# T1591.004 - Identify Roles > [!info] MITRE ATT&CK > **Tática:** Reconnaissance · **ID:** T1591.004 · **Plataforma:** PRE > **Técnica Pai:** [[t1591-gather-victim-org-information|T1591 - Gather Victim Org Information]] ## Descrição Adversários coletam informações sobre identidades e **funções (roles)** dentro da organização-alvo para uso durante a fase de targeting. A identificação de papéis organizacionais revela detalhes valiosos: quem são os tomadores de decisão, quais funcionários têm acesso privilegiado a sistemas críticos, quem gerencia credenciais e quem representa o elo mais fraco da cadeia de segurança. Diferente de simplesmente coletar nomes ou e-mails, a identificação de papéis fornece ao adversário um **mapa de poder e acesso** dentro da organização. Saber que uma determinada pessoa é o administrador de Active Directory, o CISO, o responsável por transferências bancárias ou o gestor de contratos com fornecedores permite que ataques altamente direcionados sejam planejados - como campanhas de [[t1566-phishing|Phishing]] de spear-phishing, engenharia social via telefone (vishing), ou compromisso de contas corporativas ([[t1586-compromise-accounts|Compromise Accounts]]). Essa inteligência pode ser obtida de diversas formas passivas e ativas: consulta a perfis públicos em plataformas como LinkedIn e outros sites de redes sociais ([[t1593-001-social-media|Social Media]]), análise do site da organização ([[t1594-search-victim-owned-websites|Search Victim-Owned Websites]]), coleta de assinaturas de e-mail expostas em listas públicas, vazamentos de dados anteriores, registros em conferências e eventos do setor, e até mesmo por meio de [[t1598-phishing-for-information|Phishing for Information]] ativo, onde o adversário se passa por recrutador, fornecedor ou jornalista para elicitar informações sobre a estrutura interna. O conhecimento de papéis organizacionais também alimenta fases subsequentes do ciclo de ataque: ao saber quem é o CFO, o adversário pode construir um ataque BEC (Business Email Compromise); ao identificar o engenheiro DevOps, pode mirar em credenciais de pipelines CI/CD; ao localizar o administrador de backups, pode planejar um ataque de ransomware com máximo impacto. > **Técnica pai:** [[t1591-gather-victim-org-information|T1591 - Gather Victim Org Information]] --- ## Como Funciona A técnica T1591.004 é executada inteiramente na fase de **pré-compromisso** - antes de qualquer acesso à infraestrutura do alvo. O adversário age como um observador externo, reunindo informações disponíveis publicamente ou usando técnicas de elicitação social. ### Métodos principais de coleta **1. OSINT em Redes Sociais** LinkedIn é a fonte primária. Adversários buscam por funcionários da organização-alvo, identificando cargos (títulos), departamentos, responsabilidades descritas no perfil, tecnologias mencionadas (ex: "Gerencio nossa infraestrutura AWS e Azure") e histórico profissional. Ferramentas como `linkedin2username`, `CrossLinked` e scrapers via [[t1596-search-open-technical-databases|Search Open Technical Databases]] automatizam essa coleta em escala. **2. Site Corporativo e Comúnicados** Páginas de "Sobre Nós", "Liderança", "Equipe", press releases, relatórios anuais e apresentações para investidores frequentemente listam nomes e cargos de executivos. Subsidiárias, empresas adquiridas e organigramas em documentos públicos são fontes valiosas. **3. Conferências e Eventos** Agendas de eventos do setor (Black Hat, RSA, FEBRABAN Tech, Congress TI) frequentemente listam palestrantes com cargo e empresa. Isso revela quem são os especialistas técnicos e os líderes de segurança da organização. **4. Vazamentos de Dados** Bases de dados de vazamentos anteriores (Have I Been Pwned, dumps em fóruns underground) podem revelar estruturas de e-mail corporativo associadas a departamentos específicos, inferindo papéis. **5. Elicitação Ativa (Phishing for Information)** O adversário pode contatar diretamente funcionários se passando por recrutadores, auditores externos, fornecedores ou jornalistas para obter informações sobre a estrutura organizacional. --- ## Attack Flow ```mermaid graph TB A["🎯 Definição do Alvo<br/>Organização-alvo identificada"] --> B["🔍 OSINT Passivo<br/>LinkedIn, site corporativo,<br/>eventos, comúnicados"] B --> C["📋 Mapeamento de Papéis<br/>CFO, CISO, Admin TI,<br/>DevOps, Help Desk"] C --> D["🔗 Correlação de Identidades<br/>E-mail + cargo + acesso<br/>provável a sistemas"] D --> E{"🎯 Seleção de Alvo<br/>Qual papel oferece<br/>maior valor?"} E --> F["👤 Perfil Alto Valor<br/>Executivos, Admins,<br/>Financeiro"] E --> G["🔓 Perfil Acesso Técnico<br/>DevOps, TI, Segurança"] F --> H["📧 Spear Phishing BEC<br/>Impersonação de executivo<br/>para fraude financeira"] G --> I["🛠️ Comprometimento Técnico<br/>Credenciais de infra,<br/>pipelines CI/CD, backups"] H --> J["💰 Impacto<br/>Fraude, espionagem,<br/>ransomware, sabotagem"] I --> J ``` --- ## Exemplos de Uso ### LAPSUS$ - Mapeamento de Papéis para Engenharia Social O grupo [[g1004-lapsus|LAPSUS$]] ficou notório por identificar funcionários de suporte técnico (Help Desk) e administradores de TI em grandes organizações como Microsoft, Nvidia, Samsung e Uber. Antes de cada ataque, o grupo realizava pesquisa extensiva em LinkedIn para mapear quem tinha permissões de redefinição de senha e acesso a ferramentas de provisionamento de identidade. Com esse mapeamento, abordavam diretamente os alvos via Telegram oferecendo pagamento em troca de acesso, ou realizavam ataques de SIM swapping para roubar os números de telefone usados em MFA. ### FIN7 - Identificação de Papéis Financeiros O grupo [[g0046-fin7|FIN7]], especializado em ataques a organizações do setor de hospitalidade e varejo, mapeava sistematicamente papéis no departamento financeiro - contadores, tesoureiros e gestores de contas a pagar. Com essa informação, construíam e-mails de spear-phishing extremamente personalizados, muitas vezes fazendo referência a fornecedores reais da empresa identificados via OSINT, aumentando drasticamente a taxa de sucesso das campanhas de [[t1566-phishing|Phishing]]. ### HEXANE - Foco em Operadores de Infraestrutura Crítica O [[g1001-hexane|HEXANE]], ator de ameaça com nexo iraniano, direcionou ataques ao setor de energia e telecomúnicações no Oriente Médio identificando específicamente engenheiros de sistemas de controle industrial (ICS/SCADA). A identificação desses papéis técnicos altamente especializados permitiu a criação de isca de spear-phishing extremamente convincente, incluindo falsas vagas de emprego técnicas. ### Volt Typhoon - Reconhecimento de Infraestrutura Crítica O [[g1017-volt-typhoon|Volt Typhoon]], ator de estado chinês, identificou papéis de administradores de rede e engenheiros de infraestrutura em organizações de infraestrutura crítica dos EUA (energia, água, telecomúnicações) para planejar intrusões de longo prazo com foco em pré-posicionamento para sabotagem. --- ## Detecção A detecção de T1591.004 é inerentemente difícil pois ocorre fora da infraestrutura da vítima. As estrategias focam em **monitorar sinais de que estão sendo investigados** e **reduzir a superfície de exposição**. ### Sinais de Alerta Indiretos - Aumento anormal de visualizações de perfis LinkedIn de executivos e administradores de TI - Solicitações de conexão suspeitas no LinkedIn de perfis recém-criados sem histórico - Contatos inesperados de "recrutadores" solicitando informações sobre estrutura organizacional - Menções da organização em fóruns underground ou canais de inteligência de ameaças ### Sigma Rule - Monitoramento de Elicitação de Papéis ```yaml title: Possível Elicitação de Papéis Organizacionais via E-mail status: experimental description: > Detecta e-mails recebidos com padrões linguísticos associados à elicitação de informações sobre estrutura organizacional e papéis. logsource: category: email product: office365 detection: selection: subject|contains: - "organograma" - "quem é responsável" - "estrutura de TI" - "responsável pela segurança" - "IT manager" - "quem gerencia" body|contains: - "pesquisa de mercado" - "auditoria externa" - "fornecedor parceiro" - "parceria estratégica" filter_internal: sender_domain: '%ORGANIZATION_DOMAIN%' condition: selection and not filter_internal level: medium tags: - attack.reconnaissance - attack.t1591.004 - attack.t1598 falsepositives: - Comúnicações legítimas de fornecedores - Auditores externos reais ``` ### Fontes de Dados Relevantes | Fonte | O que Monitorar | |-------|----------------| | LinkedIn Alerts | Notificações de visualizações de perfil em massa | | E-mail Gateway | Padrões de elicitação social em assunto/corpo | | DNS/Web Proxy | Acessos ao site corporativo seguidos de enumeração de páginas de equipe | | OSINT Feed | Menções da organização em plataformas de inteligência de ameaças | | HR Systems | Reclamações de funcionários sobre abordagens suspeitas de "recrutadores" | --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1056 | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Reduzir informações públicas sobre papéis e estrutura organizacional. Limitar o que é exposto em sites corporativos, comúnicados e perfis profissionais. Implementar políticas de privacidade para funcionários em redes sociais. | ### Controles Adicionais Recomendados **Minimização de Exposição Pública** - Remover ou generalizar cargos técnicos sensíveis em sites públicos (ex: substituir "Administrador de Active Directory" por "Especialista em TI") - Restringir informações em páginas de "Equipe/Liderança" a executivos de alto nível apenas - Orientar funcionários a não mencionar tecnologias específicas da empresa em perfis LinkedIn **Treinamento e Consciência** - Treinar funcionários para reconhecer tentativas de elicitação via LinkedIn, telefone e e-mail - Estabelecer protocolo claro para relatório de contatos suspeitos ao time de segurança - Simular exercícios de engenharia social para medir e melhorar a resiliência humana **Monitoramento Proativo** - Assinar serviços de OSINT que monitoram menções da organização em fóruns underground - Monitorar Dark Web por vazamentos de dados corporativos que exponham estruturas internas - Realizar exercícios periódicos de footprinting externo para identificar exposição não intencional --- ## Contexto Brasil/LATAM No Brasil e na América Latina, a técnica T1591.004 é amplamente utilizada por grupos de crime cibernético financeiramente motivados, especialmente no contexto de ataques BEC (Business Email Compromise) e fraudes bancárias corporativas. **Cenário BEC no Brasil** O Brasil é um dos países com maior volume de ataques BEC do mundo. Grupos locais e internacionais identificam sistematicamente papéis financeiros em empresas brasileiras - especialmente **gerentes financeiros**, **controllers** e **executivos de contas a pagar** - para orquestrar fraudes de transferência bancária. Em 2024 e 2025, diversas empresas de médio e grande porte reportaram perdas milionárias em reais após ataques onde o adversário havia mapeado previamente quem autorizava pagamentos e quem executava as transferências. **LinkedIn como Vetor Primário** A plataforma LinkedIn tem penetração crescente no mercado corporativo brasileiro, tornando-se uma fonte de OSINT cada vez mais rica. A cultura de detalhar responsabilidades técnicas nos perfis (ex: "Gerencio a infraestrutura de servidores na AWS da empresa") facilita imensamente o trabalho do adversário. **Setor Financeiro** Grupos como [[g0046-fin7|FIN7]] e atores de ameaça regionais têm historicamente focado no setor financeiro brasileiro ([[_sectors|setores]]), onde a identificação de papéis é crucial para fraudes sofisticadas. Bancos, fintechs e corretoras são alvos preferênciais. **Hacktivismo e Exposição de Dados** Grupos hacktivistas como o [[g1004-lapsus|LAPSUS$]] (com membros brasileiros confirmados) e outros grupos regionais utilizam dados de papéis organizacionais para maximizar o impacto de vazamentos e extorsões, priorizando vítimas com maior visibilidade pública. **Recomendação para Organizações Brasileiras** - Implementar políticas de LinkedIn que orientem funcionários sobre o que não compartilhar públicamente - Monitorar plataformas de OSINT nacionais (Telegram, fóruns brasileiros) por menções da organização - Treinar especialmente equipes financeiras e de TI sobre riscos de engenharia social --- ## Referências - [MITRE ATT&CK - T1591.004](https://attack.mitre.org/techniques/T1591/004) - [MITRE ATT&CK - T1591 (Técnica Pai)](https://attack.mitre.org/techniques/T1591) - [CISA - Business Email Compromise](https://www.cisa.gov/topics/cyber-threats-and-advisories/advanced-persistent-threats/business-email-compromise) - [FBI IC3 - BEC Annual Report](https://www.ic3.gov/Media/PDF/AnnualReport/2023_IC3Report.pdf) - [LAPSUS$ - Microsoft Security Blog](https://www.microsoft.com/en-us/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/) - [FIN7 - Mandiant Research](https://www.mandiant.com/resources/fin7-spear-phishing-campaign) --- *Fonte: [MITRE ATT&CK - T1591.004](https://attack.mitre.org/techniques/T1591/004)*