# T1566.004 - Spearphishing Voice ## Técnica Pai Esta é uma sub-técnica de [[t1566-phishing|T1566 - T1566 - Phishing]]. ## Descrição O Spearphishing por voz (também conhecido como **vishing**) é uma sub-técnica de [[t1566-phishing|Phishing]] na qual o adversário utiliza chamadas telefônicas ou comúnicações de voz para manipular a vítima a conceder acesso a sistemas ou divulgar credenciais. Diferentemente do phishing por e-mail, o vishing explora a comunicação em tempo real, onde o senso de urgência e a dificuldade de verificar a identidade do interlocutor tornam a vítima significativamente mais vulnerável. O atacante geralmente se passa por suporte técnico interno, banco, órgão governamental ou parceiro de negócios - uma forma direta de [[t1656-impersonation|Impersonação]]. O fluxo de ataque mais comum combina voz com outros canais: a vítima recebe primeiro uma mensagem de texto ou e-mail que serve de pretexto, e em seguida é induzida a ligar ou aténder uma ligação. Durante a chamada, o atacante orienta a vítima a acessar uma URL maliciosa, instalar uma ferramenta de acesso remoto ([[t1219-remote-access-tools|Remote Access Tools]]) ou fornecer um código de autenticação multifator via [[t1621-multi-factor-authentication-request-generation|MFA Request Generation]]. O sucesso depende inteiramente da manipulação psicológica - não há entrega de malware automática; a ação é executada pela própria vítima, conforme descrito em [[t1204-user-execution|User Execution]]. Campanhas modernas de vishing frequentemente usam **IA generativa de voz** para clonar a voz de executivos ou líderes conhecidos, aumentando drasticamente a credibilidade do ataque. Além disso, a técnica é amplamente usada em ataques de BEC (*Business Email Compromise*) onde o atacante confirma por telefone uma instrução fraudulenta enviada por e-mail. **Contexto Brasil/LATAM:** O Brasil é um dos países com maior volume de golpes por voz do mundo. Ataques de vishing são rotineiramente usados por grupos de cibercrime financeiro para drenar contas bancárias, válidar transações PIX fraudulentas e contornar o token de segundo fator. A prática de "sequestro virtual" - em que a vítima é convencida por telefone de que um familiar está em perigo - é uma variante de vishing já consolidada no Brasil. No contexto corporativo, incidentes envolvendo [[g1046-storm-1811|Storm-1811]] demonstraram que grupos estrangeiros também adotam vishing como vetor de acesso inicial a ambientes empresariais na América Latina, combinando chamadas em português com pretextos de suporte de TI. ## Attack Flow ```mermaid graph TB A([🎯 Reconhecimento<br/>de Alvo]) --> B([📞 Chamada de Vishing<br/>com Pretexto]) B --> C([🔗 Indução a URL<br/>ou Instalação RAT]):::highlight C --> D([🔑 Coleta de<br/>Credenciais / MFA]) D --> E([🚪 Acesso Inicial<br/>ao Ambiente]) classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **Passo 1 - Preparação e pretexto:** O adversário coleta informações sobre a vítima (nome, cargo, empresa, ramal) via OSINT ou engenharia social prévia. Cria um pretexto convincente - geralmente um problema urgente de segurança, uma transação suspeita ou uma solicitação de suporte técnico. Em ataques avançados, pode-se usar spoofing do número de telefone para que o ID exibido pareça ser o da empresa ou banco legítimo. **Passo 2 - Execução da chamada e manipulação:** Durante a ligação, o atacante aplica técnicas de urgência, autoridade e intimidação para reduzir o tempo de reflexão da vítima. O objetivo é conduzir a vítima a uma ação específica: acessar um link, instalar um executável, fornecer um OTP de MFA ou aprovar uma transação. Em ataques corporativos, o atacante pode já ter comprometido a caixa de e-mail para enviar instruções complementares em paralelo. **Passo 3 - Estabelecimento do acesso:** Uma vez que a vítima executa a ação solicitada - instalar uma RAT como AnyDesk, TeamViewer ou ferramentas similares - o atacante obtém acesso remoto persistente ao endpoint. Credenciais coletadas são imediatamente testadas em outros sistemas da organização. Sessões MFA comprometidas são usadas para registrar novos dispositivos ou exportar dados sensíveis antes que o acesso sejá revogado. ## Detecção **Event IDs relevantes (Windows):** | Plataforma | Event ID | Descrição | |------------|----------|-----------| | Windows | 4688 | Criação de processo - monitorar AnyDesk.exe, TeamViewer.exe, ScreenConnect instalados por usuário comum | | Windows | 7045 | Novo serviço instalado - RATs frequentemente instalam serviços de sistema | | Windows | 4624 / 4625 | Logon bem-sucedido ou falho após ligação suspeita | | Windows | 4720 | Criação de nova conta de usuário | | macOS | unified log | `process_exec` para processos de acesso remoto não corporativos | | Identity Provider | Audit log | Registro de novo dispositivo MFA, reset de senha por telefone | **Sigma Rule - Instalação de RAT Não Gerenciado:** ```yaml title: Unauthorized Remote Access Tool Installation via User Session id: a3f7c921-88b4-4e5d-9b12-f0e4d3a17c88 status: experimental description: Detecta instalação de ferramentas de acesso remoto comuns usadas em ataques de vishing author: RunkIntel daté: 2026-03-24 logsource: category: process_creation product: windows detection: selection: Image|endswith: - '\AnyDesk.exe' - '\TeamViewer.exe' - '\ScreenConnect.ClientService.exe' - '\LogMeIn.exe' - '\Splashtop.exe' ParentImage|endswith: - '\explorer.exe' - '\chrome.exe' - '\msedge.exe' - '\firefox.exe' filter_corporate: CommandLine|contains: - '--silent' - '--install' condition: selection and not filter_corporate falsepositives: - Instalações corporativas legítimas via Software Center level: high tags: - attack.initial_access - attack.t1566.004 - attack.t1219 ``` ## Mitigação | Controle | Medida | Contexto para Organizações Brasileiras | |----------|--------|----------------------------------------| | [[m1017-user-training\|M1017 - User Training]] | Treinamento específico em vishing com simulações de chamadas | Incluir cenários de PIX fraudulento e suporte falso de TI - altíssima prevalência no Brasil | | Política de verificação out-of-band | Nunca autorizar ações sensíveis por telefone sem verificação via canal secundário oficialmente aprovado | Adotar protocolo de callback em número registrado, jámais no número informado pelo solicitante | | Restrição de RATs não gerenciados | Bloquear por GPO/EDR a execução de AnyDesk, TeamViewer e similares não gerenciados | Comum em golpes bancários brasileiros - bloquear na borda e no endpoint | | Proteção de reset de MFA por voz | Desabilitar reset de autenticador via suporte telefônico sem verificação adicional forte | Identity Providers como Azure AD e Okta permitem exigir aprovação gerencial para resets por voz | | Monitoramento de instalação de software | Alertar em tempo real para instalação de novos executáveis em sessões de usuário comum | Integrar com SIEM/EDR; correlacionar com logs de chamadas quando disponíveis | | Simulações de vishing | Realizar testes periódicos de vishing com equipe de segurança | No Brasil, simular abordagens em português com contextos locais (banco, Receita Federal, TI interna) | ## Threat Actors - **[[g1046-storm-1811|Storm-1811]]** - Grupo documentado em campanhas de vishing corporativo combinando Microsoft Teams e chamadas telefônicas para induzir vítimas a instalar ferramentas de acesso remoto. Atua com foco em ambientes Windows de médias e grandes empresas, incluindo organizações com presença no Brasil e LATAM. Frequentemente encadeia esta técnica com [[t1204-user-execution|User Execution]] e implantação de ransomware na fase seguinte. ## Software Associado Ferramentas de acesso remoto legítimas frequentemente abusadas em ataques de vishing: - **AnyDesk** - Ferramenta de desktop remoto muito popular no Brasil; amplamente usada em golpes de suporte técnico falso direcionados a usuários domésticos e corporativos. - **TeamViewer** - Outra ferramenta de acesso remoto legítima usada como implante pós-vishing; adversários instalam versão não gerenciada para manter persistência. - **ScreenConnect (ConnectWise)** - Usado por [[g1046-storm-1811|Storm-1811]] e outros grupos em campanhas corporativas; permite sessão silenciosa sem interação do usuário após instalação inicial. Relacionadas: [[t1219-remote-access-tools|Remote Access Tools]], [[t1621-multi-factor-authentication-request-generation|MFA Request Generation]], [[t1656-impersonation|Impersonação]], [[t1566-phishing|Phishing]] --- *Fonte: [MITRE ATT&CK - T1566.004](https://attack.mitre.org/techniques/T1566/004)*