# T1589.002 - Email Addresses > [!info] MITRE ATT&CK > **Tática:** Reconnaissance · **ID:** T1589.002 · **Plataforma:** PRE > **Técnica Pai:** [[t1589-gather-victim-identity-information|T1589 - Gather Victim Identity Information]] ## Descrição Adversários coletam **endereços de e-mail corporativos** que serão utilizados em etapas subsequentes do ataque. O endereço de e-mail é um dos identificadores mais valiosos na fase de reconhecimento: serve simultaneamente como canal de comunicação para [[t1566-phishing|Phishing]], como identificador de conta para ataques de [[t1110-brute-force|Brute Force]] contra serviços de e-mail, como ponto de partida para enumeração de usuários em plataformas como Microsoft 365 e Google Workspace, e como dado de correlação para encontrar outras informações pessoais e profissionais do alvo. Ao contrário de outros dados de identidade que exigem acesso privilegiado para obter, endereços de e-mail são frequentemente **expostos inadvertidamente** em múltiplas fontes públicas: assinaturas automáticas em listas de discussão técnicas, repositórios de código no GitHub, arquivos de configuração, relatórios anuais, comúnicados de imprensa, registros WHOIS históricos, formulários de contato em sites, papers acadêmicos e apresentações de conferências. A coleta pode ser **passiva** (scraping de fontes públicas) ou **ativa** (enumeração de usuários via APIs, respostas de servidores de autenticação). A linha entre as duas é importante: a enumeração ativa - como consultar o endpoint de autodiscover do Office 365 para verificar se um e-mail existe - já constitui interação com a infraestrutura da vítima, embora ainda sejá uma forma muito discreta de reconhecimento. Uma vez que um conjunto de e-mails corporativos é coletado, o adversário pode inferir o **padrão de e-mail corporativo** (ex: `[email protected]`, `[email protected]`) e gerar automaticamente endereços para todos os funcionários identificados em outras fontes, criando uma lista de alvos completa para campanhas massivas de spear-phishing. > **Técnica pai:** [[t1589-gather-victim-identity-information|T1589 - Gather Victim Identity Information]] --- ## Como Funciona ### Métodos de Coleta Passiva **1. Bases de Dados de Vazamentos (Data Breach Dumps)** Bilhões de pares e-mail/senha estão disponíveis em fóruns underground, Telegram e bases como Have I Been Pwned. Adversários consultam essas bases para verificar se funcionários da organização-alvo tiveram e-mails corporativos expostos em vazamentos de serviços terceiros (LinkedIn 2012, Adobe 2013, Collection #1, etc.). Além do e-mail, esses dumps frequentemente contêm senhas (que podem ter sido reutilizadas em sistemas corporativos) e dados de perfil. **2. GitHub e Repositórios de Código** Ferramentas como `truffleHog`, `gitrob` e `git-secrets` são usadas por red teams (e adversários) para identificar e-mails corporativos expostos em histórico de commits, arquivos de configuração, variáveis de ambiente acidentalmente commitadas e comentários de código. Isso é especialmente comum em repositórios de organizações que moveram código de SVN/TFS para Git sem limpar o histórico. **3. Enumeração via OSINT Web** Sites como `hunter.io`, `phonebook.cz`, `skymem.info` e `email-format.com` agregam e-mails coletados de diversas fontes públicas. Um adversário pode simplesmente buscar pelo domínio corporativo e obter dezenas ou centenas de endereços verificados. **4. Scraping de Sites e Documentos Públicos** Documentos PDF disponíveis no site da empresa (relatórios, white papers, notas técnicas) frequentemente contêm e-mails de contato. O Google Dorking (`site:empresa.com filetype:pdf email`) encontra esses documentos automaticamente. ### Métodos de Enumeração Ativa **5. Enumeração via Office 365 / Microsoft Entra ID** Endpoints públicos do Microsoft 365 permitem verificar se um endereço de e-mail pertence a um tenant válido sem autenticação. O endpoint `GetCredentialType` retorna informações sobre o tipo de autenticação configurada para um usuário, efetivamente confirmando se o e-mail existe. A ferramenta [[s0677-aadinternals|AADInternals]] automatiza esse processo em escala. Da mesma forma, o autodiscover permite enumeração passiva de usuários válidos. **6. Enumeração via SMTP** Em servidores de e-mail mal configurados, comandos SMTP como `VRFY` e `RCPT TO` respondem diferentemente para usuários válidos e inválidos, permitindo enumerar uma lista de e-mails válidos sem enviar mensagens. --- ## Attack Flow ```mermaid graph TB A["🎯 Alvo Definido<br/>Organização e domínio<br/>de e-mail identificados"] --> B["📋 Coleta Passiva<br/>Vazamentos, LinkedIn,<br/>GitHub, documentos públicos"] B --> C["🔍 Enumeração de Padrão<br/>[email protected]<br/>[email protected]"] C --> D{"🔑 Validação Ativa<br/>Office 365 endpoint,<br/>SMTP VRFY, autodiscover"} D --> E["✅ Lista Validada<br/>E-mails confirmados<br/>como existentes"] D --> F["❌ Descartados<br/>E-mails inválidos<br/>filtrados"] E --> G["🧠 Correlação de Identidades<br/>E-mail + cargo + senha<br/>vazada + redes sociais"] G --> H["📧 Spear Phishing<br/>Campanha personalizada<br/>por segmento/cargo"] G --> I["🔐 Credential Stuffing<br/>Teste de senhas<br/>vazadas reutilizadas"] G --> J["🏢 BEC / Impersonação<br/>Fraude de e-mail<br/>corporativo"] H --> K["💥 Comprometimento Inicial<br/>Acesso a conta de e-mail,<br/>credenciais, sistemas"] I --> K J --> K ``` --- ## Exemplos de Uso ### Silent Librarian - Coleta de E-mails de Acadêmicos O [[g0122-silent-librarian|Silent Librarian]] (TA407), grupo iraniano especializado em espionagem contra universidades e centros de pesquisa em dezenas de países, realizava coleta massiva de endereços de e-mail de professores, pesquisadores e estudantes de pós-graduação usando múltiplas fontes: sites de departamentos acadêmicos, artigos científicos (onde o e-mail do autor é sempre listado), sistemas de publicação de currículos e OSINT em redes sociais acadêmicas como ResearchGaté e Academia.edu. Com esses dados, o grupo lançava campanhas de phishing de alta fidelidade imitando portais de bibliotecas universitárias para roubar credenciais e acessar bases de dados de pesquisa proprietárias. ### HAFNIUM - Enumeração de Exchange/OWA O [[g0125-silk-typhoon|HAFNIUM]], grupo chinês responsável pela exploração massiva das vulnerabilidades do Microsoft Exchange em 2021, utilizou enumeração de e-mails como etapa preparatória para identificar instâncias OWA (Outlook Web Access) ativas e mapear usuários válidos antes da exploração das CVEs. A correlação entre endereços de e-mail e subdomínios OWA identificados via [[t1596-search-open-technical-databases|Search Open Technical Databases]] permitiu ao grupo priorizar alvos de alto valor. ### Magic Hound - Spear Phishing contra Setores Críticos O [[g0059-magic-hound|Magic Hound]] (Charming Kitten), grupo iraniano, construiu bancos de dados extensivos de e-mails corporativos e governamentais do Oriente Médio e Ocidente para alimentar campanhas de spear-phishing altamente personalizadas. O grupo utilizava dados de e-mail combinados com informações de redes sociais para criar e-mails de isca que referenciavam eventos reais da vida da vítima - conferências que tinham participado, artigos que tinham publicado, colegas que conheciam - tornando as campanhas extremamente convincentes. ### Moonstone Sleet - Uso em Campanhas de Malware O [[g1036-moonstone-sleet|Moonstone Sleet]], ator norte-coreano, coletou e-mails de desenvolvedores de software e engenheiros em empresas de tecnologia e defesa para enviar ofertas falsas de emprego e pacotes de projetos contaminados com malware. A coleta de e-mails de desenvolvedores via GitHub, LinkedIn e plataformas como HackerNews foi documentada como etapa crítica de reconnaissance. ### TA551 (Shathak) - Sequestro de Threads O [[g0127-ta551|TA551]] utilizou e-mails coletados de vazamentos e OSINT para realizar ataques de "thread hijacking" - responder a conversas de e-mail legítimas já existentes com malware anexado. A técnica requer e-mails válidos E acesso a threads anteriores, obtidos frequentemente via comprometimento de caixas de entrada de parceiros comerciais. --- ## Detecção ### Monitoramento de Enumeração Ativa (Office 365) ```yaml title: Enumeração de Usuários Office 365 via GetCredentialType status: experimental description: > Detecta tentativas de enumeração de usuários válidos no Microsoft 365 via endpoint GetCredentialType - método usado por adversários para válidar listas de e-mails coletadas em OSINT sem gerar alertas de login. logsource: category: cloud product: azure service: aad detection: selection: operationName: "Get user" resultType: "0" volume_threshold: count|gte: 50 timeframe: 5m groupby: callerIpAddress condition: selection and volume_threshold level: high tags: - attack.reconnaissance - attack.t1589.002 - attack.t1589 falsepositives: - Ferramentas de provisionamento de identidade legítimas - Sincronização de diretório - Scripts de onboarding em massa ``` ### Sigma Rule - Enumeração SMTP ```yaml title: Enumeração de Usuários SMTP via VRFY/EXPN status: experimental description: > Detecta tentativas de enumerar usuários válidos via comandos SMTP VRFY (verify) e EXPN (expand) - técnica de reconhecimento ativa para válidar listas de endereços de e-mail. logsource: category: network product: smtp detection: selection: smtp_command|contains: - "VRFY " - "EXPN " volume: count|gte: 10 timeframe: 1m groupby: src_ip condition: selection and volume level: medium tags: - attack.reconnaissance - attack.t1589.002 falsepositives: - Ferramentas de teste de e-mail legítimas - Scanners de infraestrutura internos ``` ### Fontes de Dados e Monitoramento | Fonte | Indicador | Prioridade | |-------|-----------|-----------| | Microsoft 365 Sign-in Logs | Tentativas de login em massa de IPs externos | Alta | | Azure AD Audit Logs | Consultas em volume ao GetCredentialType | Alta | | SMTP Logs | Comandos VRFY/EXPN em volume | Média | | Have I Been Pwned API | Monitorar e-mails corporativos em novos vazamentos | Alta | | GitHub Secret Scanning | Alertas de e-mails corporativos em commits | Média | --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1056 | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Minimizar exposição pública de endereços de e-mail corporativos. Usar formulários de contato em vez de endereços diretos em sites. Habilitar proteções anti-enumeração em Office 365 e Exchange. Monitorar Have I Been Pwned para alertas de vazamento de e-mails corporativos. | ### Controles Técnicos Específicos **Microsoft 365 / Entra ID** - Habilitar "Smart Lockout" para limitar tentativas de autenticação - Configurar Conditional Access para bloquear autenticação legada (SMTP, IMAP, POP3) - Usar o recurso de "Tenant restriction" para bloquear enumeração via GetCredentialType de IPs não corporativos - Habilitar MFA obrigatório para TODAS as contas - especialmente crítico pois e-mails válidados são imediatamente alvejados **Exchange e SMTP** - Desabilitar os comandos VRFY e EXPN no servidor SMTP (padrão recomendado) - Configurar greylisting e raté limiting para conexões SMTP externas **Redução de Exposição Pública** - Substituir e-mails diretos por formulários de contato em sites públicos - Usar endereços funcionais/genéricos em documentos públicos (ex: `[email protected]` em vez de `[email protected]`) - Revisar repositórios GitHub por e-mails corporativos expostos no histórico de commits - Habilitar proteção de dados no WHOIS (registrar domínios com privacidade habilitada) --- ## Software Associado - [[s0677-aadinternals|AADInternals]] - ferramenta PowerShell para enumeração de usuários no Microsoft 365/Azure AD, incluindo consultas ao endpoint GetCredentialType e autodiscover --- ## Contexto Brasil/LATAM A coleta de endereços de e-mail corporativos é uma das técnicas de reconhecimento mais práticadas contra organizações brasileiras, alimentando tanto campanhas de espionagem patrocinadas por estados quanto o ecossistema local de crime cibernético. **Phishing em Massa contra Setor Financeiro** O setor financeiro brasileiro - bancos, fintechs, corretoras, seguradoras - é o principal alvo de campanhas de phishing que começam com coleta massiva de e-mails via OSINT. Grupos de crime cibernético brasileiros conhecidos como Prilex, Guildma e outros têm histórico documentado de campanhas de phishing em larga escala contra funcionários de bancos, começando pelo mapeamento de e-mails corporativos via LinkedIn e vazamentos. **LGPD e Responsabilidade por Vazamentos** A [[m1056-pre-compromise|Lei Geral de Proteção de Dados (LGPD)]] impõe obrigações de notificação em caso de vazamentos que incluam dados pessoais, incluindo endereços de e-mail corporativos. Organizações que sofrem vazamentos de listas de e-mails estão sujeitas a sanções da ANPD (Autoridade Nacional de Proteção de Dados), além dos danos reputacionais. **Ecossistema de Vazamentos Brasileiro** O Brasil possui um ecossistema de compra e venda de bases de dados roubadas especialmente ativo, com fóruns e canais de Telegram dedicados à comercialização de e-mails corporativos de setores específicos. Em 2021, o megavazamento de dados brasileiro expôs CPFs, CNPJs e dados de contato de centenas de milhões de brasileiros, incluindo e-mails corporativos, criando uma base de dados de reconhecimento sem precedentes. **Ataques via [[g0094-kimsuky|Kimsuky]] e Grupos Norte-Coreanos** Grupos norte-coreanos como [[g0032-lazarus-group|Lazarus Group]] e [[g0094-kimsuky|Kimsuky]] têm historicamente mirando pesquisadores brasileiros de política nuclear, defesa e criptomoedas - coletando e-mails de conferências, universidades e think tanks nacionais para campanhas de spear-phishing altamente direcionadas. **Recomendações para CISOs Brasileiros** - Monitorar Have I Been Pwned e serviços nacionais equivalentes por alertas de e-mails corporativos - Implementar simulações periódicas de phishing com e-mails realisticamente construídos - Configurar DMARC, DKIM e SPF rigorosamente para dificultar impersonação do domínio corporativo - Treinar especialmente equipes de RH e financeiro - alvos preferenciais de BEC --- ## Referências - [MITRE ATT&CK - T1589.002](https://attack.mitre.org/techniques/T1589/002) - [MITRE ATT&CK - T1589 (Técnica Pai)](https://attack.mitre.org/techniques/T1589) - [AADInternals - Documentação Oficial](https://aadinternals.com) - [Microsoft - Protect Against Credential Harvesting](https://learn.microsoft.com/en-us/microsoft-365/security/office-365-security/tenant-wide-setup-for-increased-security) - [Silent Librarian - DOJ Indictment](https://www.justice.gov/opa/pr/nine-iranians-charged-conducting-massive-cyber-theft-campaign) - [HAFNIUM - Microsoft MSTIC](https://www.microsoft.com/en-us/security/blog/2021/03/02/hafnium-targeting-exchange-servers/) - [Have I Been Pwned - Monitoramento de Domínio](https://haveibeenpwned.com/DomainSearch) - [ANPD - LGPD e Vazamentos de Dados](https://www.gov.br/anpd/pt-br) --- *Fonte: [MITRE ATT&CK - T1589.002](https://attack.mitre.org/techniques/T1589/002)*