det0870-detection-of-social-media-accounts

# DET0870 — Detection of Social Media Accounts ## Descrição A estratégia DET0870 aborda a detecção de criação e uso de contas falsas em redes sociais por adversários para operações de engenharia social, reconhecimento e distribuição de malware. Contas fraudulentas no LinkedIn, Twitter/X, Facebook e Instagram são usadas para se aproximar de funcionários de organizações alvo, construir rapport antes de ataques de phishing, e distribuir links maliciosos ou arquivos infectados através de mensagens diretas. O LinkedIn é particularmente explorado por grupos APT para impersonar recrutadores, colegas de indústria ou contatos de negócios, estabelecendo relacionamentos de confiança com alvos de alto valor antes de enviar mensagens com conteúdo malicioso (Operation Dream Job do Lazarus Group é um exemplo paradigmático). Contas falsas são geralmente cultivadas por semanas ou meses antes do ataque para aumentar credibilidade. A detecção envolve monitoramento de mencões à marca corporativa em redes sociais por contas não verificadas, análise de padrões de criação de contas (data, histórico, conexões), e educação de funcionários para reportar tentativas de contato suspeitas. Ferramentas de brand monitoring e threat intelligence em redes sociais são componentes críticos desta estratégia. ## Indicadores de Detecção - Conta em rede social impersonando funcionário ou executivo corporativo com pequenas variações de nome - Perfil do LinkedIn recém-criado (menos de 3 meses) contatando múltiplos funcionários da organização - Post em rede social compartilhando informações internas ou específicas sobre operações corporativas - Conta falsa de recrutador contatando funcionários de TI/segurança com ofertas de emprego suspeitas - Mensagem direta de conta social desconhecida contendo link ou arquivo para "oportunidade de trabalho" - Menção à marca corporativa em conta de rede social associada a campanha de ameaça conhecida - Coordenação entre múltiplas contas falsas amplificando narrativa sobre organização alvo (influence op) ## Técnicas Relacionadas - [[T1585.001-social-media-accounts|T1585.001 — Establish Accounts: Social Media Accounts]] - [[T1586.001-social-media-accounts|T1586.001 — Compromise Accounts: Social Media Accounts]] - [[T1566.003-spearphishing-via-service|T1566.003 — Phishing: Spearphishing via Service]] - [[t1591-gather-victim-org-information|T1591 — Gather Victim Org Information]] - [[t1593-search-open-websitesdomains|T1593 — Search Open Websites/Domains]] - [[t1598-phishing-for-information|T1598 — Phishing for Information]] ## Analytics Relacionadas - [[an2002-analytic-2002|AN2002 — Analytic 2002]] --- *Fonte: [MITRE ATT&CK — DET0870](https://attack.mitre.org/detectionstrategies/DET0870)*