# DET0841 — Detection of Gather Victim Identity Information ## Descrição Adversários coletam informações de identidade de funcionários e stakeholders de organizações-alvo para personalizar ataques, comprometer contas específicas ou construir pretextos convincentes para engenharia social. Essa coleta abrange nomes completos, cargos, e-mails, números de telefone, datas de nascimento, documentos (CPF, passaporte), histórico profissional e redes de relacionamento — informações que permitem criar spear-phishing altamente personalizado ou resetar senhas via processo de recuperação de conta. Grupos como [[g0016-apt29]], [[g0034-sandworm]] e operadores de BEC têm histórico de coleta extensiva de identidade antes de ataques a indivíduos de alto perfil. No Brasil, a disponibilidade de dados pessoais em vazamentos de grandes bases (DETRAN, operadoras, varejo) torna a coleta de informações de identidade particularmente acessível para adversários. Serviços de enriquecimento de dados e plataformas de data broker permitem a compra legal de dados pessoais que, combinados com informações públicas de redes sociais, criam perfis detalhados de alvos. A técnica é mapeada em [[t1589-gather-victim-identity-information|T1589-gather-victim-identity-information]] e alimenta diretamente ataques de [[t1566-phishing|T1566-phishing]], [[T1110.004-brute-force-credential-stuffing]] e [[t1078-valid-accounts|T1078-valid-accounts]]. A detecção foca em identificar tentativas de coleta automatizada de dados de identidade de fontes corporativas — acesso em massa a diretórios de funcionários, scraping de páginas de perfil, enumeração de contas via formulários de recuperação de senha e consultas a APIs que expõem dados de identidade. Monitorar serviços de autenticação para padrões de enumeração de usuário (respostas diferentes para usuários existentes vs inexistentes) e implementar proteções contra scraping de diretórios são controles eficazes. ## Indicadores de Detecção - Enumeração de usuários via formulário de login ou recuperação de senha (análise de respostas diferentes para usuários existentes) - Scraping automatizado de páginas de perfil de funcionários em portais corporativos - Consultas em massa à API de diretório LDAP/AD de hosts externos ou não autorizados - Dados de funcionários da organização identificados em bases de dados de vazamento via threat intel - Compra de dados de enriquecimento (CPF, telefone) correlacionados com funcionários em serviços de data broker - Múltiplas tentativas de recuperação de senha para contas de diferentes funcionários em curto período - Formulários de contato do site corporativo submetidos em massa com padrão de enumeração de e-mails ## Técnicas Relacionadas - [[t1589-gather-victim-identity-information|T1589-gather-victim-identity-information]] — técnica primária de coleta de identidade - [[t1566-phishing|T1566-phishing]] — uso de dados de identidade para personalização de phishing - [[T1110.004-brute-force-credential-stuffing]] — credential stuffing baseado em identidades coletadas - [[t1078-valid-accounts|T1078-valid-accounts]] — comprometimento de contas via dados de identidade coletados - [[t1531-account-access-removal|T1531-account-access-removal]] — ataques de resgate de conta baseados em dados de identidade ## Analytics Relacionadas - [[an1973-analytic-1973|AN1973 — Analytic 1973]] --- *Fonte: [MITRE ATT&CK — DET0841](https://attack.mitre.org/detectionstrategies/DET0841)*