# T1593.001 - Social Media > [!info] Visão Geral > **Tática:** Reconnaissance · **ID:** T1593.001 · **Técnica Pai:** T1593 - Search Open Websites/Domains · **Versão MITRE:** 16.2 > Adversários vasculham redes sociais para levantar inteligência sobre alvos - funcionários, estruturas organizacionais, sistemas e vulnerabilidades operacionais - antes de lançar ataques direcionados. ## Descrição A sub-técnica **T1593.001 - Social Media** descreve como adversários exploram plataformas de redes sociais - LinkedIn, X (Twitter), Facebook, Instagram, GitHub, YouTube e outras - para coletar informações sobre organizações-alvo e seus funcionários. Este reconhecimento passivo é de baixíssimo risco para o atacante: requer apenas acesso à internet e gera práticamente nenhum rastro nos sistemas defensivos da vítima. As redes sociais são fontes extraordinariamente ricas de inteligência operacional. Uma busca cuidadosa no LinkedIn pode revelar: o organograma de um departamento de TI, o stack tecnológico utilizado (inferido a partir de habilidades listadas por funcionários), nomes de sistemas internos mencionados em descrições de cargo, padrões de contratação que indicam iniciativas estratégicas, e contatos de alto valor para ataques de engenharia social futuros. Anúncios de vagas são especialmente valiosos - frequentemente listam tecnologias, ferramentas e configurações específicas em uso. Adversários não se limitam à coleta passiva. Grupos sofisticados como [[g1011-exotic-lily|EXOTIC LILY]] criam perfis falsos convincentes - frequentemente imitando profissionais de tecnologia, headhunters ou jornalistas - para iniciar conversas com alvos de interesse e elicitar informações adicionais. Este uso ativo das redes sociais alimenta diretamente campanhas de [[t1598-phishing-for-information|T1598 - Phishing for Information]] e [[t1598-001-spearphishing-service|T1598.001 - Spearphishing via Service]]. A técnica pai [[t1583-001-domains|Domains]] abrange a busca mais ampla em sites públicos; o foco aqui é específicamente em plataformas sociais onde o conteúdo é gerado por usuários e frequentemente inclui informações não intencionalmente divulgadas. ### O que adversários buscam nas redes sociais ```mermaid graph TB A["🔍 Reconhecimento em Redes Sociais<br/>T1593.001"] --> B["👥 Mapeamento de Pessoal"] A --> C["🏢 Inteligência Organizacional"] A --> D["🛠️ Stack Tecnológico"] A --> E["📅 Eventos e Movimentações"] B --> B1["Nomes e cargos de funcionários-chave<br/>C-Suite, TI, Segurança, RH, Financeiro"] B --> B2["Histórico profissional e conexões<br/>Fornecedores, parceiros, clientes"] C --> C1["Estrutura de departamentos<br/>Subsidiárias e entidades relacionadas"] C --> C2["Processos internos revelados<br/>em posts e comentários"] D --> D1["Tecnologias listadas em vagas<br/>e perfis de funcionários de TI"] D --> D2["Ferramentas usadas e projetos<br/>mencionados no GitHub/LinkedIn"] E --> E1["Fusões, aquisições, reestruturações<br/>= jánelas de vulnerabilidade"] E --> E2["Eventos corporativos e conferências<br/>= alvos físicos e digitais"] ``` --- ## Como Funciona **Fase 1 - Identificação do alvo:** O adversário começa com o nome da organização e expande a busca por funcionários, usando operadores avançados de busca e ferramentas como theHarvester, Maltego ou simplesmente buscas manuais no LinkedIn. Cada funcionário identificado é um vetor potencial de acesso. **Fase 2 - Coleta sistemática de perfis:** O foco recai sobre funções de alto valor: administradores de sistemas, engenheiros de segurança, desenvolvedores, pessoal de RH (que frequentemente tem acesso a dados de toda a organização) e executivos seniores. Habilidades e certificações listadas revelam o stack tecnológico. Histórico de empregos revela padrões de segurança e maturidade organizacional. **Fase 3 - Análise de postagens e atividade:** Posts sobre incidentes de TI ("servidor caindo"), frustrações com ferramentas específicas ("odeio esse firewall"), participação em grupos de discussão técnica, e compartilhamento de artigos sobre vulnerabilidades específicas fornecem inteligência adicional sobre o ambiente e as preocupações internas. **Fase 4 - Mineração de ofertas de emprego:** Vagas publicadas revelam lacunas de segurança (busca urgente por analistas de SOC = possível incident response em andamento), tecnologias em implantação, e nomes de sistemas internos mencionados como requisitos. **Fase 5 - Alimentação de ataques subsequentes:** As informações coletadas são utilizadas para personalizar campanhas de [[t1598-phishing-for-information|phishing para coleta de informações]], criar perfis falsos convincentes para [[t1598-001-spearphishing-service|spearphishing via serviço]], ou identificar vetores de acesso inicial via [[t1566-003-spearphishing-via-service|T1566.003 - Spearphishing via Service]]. --- ## Attack Flow ```mermaid graph TB A["🎯 Definição do Alvo<br/>Organização ou indivíduo de interesse"] --> B["🔎 Busca nas Plataformas<br/>LinkedIn, X, GitHub, Facebook, Instagram"] B --> C["📋 Coleta de Perfis de Funcionários<br/>TI, Segurança, RH, Executivos"] C --> D["🗂️ Análise e Correlação<br/>Stack tecnológico, estrutura, processos"] D --> E{"Objetivo"} E -->|"Engajamento direto"| F["🤖 Criação de Perfil Falso<br/>Recruiter, jornalista, colega de indústria"] E -->|"Ataque de phishing"| G["✉️ Spearphishing Personalizado<br/>T1598 / T1566 com contexto OSINT"] E -->|"Acesso técnico"| H["🔓 Exploração de Credenciais<br/>Credential stuffing com dados vazados"] F --> I["💬 Elicitação de Informações<br/>Entrevista falsa, convite de conferência"] G --> J["🎣 Coleta de Credenciais<br/>Portal falso, resposta direta"] H --> K["🚪 Acesso Inicial<br/>T1566, T1078, T1190"] I --> J J --> K ``` --- ## Exemplos de Uso ### EXOTIC LILY - Campanha de Initial Access Broker via LinkedIn O grupo [[g1011-exotic-lily|EXOTIC LILY]], identificado pelo Google TAG como um Initial Access Broker (IAB) com possível relação com o [[g0102-conti-group|Wizard Spider]] / Conti, empregou extensivamente o LinkedIn para reconhecimento T1593.001 antes de campanhas de phishing. O grupo criava perfis corporativos falsos de empresas de tecnologia inexistentes, completos com logo, site e histórico de funcionários fabricados. Em seguida, engajava alvos de TI e segurança com convites de conexão e propostas de parceria que eventualmente levavam a e-mails com documentos maliciosos do Office. O reconhecimento via LinkedIn permitia ao grupo identificar funcionários com acesso a sistemas críticos antes de direcionar os ataques. ### Kimsuky - Perfis Falsos de Pesquisadores contra Think Tanks O grupo norte-coreano [[g0094-kimsuky|Kimsuky]] (APT43) utiliza o LinkedIn e o X para identificar e depois abordar pesquisadores de política, analistas de defesa e acadêmicos que trabalham em tópicos de interesse para Pyongyang - desnuclearização, sanções, relações inter-coreanas. O grupo cria perfis falsos convincentes de pesquisadores de universidades reconhecidas ou jornalistas especializados. O reconhecimento inicial em redes sociais permite ao grupo construir listas de alvos altamente qualificados antes de iniciar contato, aumentando significativamente a taxa de engajamento das vítimas. ### Contagious Interview - Abordagem de Desenvolvedores no GitHub e LinkedIn A operação [[g1052-contagious-interview|Contagious Interview]] (TA444, vinculada à Coreia do Norte) foca exclusivamente em desenvolvedores de software e profissionais de blockchain/cripto. O grupo monitora o GitHub para identificar desenvolvedores trabalhando em projetos relevantes, então os aborda via LinkedIn com ofertas de emprego falsas em empresas de tecnologia ou cripto fictícias. O perfil técnico detalhado obtido via GitHub (linguagens usadas, projetos, colaboradores) permite entrevistas técnicas convincentes que eventualmente levam à execução de malware sob pretexto de teste de código. --- ## Detecção A detecção de T1593.001 é fundamentalmente difícil porque ocorre fora do ambiente controlado da organização - nas redes sociais, que são plataformas de terceiros. A estratégia defensiva foca em **reduzir a superfície de exposição** e **monitorar indicadores correlacionados**. ### Regra Sigma - Criação de Conta Suspeita em Plataformas Corporativas ```yaml title: New Account Creation with Corporaté Domain After Social Media Recon Indicators status: experimental description: | Detecta criação de contas usando domínio corporativo em plataformas externas logo após picos de acesso a perfis de funcionários no LinkedIn ou similares. Geralmente detectável apenas via logs de identidade corporativa (Entra ID/Okta). logsource: category: authentication product: azure_ad detection: selection_new_account: EventID: 4720 TargetUserName|contains: - '@' selection_external_service: AuthenticationProtocol: 'OAuth2' AppDisplayName|contains: - 'LinkedIn' - 'GitHub' - 'Twitter' condition: selection_new_account or selection_external_service level: low tags: - attack.reconnaissance - attack.t1593.001 falsepositives: - Criação legítima de contas corporativas - Integrações OAuth aprovadas pelo negócio ``` ### Regra Sigma - Acesso Massivo a Perfis de Funcionários via Scraping ```yaml title: Mass Employee Profile Enumeration via Web Requests status: experimental description: | Detecta acesso automatizado a diretórios corporativos públicos ou padrões de busca que indicam enumeração de funcionários. logsource: category: webserver product: apache detection: selection: request|contains: - '/team' - '/about/team' - '/people' - '/leadership' - '/staff' timeframe: 5m condition: selection | count() > 50 level: medium tags: - attack.reconnaissance - attack.t1593.001 falsepositives: - Crawlers de mecanismos de busca legítimos - Auditores de acessibilidade web ``` ### Monitoramento Proativo > [!warning] Indicadores de Reconhecimento em Andamento > - Pico incomum de visualizações no perfil LinkedIn de executivos ou engenheiros de segurança > - Múltiplas solicitações de conexão de perfis novos (< 3 meses) para funcionários de TI/Segurança > - Perfis falsos identificados usando fotos de funcionários reais (busca reversa de imagem) > - Ofertas de emprego não solicitadas com alto grau de especificidade sobre stack tecnológico interno --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1056-pre-compromise\|M1056]] | Pre-compromise | A única mitigação oficial MITRE para esta técnica - reconhece que é práticamente impossível prevenir o reconhecimento em redes sociais públicas. O foco deve ser em reduzir a quantidade de informação exposta publicamente e treinar funcionários. | ### Controles Adicionais Recomendados > [!tip] Boas Práticas de Exposição em Redes Sociais > **Para a organização:** > - Estabelecer política de uso de redes sociais que oriente sobre quais informações técnicas podem ser compartilhadas publicamente > - Monitorar menções da organização e funcionários em redes sociais com ferramentas de brand protection > - Revisar regularmente o que é publicado em ofertas de emprego - remover nomes de sistemas, ferramentas e versões específicas > - Conduzir exercícios de OSINT (Red Team) para medir a exposição real da organização antes que adversários o façam > > **Para funcionários:** > - Limitar detalhes técnicos em perfis públicos (evitar listar versões de software, nomes de sistemas internos) > - Verificar a identidade de conexões novas antes de aceitar, especialmente recrutadores não solicitados > - Usar configurações de privacidade que limitam a visibilidade do histórico de empregos e conexões > - Reportar ao time de segurança abordagens suspeitas - "entrevistas" não solicitadas com foco técnico excessivo --- ## Contexto Brasil/LATAM O Brasil tem uma das maiores populações de usuários de redes sociais do mundo - mais de 100 milhões no LinkedIn, dominância do WhatsApp e Instagram, e alta atividade no X. Esta exposição cria uma superfície de reconhecimento excepcionalmente ampla para adversários. **LinkedIn no Brasil:** Profissionais de TI brasileiros frequentemente listam tecnologias muito específicas em seus perfis - nomes de sistemas ERP, plataformas bancárias, ferramentas de monitoramento industrial - o que fornece inteligência técnica valiosa para adversários. Grupos financeiros criminosos brasileiros utilizam LinkedIn tanto para reconhecimento de alvos corporativos quanto para recrutamento de insiders. **WhatsApp como vetor:** Grupos de WhatsApp de comunidades profissionais (DevSecOps, SOC analysts, Red Teamers brasileiros) são vasculhados por adversários em busca de informações sobre vulnerabilidades discutidas informalmente, ferramentas utilizadas e até reclamações sobre controles de segurança específicos que revelam lacunas. **Grupos especializados em LATAM:** O [[g1052-contagious-interview|Contagious Interview]] tem aumentado sua presença em comunidades de desenvolvedores brasileiros, especialmente nas áreas de blockchain e fintech - dois setores em rápido crescimento no Brasil. Abordagens via LinkedIn e grupos do Telegram são documentadas. **Setor de Defesa e Governo:** Empresas do complexo industrial de defesa brasileiro (Embraer, Odebrecht Defesa, IMBEL) e funcionários do Ministério da Defesa e Itamaraty são alvos de reconhecimento sistemático por grupos de espionagem internacionais. A participação do Brasil em fóruns como BRICS, CELAC e negociações climáticas aumenta o interesse de atores estatais estrangeiros. > [!note] Caso Relevante - LATAM > Em 2024, múltiplas empresas de fintech brasileiras reportaram campanhas de abordagem via LinkedIn por supostos "headhunters" de empresas inexistentes. As conversas evoluíam para pedidos de demonstrações técnicas de sistemas proprietários. Padrão consistente com operações de espionagem industrial e coleta de propriedade intelectual. --- ## Referências - [MITRE ATT&CK - T1593.001: Social Media](https://attack.mitre.org/techniques/T1593/001/) - [Google TAG: EXOTIC LILY Initial Access Broker](https://blog.google/threat-analysis-group/exposing-initial-access-broker-with-ties-to-conti/) - [Mandiant: Kimsuky Social Media Reconnaissance](https://www.mandiant.com/resources/blog/north-korea-social-engineering) - [Microsoft: LinkedIn Fake Profile Campaign (ZINC/Lazarus)](https://www.microsoft.com/en-us/security/blog/2022/09/29/zinc-weaponizing-open-source-software/) - [CISA: North Korean Cyber Espionage via Social Media](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-187a) - [LinkedIn: Protecting Against State-Sponsored Actors](https://blog.linkedin.com/2019/october/18/addressing-state-sponsored-actors-on-linkedin) **Técnicas Relacionadas:** - [[t1583-001-domains|Domains]] (técnica pai) - [[t1598-phishing-for-information|T1598 - Phishing for Information]] (uso das informações coletadas) - [[t1598-001-spearphishing-service|T1598.001 - Spearphishing via Service]] (ataque via plataforma social) - [[t1585-establish-accounts|T1585 - Establish Accounts]] (criação de perfis falsos para elicitação) - [[t1586-compromise-accounts|T1586 - Compromise Accounts]] (comprometimento de contas legítimas) - [[t1596-search-open-technical-databases|T1596 - Search Open Technical Databases]] (complemento de reconhecimento) --- *Fonte: [MITRE ATT&CK - T1593.001](https://attack.mitre.org/techniques/T1593/001)*