t1589-003-employee-names

# T1589.003 - Employee Names ## Descrição Adversários podem coletar nomes de funcionários de uma organização-alvo como parte de uma fase de reconhecimento mais ampla (técnica pai [[t1589-gather-victim-identity-information|T1589 - Gather Victim Identity Information]]). Nomes de funcionários são frequentemente expostos públicamente por meio de redes sociais profissionais, sites corporativos, comúnicados à imprensa, artigos de conferências acadêmicas e plataformas como o LinkedIn. A coleta de nomes de funcionários tem múltiplos propósitos táticos para um adversário: - **Derivação de e-mails corporativos**: A maioria das organizações segue convenções previsíveis de criação de endereços de e-mail (ex: `[email protected]`, `[email protected]`). Com nomes e o domínio da empresa, o adversário pode enumerar endereços válidos para campanhas de [[t1566-phishing|Phishing]] ou [[t1598-phishing-for-information|Phishing para Obtenção de Informações]]. - **Criação de lures personalizados**: Mensagens de spearphishing direcionadas a um funcionário específico são significativamente mais convincentes quando utilizam o nome real do destinatário, cargo e referências a colegas conhecidos. - **Comprometimento de contas existentes**: Nomes mapeados a sistemas corporativos públicos (VPN, portais de suporte, Active Directory exposto) podem orientar ataques de [[t1110-brute-force|Brute Force]] ou reutilização de credenciais. - **Engenharia social**: Em ataques de vishing (phishing por voz) ou pretexting, o adversário pode se passar por um colega ou superior hierárquico, aumentando a taxa de sucesso da manipulação. Esta técnica é classificada na tática de **Reconnaissance** do MITRE ATT&CK e é considerada uma técnica de pré-comprometimento (plataforma PRE), pois não envolve interação direta com a infraestrutura da vítima. A coleta é passiva do ponto de vista técnico, utilizando fontes abertas (OSINT). > **Técnica pai:** [[t1589-gather-victim-identity-information|T1589 - Gather Victim Identity Information]] --- ## Como Funciona O processo de coleta de nomes de funcionários pode ser altamente automatizado e escalável, exigindo poucos recursos do adversário: ### 1. Coleta via LinkedIn e Redes Sociais Profissionais O LinkedIn é a fonte primária para enumeração de funcionários. Adversários utilizam buscas manuais ou ferramentas automatizadas (scrapers) para mapear funcionários de uma organização, incluindo nome completo, cargo, departamento e localização. Ferramentas como `linkedin2username` permitem derivar convenções de e-mail corporativo a partir da lista de funcionários coletada. ### 2. Sites Corporativos e Páginas de "Sobre Nós" Muitas organizações publicam diretórios de equipes, perfis de liderança e páginas de contato em seus sites institucionais. Essas páginas são facilmente indexadas por motores de busca e acessíveis sem autenticação. A técnica [[t1594-search-victim-owned-websites|T1594 - Search Victim-Owned Websites]] é frequentemente combinada com esta. ### 3. Comúnicados de Imprensa, Artigos e Publicações Acadêmicas Empresas que emitem comúnicados de imprensa, artigos de blog técnico ou publicações científicas frequentemente listam autores e porta-vozes por nome completo. Conferências de segurança (DEF CON, BSides, H2HC) frequentemente publicam listas de palestrantes com afiliações corporativas. ### 4. Documentos Públicos com Metadados PDFs, apresentações e documentos do Office publicados em sites corporativos frequentemente contêm metadados com nomes de autores e criadores. Ferramentas como `exiftool` extraem automaticamente esses dados de arquivos baixados. ### 5. Repositórios de Código Público Organizações que mantêm repositórios no GitHub ou GitLab frequentemente expõem nomes e e-mails de desenvolvedores nos commits. A busca por domínios corporativos em commits públicos pode revelar convenções de e-mail e nomes de engenheiros. ### 6. Vazamentos e Bases de Dados Públicas Adversários também consultam bancos de dados de credenciais vazadas (HaveIBeenPwned, bases na darkweb) para correlacionar endereços de e-mail já comprometidos com nomes de funcionários da organização-alvo. --- ## Attack Flow ```mermaid graph TB A["Fase: Reconhecimento"] --> B["Identificar Organização-Alvo"] B --> C["Busca em LinkedIn / Redes Sociais"] B --> D["Scraping de Site Corporativo"] B --> E["Análise de Documentos Públicos"] C --> F["Lista de Nomes de Funcionários"] D --> F E --> F F --> G["Derivação de Convenção de E-mail"] F --> H["Identificação de Cargos e Departamentos"] G --> I["Enumeração de E-mails Corporativos"] H --> J["Seleção de Alvos de Alto Valor"] I --> K["Campanha de Spearphishing - T1566.002"] J --> K K --> L["Comprometimento Inicial"] ``` --- ## Exemplos de Uso ### Kimsuky (APT norte-coreano) O grupo [[g0094-kimsuky|Kimsuky]], vinculado ao governo norte-coreano e com histórico de campanhas contra instituições acadêmicas, think tanks e governos, utiliza sistematicamente nomes de pesquisadores e analistas coletados do LinkedIn e páginas institucionais para enviar e-mails de spearphishing extremamente personalizados. Em campanhas documentadas contra o setor de defesa sul-coreano e organizações de política externa, o grupo demonstrou conhecimento detalhado de estruturas organizacionais antes do envio de lures. ### Silent Librarian (APT iraniano) O grupo [[g0122-silent-librarian|Silent Librarian]], vinculado ao IRGC iraniano, especializou-se em campanhas de coleta de credenciais contra universidades. O grupo mapeava nomes de professores, pesquisadores e estudantes de pós-graduação de suas vítimas para criar páginas de phishing personalizadas, imitando portais de bibliotecas universitárias e enviando convites por e-mail com nomes reais das vítimas. ### Sandworm Team (APT russo) O [[g0034-sandworm|Sandworm Team]], atribuído à GRU russa, utilizou nomes de funcionários de organizações de infraestrutura crítica ucraniana para criar identidades falsas em sistemas internos durante ataques a redes de energia em 2015 e 2016, facilitando o movimento lateral após o acesso inicial. ### Contexto Operacional LATAM No contexto do Brasil e América Latina, grupos de cibercrime financeiro como Lapsus$ (originalmente composto por membros brasileiros) utilizaram LinkedIn e Telegram para identificar funcionários com acesso privilegiado a sistemas corporativos (helpdesk, acesso a VPNs), abordando-os diretamente com propostas de compra de credenciais - uma forma não-técnica mas altamente eficaz de exploração dessa técnica. --- ## Detecção Esta técnica ocorre fora do perímetro da organização e é extremamente difícil de detectar diretamente. As oportunidades de detecção existem principalmente como **indicadores indiretos**: - Monitoramento de menções da organização e funcionários em plataformas de OSINT e na dark web - Alertas de serviços como HaveIBeenPwned para vazamentos de domínio corporativo - Análise de logs de acesso a diretórios de funcionários no site corporativo (volume anômalo de requisições) - Monitoramento de bots de scraping no LinkedIn (LinkedIn alerta e bloqueia scrapers automatizados) ### Sigma Rule - Enumeração de Funcionários via Scraping Web ```yaml title: Possível Scraping de Diretório de Funcionários status: experimental logsource: category: webserver product: apache detection: selection: request_uri|contains: - '/team' - '/about-us' - '/our-people' - '/staff' - '/equipe' - '/sobre' http_method: GET volume_filter: http_status: 200 condition: selection timeframe: 5m condition: selection | count() by src_ip > 50 level: medium tags: - attack.reconnaissance - attack.t1589.003 ``` ### Sigma Rule - Uso de Ferramenta linkedin2username ```yaml title: Detecção de Enumeração de Usuários LinkedIn Corporativos status: experimental logsource: category: proxy product: generic detection: selection: url|contains: 'linkedin.com/in/' user_agent|contains: - 'python-requests' - 'curl' - 'scrapy' condition: selection timeframe: 1m condition: selection | count() by src_ip > 20 level: high tags: - attack.reconnaissance - attack.t1589.003 ``` --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1056 | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Limitar a quantidade de informações pessoais de funcionários expostas publicamente. Políticas de privacidade no LinkedIn (não listar empregador, cargo detalhado), remoção de diretórios de equipes dos sites corporativos quando não essenciais. | | - | Política de Publicação | Definir diretrizes corporativas sobre quais informações funcionários podem compartilhar em redes sociais e sites pessoais relacionados ao trabalho. | | - | Treinamento de Conscientização | Treinar funcionários sobre os riscos de exposição de informações organizacionais em plataformas públicas e como reconhecer spearphishing personalizado. | | - | Monitoramento de Exposição | Usar serviços de Digital Risk Protection (DRP) para monitorar exposição de dados de funcionários em fontes abertas e na dark web. | --- ## Contexto Brasil/LATAM O Brasil apresenta características específicas que amplificam a eficácia desta técnica: **Alta adoção do LinkedIn**: O Brasil é o 3º maior mercado do LinkedIn globalmente, com mais de 65 milhões de usuários. A cultura profissional brasileira incentiva perfis detalhados e abertos, o que facilita a enumeração de funcionários de qualquer organização de médio e grande porte. **Setor Financeiro como Alvo Prioritário**: Grupos de ameaça com foco em [[financial|setor financeiro]] brasileiro (bancos, fintechs, corretoras) frequentemente utilizam nomes de funcionários coletados para ataques de engenharia social sofisticados. O Brasil é historicamente um dos países mais atacados por trojans bancários, e a fase de reconhecimento de nomes de funcionários é frequentemente parte do planejamento. **Vazamentos de Dados Corporativos**: O Brasil possui um histórico significativo de vazamentos de dados massivos (incluindo o "vazamento do CPF" de 2021 com mais de 200 milhões de registros). Dados de funcionários frequentemente aparecem correlacionados com informações corporativas em bases vazadas, facilitando a criação de profiles detalhados de alvos. **Ataques ao Setor Público**: Órgãos do governo federal e estadual brasileiro frequentemente públicam diretórios completos de servidores públicos (exigência de transparência pela Lei de Acesso à Informação - LAI), criando alvos fáceis para enumeração de nomes e cargos sensíveis. Técnica utilizada em campanhas de espionagem atribuídas ao [[g0034-sandworm|Sandworm Team]] e grupos similares contra governos da região. **Campanhas de BEC (Business Email Compromise)**: O Brasil registra um dos maiores volumes de ataques BEC na América Latina, onde nomes de executivos são coletados e utilizados para se passar por CEOs e CFOs em e-mails fraudulentos solicitando transferências financeiras. Técnicas relacionadas frequentemente combinadas no contexto LATAM: - [[t1566-phishing|T1566 - Phishing]] - [[t1598-phishing-for-information|T1598 - Phishing for Information]] - [[t1593-001-social-media|T1593.001 - Social Media]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] --- ## Referências - [MITRE ATT&CK - T1589.003](https://attack.mitre.org/techniques/T1589/003) - [Kimsuky - CISA Advisory AA20-301A](https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-301a) - [Silent Librarian - FBI/CISA Alert AA18-090A](https://www.cisa.gov/news-events/alerts/2018/03/23/iranian-threat-group-updates-ttps-spear-phishing-campaign) - [Sandworm Team - MITRE ATT&CK G0034](https://attack.mitre.org/groups/G0034/) - [linkedin2username Tool - GitHub](https://github.com/initstring/linkedin2username) - [Digital Risk Protection - ENISA Guidelines](https://www.enisa.europa.eu/) - [Lei de Acesso à Informação - Brasil (LAI 12.527/2011)](https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm)