# IR Playbook - Phishing e BEC
> [!warning] Aviso Importante
> Este playbook é um ponto de partida. Deve ser revisado, testado e adaptado ao ambiente da sua organização. Não substitui um plano formal de Incident Response. Queries e comandos devem ser válidados em ambiente de homologação antes do uso em produção. Itens marcados com `# [VALIDAR NO SEU AMBIENTE]` exigem ajuste obrigatório antes do uso operacional. Fluxos de BEC envolvem transações financeiras — qualquer ação de contenção deve ser coordenada com a área financeira e jurídico antes de ser executada.
## Visão Geral
Phishing e Business Email Compromise (BEC) representam o **principal vetor de ataque no Brasil e na América Latina**, responsáveis por mais de 70% dos incidentes reportados ao CERT.br em 2024. O Brasil é consistentemente o país mais afetado por phishing na LATAM — posição ocupada há mais de uma década — e o setor financeiro é o alvo prioritário, com golpes de BEC causando perdas superiores a R$ 1,5 bilhão somente no segmento corporativo em 2024.
BEC é fundamentalmente diferente de ransomware: o objetivo é **movimentação financeira fraudulenta** (fraude de transferência via PIX, TED, SWIFT) ou **exfiltração silenciosa de informações corporativas e credenciais** — não criptografia de arquivos. O impacto pode ser financeiramente devastador e é frequentemente irreversível: valores transferidos via PIX têm janela de reversão de no máximo 30 minutos.
**Por que este playbook é crítico:**
- BEC gerou perdas globais de USD 2,9 bilhões em 2023 (IC3/FBI Internet Crime Report)
- Grupos como [[g1015-scattered-spider]] e [[silent-ransom-group]] usam phishing como vetor primário para comprometimento de identidade antes de ataques de ransomware
- O [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] via OAuth consent phishing é o vetor mais comum em ambientes Microsoft 365 e Google Workspace no Brasil
- Compromisso de caixa de entrada corporativa ([[t1114-email-collection|T1114 - Email Collection]]) permite aos atacantes interceptar conversas financeiras em andamento e substituir dados bancários (fraude de fornecedor)
- A LGPD impõe obrigação de notificação à ANPD quando dados pessoais de titulares são comprometidos - credenciais de e-mail geralmente contêm dados pessoais de clientes e funcionários
- Ataques de [[t1534-internal-spearphishing|T1534 - Internal Spearphishing]] partem de contas internas comprometidas, tornando os filtros de e-mail convencionais ineficazes
**Notas relacionadas:** [[t1566-phishing|T1566 — Phishing]] · [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1566-002-spearphishing-link|T1566.002]] · [[t1534-internal-spearphishing|T1534 — Internal Spearphishing]] · [[t1078-valid-accounts|T1078 — Valid Accounts]] · [[t1114-email-collection|T1114 — Email Collection]] · [[t1098-account-manipulation|T1098 — Account Manipulation]] · [[g1015-scattered-spider]] · [[silent-ransom-group]]
---
## Fluxo de Resposta ao Incidente
```mermaid
graph TB
A([🎣 Alerta: Phishing / BEC Suspeito]) --> B{Classificar Tipo}
B -->|Phishing de credenciais| C[Verificar Comprometimento<br/>de Conta]
B -->|BEC / Fraude financeira| D[Alertar Imediatamente<br/>Área Financeira]
B -->|Malware via anexo| E[Isolar Endpoint<br/>via EDR]
C --> F{Conta Comprometida?}
D --> G[Contatar Banco<br/>para Bloqueio]
E --> H[Análise Forense<br/>do Endpoint]
F -->|Sim| I[DECLARAR INCIDENTE P1]
F -->|Não| J[Monitoramento Reforçado<br/>24h]
G --> I
H --> I
I --> K[Notificar CISO + IR Lead<br/>via canal seguro]
K --> L[CONTENÇÃO]
L --> L1[Desabilitar Conta<br/>Comprometida no IdP]
L1 --> L2[Revogar Todas as<br/>Sessões OAuth e Tokens]
L2 --> L3[Quarentena de E-mails<br/>Maliciosos em Massa]
L3 --> L4[Bloquear Domínios<br/>de Phishing no Gateway]
L4 --> M[COLETA FORENSE]
M --> M1[Exportar Logs de<br/>Acesso ao Mailbox]
M1 --> M2[Analisar Regras de<br/>Inbox e Forwarding]
M2 --> M3[Mapear Extensão do<br/>Comprometimento]
M3 --> N[ERRADICAÇÃO]
N --> N1[Remover Regras<br/>Maliciosas de Inbox]
N1 --> N2[Revogar Apps OAuth<br/>Não Autorizados]
N2 --> N3[Resetar Credenciais<br/>e Forçar MFA]
N3 --> O[RECUPERAÇÃO]
O --> O1[Restaurar Acesso<br/>com MFA Habilitado]
O1 --> O2[Comúnicar Usuário<br/>e Treinamento Imediato]
O2 --> O3[Monitoramento Intensivo<br/>30 dias]
O3 --> P([✅ Incidente Encerrado])
style A fill:#ff4444,color:#fff
style I fill:#ff6600,color:#fff
style P fill:#00aa44,color:#fff
style L fill:#ffaa00,color:#000
style N fill:#0066cc,color:#fff
style O fill:#006633,color:#fff
style D fill:#cc0000,color:#fff
```
---
## Diagrama de Comúnicação
```mermaid
sequenceDiagram
participant SOC as SOC Analyst
participant IR as IR Lead
participant CISO as CISO
participant Fin as Financeiro/CFO
participant Legal as Jurídico/DPO
participant CERT as CERT.br / ANPD
participant PR as Comúnicação/PR
SOC->>IR: T+0min: Phishing/BEC confirmado — conta comprometida
IR->>CISO: T+5min: Declaração de incidente P1
IR->>Fin: T+5min: Alerta urgente — verificar transações pendentes
Note over IR,Fin: Se transferência em curso — contatar banco IMEDIATAMENTE
Fin->>IR: T+10min: Confirmação de transações suspeitas ou limpas
CISO->>Legal: T+15min: Avaliação LGPD — credenciais/dados pessoais afetados?
IR->>CISO: T+30min: Escopo inicial — contas afetadas, e-mails exfiltrados
Legal->>CISO: T+45min: Parecer sobre obrigações regulatórias (ANPD/LGPD)
CISO->>IR: T+1h: Autorização de contenção ampla (reset massivo se necessário)
IR->>CISO: T+2h: Relatório de contenção — contas bloqueadas, regras removidas
Legal->>CERT: T+72h: Notificação ANPD (se dados pessoais afetados — Art. 48 LGPD)
IR->>CISO: T+4h: Análise forense completa — extensão do comprometimento
CISO->>PR: T+6h: Decisão sobre comunicação externa (clientes afetados?)
PR->>CISO: T+8h: Rascunho de comunicado (se aplicável)
IR->>CISO: T+72h: Relatório preliminar de post-mortem
```
---
## Indicadores de Comprometimento
> [!danger] Prioridade de Detecção
> Em ataques de BEC, a janela crítica é de **0 a 30 minutos** após uma transferência fraudulenta ser iniciada. Detectar nas Fases 1 e 2 é sempre preferível à contenção pós-BEC.
### Fase 1 - Indicadores de E-mail Malicioso
**Análise de cabeçalho (red flags):**
- Falha de SPF: `Received-SPF: fail` com domínio remetente legítimo de fornecedor/parceiro
- Falha de DKIM: assinatura inválida ou ausente em domínio que normalmente assina e-mails
- Falha de DMARC: `Authentication-Results: dmarc=fail` - e-mail não autenticado passando pelos filtros
- Domínios lookalike: `datarun[k].com` → `datarunk-financeiro.com`, `datarunk.co`, `datarunk.net`
- Reply-to diferente do remetente: `From:
[email protected]` + `Reply-To:
[email protected]`
**Indicadores de URL e anexo:**
- Links para encurtadores de URL (bit.ly, t.co, tinyurl) em e-mails corporativos
- Domínios recentemente registrados (< 30 dias) com SSL válido (certificado gratuito Let's Encrypt)
- Redirecionamento para páginas de login Microsoft 365 / Google Workspace em domínios não-oficiais
- Anexos `.htm`, `.html`, `.svg` com JavaScript ofuscado (credential harvesting local)
- QR codes em PDFs apontando para páginas de phishing (técnica de bypass de gateways de e-mail)
### Fase 2 - Indicadores de Coleta de Credenciais
**OAuth Consent Phishing (técnica dominante em M365/Google Workspace):**
- Solicitação de consentimento OAuth de app não verificado ou com permissões excessivas (`Mail.ReadWrite`, `Mail.Send`, `Calendars.ReadWrite`)
- App OAuth registrado em tenant recém-criado ou com Publisher não verificado
- Nome do app imitando ferramentas legítimas: "Microsoft Teams Connector", "DocuSign Add-in", "Zoom Scheduler"
- Escopo `offline_access` combinado com `mail.read` - permite leitura persistente de e-mails sem nova autenticação
**MFA Fatigue / Push Bombing:**
- Múltiplas solicitações de MFA push para o mesmo usuário em sequência (EventID Azure AD: `MFA denied`)
- Usuário reportando "notificações estranhas de autenticação" que não foram iniciadas por ele
- Tentativas de MFA fora do horário de trabalho ou de geolocalização atípica
**Credential Harvesting Pages:**
- Acesso a páginas de login com `evilginx2`, `Modlishka` ou `Muraena` (proxies reversos de phishing) - identifique por cookies com atributo `Sec-Fetch-Site: cross-site` em domínios não-oficiais
- Logins bem-sucedidos de IPs de VPN/proxy anônimo (ASN de datacenter em logins de usuários comuns)
### Fase 3 - Indicadores de Account Takeover (ATO)
Após o comprometimento de credenciais, o atacante frequentemente:
| Ação | Indicador Técnico | Log / EventID |
|------|------------------|---------------|
| Criar regra de inbox oculta | Regra com `Delete` ou `Forward` sem nome ou com nome genérico | Exchange: `Set-InboxRule`, Audit Log |
| Ativar forwarding externo | `ForwardingSmtpAddress` definido para domínio externo | M365 Unified Audit Log: `Set-Mailbox` |
| Exportar contatos e calendários | Acesso massivo a `/contacts` e `/calendar` via Graph API | Azure AD Sign-in Logs: Graph Explorer |
| Adicionar delegação de caixa postal | `Add-MailboxPermission` com `FullAccess` | Exchange Admin Audit Logs |
| Pesquisar e-mails financeiros | Queries de `search` em subject: "invoice", "payment", "wire", "boleto" | M365 Search Activity Logs |
| Exfiltrar via regra de forwarding | E-mails com "pagamento", "NF", "contrato" encaminhados para Gmail externo | Exchange Message Trace |
### Fase 4 - Indicadores de BEC em Execução
**CEO Fraud / Invoice Manipulation:**
- E-mail de "executivo" enviado de domínio externo lookalike solicitando transferência urgente e confidencial
- Pedido de desvio do processo normal de aprovação ("não use o sistema, me manda no WhatsApp")
- Dados bancários alterados em e-mail de "fornecedor" - IBAN/chave PIX diferente do cadastrado
- Linguagem de urgência e sigilo: "operação confidencial", "aprovação do conselho", "antes do fechamento"
**Indicadores de fraude via PIX/TED no contexto corporativo:**
- Solicitação de transferência PIX para chave não cadastrada na base de fornecedores
- Nota fiscal com dados bancários divergentes do histórico do fornecedor (verificar via ERP)
- Solicitação de alteração de dados bancários de fornecedor precedida de e-mail de "suporte"
---
## Ferramentas Recomendadas
### Detecção e Triagem
| Ferramenta | Uso | Comando / Acesso |
|------------|-----|-----------------|
| **Microsoft Defender for Office 365** | Análise de phishing, quarentena, detonação de URLs | Security Center → Threat Explorer → Phish |
| **Google Admin Audit** | Auditoria de regras Gmail, OAuth grants, forwarding | Admin Console → Reports → Audit → Gmail |
| **Proofpoint / Mimecast** | Email gateway - análise de cabeçalhos, URL rewriting | Console → Message Details → Header Analysis |
| **Hawk (PowerShell)** | Coleta forense de logs M365 com foco em BEC | `Get-HawkUserInformation -UserPrincipalName
[email protected]` |
| **CIRCL AIL** | Análise de URLs de phishing e feeds de domínios maliciosos | `python3 crawler.py -u https://domain-suspeito.com` |
### Análise de E-mail e Cabeçalhos
| Ferramenta | Uso | URL / Comando |
|------------|-----|---------------|
| **MXToolbox Header Analyzer** | Análise SPF/DKIM/DMARC | https://mxtoolbox.com/EmailHeaders.aspx |
| **Google MessageHeader** | Análise visual de cabeçalhos | https://toolbox.googleapps.com/apps/messageheader/ |
| **PhishTool** | Análise automatizada de e-mails suspeitos | https://phishtool.com - upload de arquivo `.eml` |
| **VirusTotal** | Verificar domínios, URLs e hashes de anexos | `curl -s --request GET "https://www.virustotal.com/api/v3/domains/{domain}"` |
| **URLscan.io** | Análise dinâmica de URL suspeita (sandbox) | https://urlscan.io - submit URL |
| **emailrep.io** | Reputação de endereço de e-mail remetente | `curl https://emailrep.io/query/
[email protected]` |
### Forense de Account Takeover (M365)
| Ferramenta | Uso | Comando |
|------------|-----|---------|
| **AzureHound / ROADtools** | Enumeração de permissões OAuth e delegações | `roadrecon gather --as-app` |
| **Microsoft 365 Extractor Suite** | Extração forense de logs de auditoria M365 | `Get-UALAll -UserIds "
[email protected]" -OutputDir ./evidence` |
| **Sparrow (CISA)** | Detecção de TTPs pós-comprometimento em M365 | `./Sparrow.ps1` (requer permissões de Global Admin) |
| **PowerShell - Exchange Online** | Listar regras de inbox e forwarding | `Get-InboxRule -Mailbox
[email protected] \| fl Name,Enabled,ForwardTo,DeleteMessage` |
| **Hawk** | Coletar todos os logins e mudanças de config | `Get-HawkUserAuthHistory -UserPrincipalName
[email protected]` |
---
## Queries de Detecção
### KQL - Microsoft Sentinel - Phishing de Consentimento OAuth
```kql
// [VALIDAR NO SEU AMBIENTE]
// Detecta grants OAuth de aplicativos não verificados com permissões de alto risco
AuditLogs
| where OperationName == "Consent to application"
| extend AppName = tostring(TargetResources[0].displayName)
| extend GrantedPermissions = tostring(AdditionalDetails)
| extend InitiatedBy = tostring(InitiatedBy.user.userPrincipalName)
| where GrantedPermissions has_any ("Mail.ReadWrite", "Mail.Send", "Mail.Read", "MailboxSettings.ReadWrite")
| project TimeGenerated, InitiatedBy, AppName, GrantedPermissions, IPAddress, Result
| order by TimeGenerated desc
```
### KQL - Microsoft Sentinel - Regras de Inbox Maliciosas
```kql
// [VALIDAR NO SEU AMBIENTE]
// Detecta criação de regras de inbox com forwarding externo ou deleção automática
OfficeActivity
| where Operation in ("New-InboxRule", "Set-InboxRule")
| extend RuleParams = tostring(Parameters)
| where RuleParams has_any ("ForwardTo", "ForwardAsAttachmentTo", "DeleteMessage", "MoveToFolder")
| where RuleParams has_any ("@gmail.com", "@hotmail.com", "@outlook.com", "@yahoo.com")
or RuleParams has "DeleteMessage"
| project TimeGenerated, UserId, Operation, RuleParams, ClientIPAddress
| order by TimeGenerated desc
```
### KQL - Microsoft Sentinel - Login de País Incomum (Impossible Travel)
```kql
// [VALIDAR NO SEU AMBIENTE]
// Detecta logins de localizações geograficamente impossíveis em sequência curta
SigninLogs
| where ResultType == 0
| summarize Locations = make_set(Location), LoginCount = count(), IPList = make_set(IPAddress)
by UserPrincipalName, bin(TimeGenerated, 1h)
| where array_length(Locations) > 1
| where Locations !has "Brazil"
| project TimeGenerated, UserPrincipalName, Locations, LoginCount, IPList
| order by TimeGenerated desc
```
### KQL - Microsoft Sentinel - Forwarding Externo Ativado em Mailbox
```kql
// [VALIDAR NO SEU AMBIENTE]
// Detecta habilitação de ForwardingSmtpAddress em caixas postais corporativas
OfficeActivity
| where Operation == "Set-Mailbox"
| extend Params = tostring(Parameters)
| where Params has "ForwardingSmtpAddress"
| project TimeGenerated, UserId, Operation, Params, ClientIPAddress
| order by TimeGenerated desc
```
### KQL - Microsoft Sentinel - MFA Fatigue / Push Bombing
```kql
// [VALIDAR NO SEU AMBIENTE]
// Detecta rajadas de tentativas MFA negadas — indicativo de MFA push bombing
SigninLogs
| where ResultType == 500121 // MFA denied / fraud reported
or ResultType == 50074 // Strong auth required, MFA denied
| summarize MFADenials = count(), IPList = make_set(IPAddress)
by UserPrincipalName, bin(TimeGenerated, 15m)
| where MFADenials > 3
| project TimeGenerated, UserPrincipalName, MFADenials, IPList
| order by MFADenials desc
```
### SPL - Splunk - Detecção de Phishing por Falha SPF/DKIM/DMARC
```spl
index=email sourcetype=mail_log
(spf_result="fail" OR dkim_result="fail" OR dmarc_result="fail")
| stats count AS failed_auth_count by sender_domain, recipient, spf_result, dkim_result, dmarc_result
| where failed_auth_count > 5
| sort -failed_auth_count
```
### SPL - Splunk - Detecção de Domínio Lookalike Enviando para sua Organização
```spl
// [VALIDAR NO SEU AMBIENTE]
// Substitua "suaempresa.com.br" pelo domínio real da organização
index=email sourcetype=mail_log
| rex field=sender_domain "(?<base_domain>[^.]+\.[^.]+)