det0878-detection-of-spearphishing-link

# DET0878 — Detection of Spearphishing Link ## Descrição A estratégia DET0878 trata da detecção de spearphishing via link — modalidade em que o e-mail ou mensagem maliciosa não contém anexo, mas inclui URL para página de phishing, download de malware ou exploit de navegador. O link pode apontar para página de coleta de credenciais, site com drive-by download, documento malicioso hospedado em serviço legítimo (OneDrive, Google Drive, Dropbox), ou endpoint de API que serve payload baseado em geolocalização ou User-Agent. O uso de links em vez de anexos contorna muitos controles de gateway de e-mail que focam em análise de arquivo. Técnicas avançadas incluem uso de URL shorteners para ocultar destino final, redirect chains através de múltiplos sites legítimos antes do payload, e URLs que só entregam conteúdo malicioso uma vez para dificultar análise forense. O uso de serviços cloud legítimos (SharePoint, Google Sites, GitHub) como hospedagem aumenta a taxa de entrega por contornar filtros de reputação de domínio. A detecção combina análise de URL em gateway de e-mail com sandboxing de links (visita automática e análise do conteúdo), monitoramento de proxy web para acesso a URLs de phishing por usuários, e correlação com feeds de inteligência sobre campanhas de phishing ativas. ## Indicadores de Detecção - URL em e-mail redirecionando para página de login que não é o domínio oficial da organização - Link em e-mail apontando para arquivo executável ou documento Office em serviço de storage cloud - URL com múltiplos redirects antes de entregar conteúdo final (redirect chain de phishing) - Acesso de usuário a domínio recém-registrado com página de coleta de credenciais (via proxy logs) - URL em e-mail com parametrização de rastreamento típica de plataformas de phishing (token de vítima) - Endpoint de proxy corporativo bloqueando URL de phishing ativo presente em feeds de inteligência - Correlação entre recebimento de e-mail com link e tentativa de login em sistema corporativo crítico ## Técnicas Relacionadas - [[t1566-002-spearphishing-link|T1566.002 — Phishing: Spearphishing Link]] - [[T1598.003-spearphishing-link|T1598.003 — Phishing for Information: Spearphishing Link]] - [[T1204.001-malicious-link|T1204.001 — User Execution: Malicious Link]] - [[t1189-drive-by-compromise|T1189 — Drive-by Compromise]] - [[t1102-web-service|T1102 — Web Service]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] ## Analytics Relacionadas - [[an2010-analytic-2010|AN2010 — Analytic 2010]] --- *Fonte: [MITRE ATT&CK — DET0878](https://attack.mitre.org/detectionstrategies/DET0878)*