que imitam funcionários da organização - Relatórios de funcionários sobre e-mails suspeitos de contatos conhecidos com solicitações incomuns ## Técnicas Relacionadas - [[T1585.002-establish-accounts-email-accounts]] — criação de contas de e-mail para operações - [[t1566-phishing|T1566-phishing]] — campanhas de phishing via contas de e-mail controladas - [[t1534-internal-spearphishing|T1534-internal-spearphishing]] — spear-phishing interno via conta corporativa comprometida - [[t1114-email-collection|T1114-email-collection]] — coleta de e-mails após comprometimento de conta - [[t1078-valid-accounts|T1078-valid-accounts]] — uso de conta de e-mail corporativa comprometida ## Analytics Relacionadas - [[an1967-analytic-1967|AN1967 — Analytic 1967]] --- *Fonte: [MITRE ATT&CK — DET0835](https://attack.mitre.org/detectionstrategies/DET0835)*