# T1656 - Impersonation > [!warning] Alta Prevalência em LATAM > Impersonation é a técnica base para campanhas de BEC (Business Email Compromise) e fraude executiva - responsáveis por bilhões em prejuízo anual no Brasil. Grupos como [[g1004-lapsus|LAPSUS$]], de origem brasileira, elevaram a técnica a um nível sofisticado ao impersonar suporte técnico para bypass de MFA. ## Descrição **Impersonation** é uma técnica de [[t1656-impersonation|engenharia social]] pela qual adversários se passam por entidades confiáveis - executivos, suporte de TI, fornecedores, parceiros, ou órgãos governamentais - para manipular alvos a executar ações que beneficiem o atacante. A técnica vai além do simples [[t1566-phishing|phishing]] genérico: impersonation envolve pesquisa prévia sobre a organização-alvo, criação de identidade falsa convincente, e exploração de dinâmicas organizacionais (hierarquia, urgência, autoridade). Ela é classificada como Defense Evasion porque bypassa controles técnicos ao explorar o elo humano - não há exploração de vulnerabilidade de software, apenas manipulação psicológica. ### Pré-requisitos Típicos Antes de executar a técnica, adversários realizam: - [[t1589-gather-victim-identity-information|T1589 - Gather Victim Identity Information]]: nomes, cargos, e-mails, números de telefone de executivos e funcionários de TI - [[t1591-gather-victim-org-information|T1591 - Gather Victim Org Information]]: estrutura organizacional, fornecedores, processos internos, linguagem corporativa - [[t1583-001-domains|T1583.001 - Domains]]: registro de domínios typosquatting ou similares (`empresa-ti-support.com`, `empresa-helpdesk.net`) - [[t1586-compromise-accounts|T1586 - Compromise Accounts]]: comprometimento de contas legítimas para aumentar credibilidade --- ## Como Funciona ### Perfis de Impersonation | Persona Impersonada | Objetivo | Vetor | |--------------------|----------|-------| | Executivo (CEO, CFO) | Autorizar transferência financeira urgente | E-mail com domínio similar | | Suporte de TI interno | Obter credenciais, instalar "ferramenta de suporte" | Teams, Slack, telefone | | Fornecedor / parceiro | Alterar dados bancários para pagamento | E-mail comprometido ou domínio falso | | Help Desk externo | Bypass de MFA via vishing | Telefone / SMS | | Órgão governamental (Receita, ANATEL) | Urgência + autoridade para abrir anexo malicioso | E-mail com tema fiscal | | Pesquisador de segurança | Obter acesso a sistemas de desenvolvimento | LinkedIn / GitHub | ### Mecanismos de Persuasão Adversários empregam princípios clássicos de engenharia social: - **Autoridade**: impersonar posição hierárquica superior cria pressão para compliance - **Urgência**: linguagem como "pagamento hoje", "incidente crítico", "responder antes de 17h" reduz tempo para verificação - **Escassez / medo**: ameaça de autuação fiscal, perda de contrato, brecha de segurança ativa - **Familiaridade**: uso de nomes reais, jargão interno, referências a projetos específicos obtidos via OSINT --- ## Attack Flow ```mermaid graph TB A["🔍 Reconhecimento<br/>(T1589 + T1591)"] --> B["🏗️ Preparação da Identidade Falsa"] B --> C1["📧 Registro de Domínio Typosquatting<br/>(T1583.001)"] B --> C2["💬 Comprometimento de Conta Legítima<br/>(T1586)"] B --> C3["📱 Criação de Perfil Falso em SaaS<br/>(LinkedIn, Teams, Slack)"] C1 --> D["🎭 Impersonation Ativa"] C2 --> D C3 --> D D --> E1["📨 BEC - E-mail de CEO<br/>(Transferência Urgente)"] D --> E2["📞 Vishing de Help Desk<br/>(Bypass de MFA)"] D --> E3["💬 Slack/Teams Fake Support<br/>(Instalar 'ferramenta')"] D --> E4["📄 Phishing com Tema Fiscal<br/>(Documento SEFAZ/Receita Federal)"] E1 --> F["💰 Transferência Financeira<br/>(Financial Theft)"] E2 --> G["🔑 Credenciais / Acesso Inicial<br/>(Valid Accounts)"] E3 --> H["💻 Instalação de RAT / C2<br/>(Remote Access Tools)"] E4 --> I["📂 Execução de Payload<br/>(Malicious File)"] G --> J["🔓 Movimentação Lateral<br/>(Internal Spearphishing)"] J --> K["🎯 Objetivo Final<br/>(Espionagem / Ransomware / Fraude)"] ``` --- ## Exemplos de Uso ### [[g1004-lapsus|LAPSUS$]] - Vishing e Impersonation de Help Desk O grupo **LAPSUS$**, de origem brasileira e com membros identificados no Brasil e Reino Unido, tornou-se mundialmente conhecido pela sofisticação de suas campanhas de impersonation. Sua tática principal: 1. Pesquisa extensiva de OSINT para identificar funcionários de help desk e TI 2. Ligações telefônicas (vishing) impersonando funcionários legítimos para solicitar reset de senha e bypass de MFA 3. Acesso a sistemas internos via [[t1078-valid-accounts|contas válidas]] comprometidas 4. Exfiltração massiva de dados de empresas como Microsoft, Nvidia, Samsung, Okta e T-Mobile O LAPSUS$ demonstrou que impersonation bem executada é mais eficaz e mais difícil de defender do que exploits técnicos sofisticados. ### [[g1015-scattered-spider|Scattered Spider]] - Impersonation em Larga Escala O grupo Scattered Spider (UNC3944), associado a ataques devastadores contra MGM Resorts e Caesars Entertainment em 2023, utilizou impersonation de suporte de TI e Okta para: - Convencer funcionários a fornecer senhas temporárias via SMS - Bypasear autenticação multifator através de vishing - Comprometer ambientes cloud AWS e Azure após acesso inicial via engenharia social ### [[g1044-apt42|APT42]] - Impersonation para Espionagem O grupo iraniano **APT42**, ligado ao IRGC, utiliza impersonation de pesquisadores acadêmicos, jornalistas e think tanks para abordar alvos de alto valor (diplomatas, acadêmicos, ativistas) e induzi-los a fornecer credenciais via páginas de phishing ou instalar malware camuflado como convite para entrevistas e conferências. ### [[g0094-kimsuky|Kimsuky]] - Impersonation de Academia e Governo O grupo norte-coreano **Kimsuky** impersona frequentemente funcionários de universidades, think tanks de política externa e órgãos governamentais sul-coreanos e americanos para espionagem geopolítica. Suas campanhas incluem impersonation de jornalistas solicitando "entrevistas exclusivas" com especialistas em política da península coreana. ### [[g1046-storm-1811|Storm-1811]] - Impersonation via Microsoft Teams Em 2024, o grupo **Storm-1811** (afiliado a operações de ransomware Black Basta) utilizou Microsoft Teams para impersonar suporte técnico de TI, convencendo vítimas a instalar ferramentas de acesso remoto como [[s1131-nppspy|NPPSPY]] e Quick Assist - resultando em comprometimento total e implantação de ransomware. --- ## Detecção ### Indicadores de Comportamento | Indicador | Descrição | Fonte de Dados | |----------|-----------|---------------| | Domínio recém-registrado similar ao corporativo | Ex: `empresa-suporte[.]com` registrado há < 30 dias | DNS, WHOIS | | E-mail com header `Reply-To` diferente do `From` | Técnica BEC clássica - resposta vai para domínio atacante | E-mail gateway logs | | Conta de usuário criando sessão de help desk sem ticket aberto | Ausência de correlação com ITSM (ServiceNow, Jira) | SIEM + ITSM | | Instalação de software de acesso remoto após contato de "suporte" | AnyDesk, TeamViewer, Quick Assist instalados em horário incomum | EDR telemetry | | Mudança de método de MFA por usuário sem solicitação formal | Reset de autenticador sem fluxo de aprovação | Identity platform logs | | Chamada de voz seguida de reset de senha | Correlação temporal entre log de telefonia e evento IAM | SIEM correlation | ### Regra Sigma ```yaml title: Impersonation - Remote Access Tool Install After Unusual MFA Reset id: b9d2e4f6-1a3c-4b5d-8e7f-9c0a1b2d3e4f status: experimental description: > Detecta instalação de ferramentas de acesso remoto (RAT/RMM) em jánela temporal próxima a resets de MFA ou senhas - padrão consistente com ataques de impersonation de help desk (Storm-1811, Scattered Spider). references: - https://attack.mitre.org/techniques/T1656/ - https://www.microsoft.com/en-us/security/blog/2024/05/15/threat-actors-misusing-quick-assist/ author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.initial_access - attack.t1656 - attack.t1078 logsource: product: windows category: process_creation detection: selection_rat_install: EventID: 4688 NewProcessName|contains: - '\AnyDesk.exe' - '\TeamViewer.exe' - '\QuickAssist.exe' - '\ScreenConnect.exe' - '\msra.exe' CommandLine|contains: - '--install' - '/install' - '--service' timeframe: 30m condition: selection_rat_install falsepositives: - Instalações legítimas de ferramentas de suporte remoto pelo departamento de TI - Onboarding de novos funcionários com configuração de desktop remoto level: medium ``` > [!tip] Detecção Baseada em Comportamento Humano > A detecção mais eficaz de impersonation combina: > 1. **Análise linguística de e-mails** - LLMs podem detectar linguagem de urgência atípica > 2. **Correlação ITSM + IAM** - resets de senha sem ticket associado são anomalias > 3. **Análise de domínio** - feeds de threat intel com novos domínios typosquatting (ex: dnstwist) > 4. **User behavior analytics (UBA)** - desvios de comportamento pós-reset de credencial --- ## Mitigação | ID | Mitigação | Implementação Prática | Efetividade | |----|-----------|----------------------|-------------| | [[m1017-user-training\|M1017 - User Training]] | Treinamentos regulares de conscientização com simulações de phishing/vishing; foco em reconhecimento de impersonation de executivos e help desk | KnowBe4, Proofpoint Security Awareness, simulações internas mensais | Alta (com repetição) | | [[m1019-threat-intelligence-program\|M1019 - Threat Intelligence Program]] | Monitoramento de domínios typosquatting, alertas de novos registros similares ao domínio corporativo, threat feeds para BEC indicators | dnstwist, DMARC monitoring, Proofpoint TAP | Alta | | DMARC + DKIM + SPF rigorosos | Políticas `p=reject` no DMARC impedem spoofing do domínio corporativo | Configuração DNS + monitoramento periódico | Alta (para spoofing direto) | | Processo de verificação fora-de-banda | Protocolo para confirmar pedidos sensíveis (transferências, resets de senha) via canal secundário verificado | Política de segurança: nunca autorizar transações financeiras apenas por e-mail | Alta | | Phishing-Resistant MFA | Implementar FIDO2/WebAuthn (chaves físicas YubiKey, Passkeys) - resiste a ataques de proxy MFA | Microsoft Entra + FIDO2, Google Workspace + Security Keys | Muito Alta | | Proteção de Help Desk | Autenticação rigorosa para reset de senha: identidade verificada por múltiplos fatores + aprovação de manager para resets privilegiados | Configuração em Okta, Microsoft Entra, ServiceNow | Alta | --- ## Contexto Brasil/LATAM ### BEC - A Maior Ameaça Financeira para Empresas Brasileiras O Brasil é consistentemente um dos países mais afetados globalmente por **Business Email Compromise (BEC)**, que se fundamenta inteiramente em impersonation. O IC3 (FBI) e a FEBRABAN reportam: - Prejuízo médio por incidente de BEC no Brasil: R$ 500 mil a R$ 5 milhões - Alvo prioritário: empresas com transações internacionais frequentes (importação/exportação, agronegócio, commodities) - Tática predominante: impersonation de CFO ou CEO solicitando transferência urgente para conta de fornecedor "atualizada" ### [[g1004-lapsus|LAPSUS$]] - Ameaça Doméstica O LAPSUS$, identificado como grupo predominantemente brasileiro, demonstrou que adversários locais já dominam técnicas avançadas de impersonation. O grupo impactou empresas globais de tecnologia a partir de operações conduzidas em português, evidênciando que a ameaça de impersonation sofisticada tem origem regional. ### Phishing com Identidade Governamental No Brasil, impersonation de órgãos governamentais é especialmente eficaz: - **Receita Federal** - notificações de "malha fina", intimações com anexos maliciosos - **SEFAZ** - cobranças de ICMS/ISS com documentos infectados - **ANATEL / ANEEL** - autuações para empresas de telecomúnicações e energia - **Tribunal de Justiça** - citações judiciais falsas com [[t1204-002-malicious-file|documentos maliciosos]] Grupos de [[_malware|malware]] bancário brasileiro como **Grandoreiro**, **Guildma** e **Mekotio** usam extensivamente identidades governamentais em suas campanhas de [[t1566-phishing|phishing]], resultando em altas taxas de abertura de documentos maliciosos. ### Vishing em Português A língua portuguesa como barreira foi superada por grupos de ameaça que operam nativamente em PT-BR. Incidentes de vishing em português - impersonando suporte bancário, Receita Federal e help desk corporativo - cresceram significativamente no Brasil entre 2023-2025, especialmente contra funcionários de RH, financeiro e TI. > [!note] Alerta para Setores Regulados > Bancos, seguradoras e fintechs no Brasil são alvos prioritários de impersonation de reguladores (BACEN, CVM, SUSEP). SOCs desses setores devem manter feeds de threat intel específicos para novos domínios que simulem identidades regulatórias. --- ## Referências - [MITRE ATT&CK - T1656](https://attack.mitre.org/techniques/T1656/) - [Storm-1811 abuses Quick Assist - Microsoft Security Blog](https://www.microsoft.com/en-us/security/blog/2024/05/15/threat-actors-misusing-quick-assist/) - [Scattered Spider - CISA Advisory AA23-243A](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-243a) - [LAPSUS$ Techniques - Microsoft MSTIC](https://www.microsoft.com/en-us/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/) - [APT42 - Mandiant Research](https://www.mandiant.com/resources/blog/apt42-charms-cons-compromises) - [BEC no Brasil - FEBRABAN 2024](https://febraban.org.br/) **Relacionado:** [[t1566-phishing|T1566 - Phishing]] · [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Attachment]] · [[t1534-internal-spearphishing|T1534 - Internal Spearphishing]] · [[t1589-gather-victim-identity-information|T1589 - Gather Victim Identity Information]] · [[t1591-gather-victim-org-information|T1591 - Gather Victim Org Information]] · [[t1657-financial-theft|T1657 - Financial Theft]] · [[t1078-valid-accounts|T1078 - Valid Accounts]] · [[g1004-lapsus|LAPSUS$]] · [[g1015-scattered-spider|Scattered Spider]] · [[g1046-storm-1811|Storm-1811]] · [[m1017-user-training|M1017 - User Training]] · [[m1019-threat-intelligence-program|M1019 - Threat Intelligence Program]]