# DET0886 — Detection of Spearphishing Voice ## Descrição A estratégia DET0886 trata da detecção de spearphishing via voz (vishing — voice phishing), incluindo chamadas telefônicas e mensagens de voz maliciosas. Adversários utilizam chamadas telefônicas altamente personalizadas para convencer alvos a revelar credenciais, executar ações como transferências financeiras ou instalar software de acesso remoto sob pretexto de suporte técnico, auditoria de segurança ou oportunidade urgente de negócio. A popularização de deepfake de voz e clonagem de voz com IA tornou o vishing significativamente mais sofisticado. Adversários podem simular a voz de executivos ou colegas do alvo em tempo real, aumentando drasticamente a credibilidade do ataque. O grupo LAPSUS$ tornou-se notório pelo uso extensivo de vishing contra helpdesks corporativos para redefinir credenciais de MFA e obter acesso inicial a grandes organizações tecnológicas. A detecção e prevenção envolve treinamento de conscientização, processos de verificação de identidade por voz (code words, perguntas de segurança fora de banda), análise de metadados de chamadas recebidas (identificação de VoIP/números virtuais), e monitoramento de padrões de chamada suspeitos como múltiplas ligações para o helpdesk em curto período solicitando redefinição de credenciais. ## Indicadores de Detecção - Múltiplas chamadas ao helpdesk dentro de 24 horas solicitando redefinição de senha ou MFA - Chamada VoIP de número desconhecido impersonando executivo solicitando ação urgente não habitual - Solicitação por telefone de acesso a sistemas sensíveis sem seguir o processo normal de aprovação - Usuário reportando ter recebido chamada de "TI" solicitando credenciais ou instalação de software - Requisição de helpdesk para bypassar MFA para conta de usuário de alto valor após chamada telefônica - Instalação de software de acesso remoto (AnyDesk, TeamViewer) após chamada de suporte não solicitada - Número de chamada identificado como associado a campanha de vishing em feeds de inteligência ## Técnicas Relacionadas - [[T1566.004-spearphishing-voice|T1566.004 — Phishing: Spearphishing Voice]] - [[T1598.004-spearphishing-voice|T1598.004 — Phishing for Information: Spearphishing Voice]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[T1204.002-malicious-file|T1204.002 — User Execution: Malicious File]] - [[t1021-001-remote-desktop-protocol|T1021.001 — Remote Services: Remote Desktop Protocol]] - [[T1556.006-multi-factor-authentication|T1556.006 — Modify Authentication Process: Multi-Factor Authentication]] ## Analytics Relacionadas - [[an2018-analytic-2018|AN2018 — Analytic 2018]] --- *Fonte: [MITRE ATT&CK — DET0886](https://attack.mitre.org/detectionstrategies/DET0886)*