det0861-detection-of-email-accounts

# DET0861 — Detection of Email Accounts ## Descrição A estratégia DET0861 aborda a detecção de criação ou comprometimento de contas de e-mail por adversários para uso em operações maliciosas. Contas de e-mail são fundamentais na cadeia de ataque para envio de spearphishing, registro de domínios e infraestrutura de C2, comunicação entre membros de grupos de ameaças e exfiltração de dados via serviços legítimos de e-mail. Adversários criam contas em provedores gratuitos (Gmail, ProtonMail, Outlook) usando identidades falsas ou comprometem contas legítimas de terceiros para aumentar a credibilidade de e-mails maliciosos. Contas comprometidas de fornecedores ou parceiros são particularmente valiosas para contornar filtros de reputação e listas de permissão em gateways de e-mail corporativos. A detecção eficaz inclui análise de cabeçalhos de e-mail recebidos, monitoramento de autenticação (SPF, DKIM, DMARC), detecção de anomalias em padrões de envio de contas corporativas comprometidas, e correlação com feeds de inteligência sobre contas de e-mail associadas a campanhas de ameaças conhecidas. ## Indicadores de Detecção - E-mail recebido de domínio com SPF/DKIM/DMARC inválido ou ausente - Conta de e-mail corporativa enviando volume incomum de e-mails fora do horário habitual - Login em conta de e-mail corporativa a partir de localização geográfica ou dispositivo incomum - Criação de regra de encaminhamento automático de e-mails para endereço externo - Conta de e-mail acessada simultaneamente de múltiplas localizações geográficas distintas - E-mail enviado com cabeçalho Reply-To diferente do remetente aparente (BEC indicator) - Endereço de e-mail do remetente listado em feeds de inteligência sobre phishing ativo ## Técnicas Relacionadas - [[T1585.002-email-accounts|T1585.002 — Establish Accounts: Email Accounts]] - [[T1586.002-email-accounts|T1586.002 — Compromise Accounts: Email Accounts]] - [[T1566.001-spearphishing-attachment|T1566.001 — Phishing: Spearphishing Attachment]] - [[t1566-002-spearphishing-link|T1566.002 — Phishing: Spearphishing Link]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1114-email-collection|T1114 — Email Collection]] ## Analytics Relacionadas - [[an1993-analytic-1993|AN1993 — Analytic 1993]] --- *Fonte: [MITRE ATT&CK — DET0861](https://attack.mitre.org/detectionstrategies/DET0861)*