# T1598.001 - Spearphishing Service ## Técnica Pai Esta é uma sub-técnica de [[t1598-phishing-for-information|T1598 - T1598 - Phishing for Information]]. ## Descrição **T1598.001 - Spearphishing Service** é uma sub-técnica de [[t1598-phishing-for-information|T1598 - Phishing for Information]] na qual adversários utilizam serviços de terceiros - como redes sociais (LinkedIn, Twitter/X, Instagram, Facebook), serviços de mensageria (WhatsApp, Telegram, Discord, Slack) e plataformas de webmail pessoal (Gmail, Outlook.com, Yahoo Mail) - para enviar mensagens direcionadas a indivíduos específicos com o objetivo de **coletar informações sensíveis**. Esta técnica opera na fase de **Reconhecimento** e difere do spearphishing para acesso inicial (T1566) porque o objetivo primário é **obter informações** - não entregar malware ou código malicioso. A distinção fundamental desta técnica é o vetor: ao usar **serviços de terceiros** ao invés do e-mail corporativo da organização, o adversário contorna controles de segurança corporativos como gateways de e-mail, Secure Email Gateways (SEG), filtros de spam empresariais e políticas DLP. Mensagens chegando via LinkedIn InMail, WhatsApp pessoal do colaborador ou Discord pessoal estão fora do perímetro de monitoramento corporativo convencional. O objetivo típico é extrair: - **Credenciais**: convencer a vítima a "verificar" seu acesso a um sistema via link fraudulento - **Informações sobre infraestrutura**: questionar sobre tecnologias utilizadas, fornecedores, políticas de segurança, configurações - **Dados pessoais para engenharia social**: nome completo, cargo, ramal, e-mail corporativo, agenda - **Informações sobre processos internos**: fluxos de aprovação, fornecedores críticos, projetos em andamento - utilizáveis em ataques de Business Email Compromise (BEC) posteriores - **Relações de confiança**: identificar quem reporta a quem, quais são os contatos-chave para ataques subsequentes de [[t1656-impersonation|impersonation]] Esta técnica é frequentemente combinada com [[t1585-establish-accounts|T1585 - Establish Accounts]] (criação de perfis falsos de recrutadores, pesquisadores ou parceiros de negócio) e aproveita informações previamente coletadas via [[t1593-001-social-media|T1593.001 - Social Media]] ou [[t1594-search-victim-owned-websites|T1594 - Search Victim-Owned Websites]] para personalizar as abordagens e aumentar a credibilidade. --- ## Como Funciona ### 1. Criação de Perfis Falsos e Personas A base dessa técnica é a construção de uma identidade falsa convincente. O adversário cria perfis em plataformas sociais que pareçam legítimos: - **LinkedIn**: perfis de recrutadores de grandes consultorias (Deloitte, KPMG, Accenture), headhunters, pesquisadores acadêmicos ou representantes de fornecedores conhecidos. Perfis com fotos realistas (frequentemente geradas por IA via GAN), histórico de trabalho coerente e conexões comuns com a vítima - **WhatsApp**: utilizando números virtuais (VoIP/VOIP numbers) e fotos de perfil convincentes para simular contatos de negócio, clientes ou parceiros - **Discord/Telegram**: em grupos de tecnologia e segurança, adversários criam contas que simulam pesquisadores, jornalistas ou membros da comunidade com reputação estabelecida ### 2. Pesquisa e Personalização do Alvo Antes do contato, o adversário realiza pesquisa extensiva sobre a vítima usando técnicas de [[t1593-001-social-media|busca em redes sociais]] e [[t1596-search-open-technical-databases|bases de dados abertas]]: - Perfil público no LinkedIn: cargo, empresa, tempo de empresa, projetos mencionados, publicações, endossos de habilidades - Participação em eventos, conferências e webinars (frequentemente divulgados publicamente) - Artigos e publicações técnicas que revelam tecnologias que domina - Conexões em comum que podem ser exploradas como "ponte" de confiança ### 3. Estabelecimento de Rapport A abordagem raramente é direta. O adversário constrói relacionamento gradualmente: - **Fase 1 (Contato inicial)**: mensagem genérica de networking ou oportunidade de emprego relevante ao perfil da vítima - **Fase 2 (Rapport)**: conversas de interesse mútuo, troca de informações sobre tecnologia, segurança ou mercado - aparentemente inofensivas - **Fase 3 (Elicitação)**: perguntas naturais sobre trabalho atual, tecnologias utilizadas, processos internos - enquadradas como interesse profissional legítimo - **Fase 4 (Extração)**: solicitação de link, documento, credencial ou informação específica com pretexto convincente ### 4. Pretextos Comuns Observados **Recrutamento**: Adversários fingem ser recrutadores oferecendo oportunidades atraentes. Solicitam currículo detalhado, portfólio técnico ou acesso a sistemas que a vítima gerencia "para avaliar senioridade". Grupos como [[g0032-lazarus-group|Lazarus Group]] são notórios por campanhas de recrutamento falso (Operation Dream Job) específicamente para extrair informações técnicas de alvos de defesa e fintech. **Colaboração em pesquisa/artigo**: O adversário se apresenta como jornalista, pesquisador acadêmico ou analista de mercado preparando um relatório sobre o setor. Solicita comentários sobre tecnologias utilizadas, incidentes passados e configurações de segurança - tudo sob o guarda-chuva de "background research" para publicação. **Suporte técnico falso de fornecedor**: Simula ser um engenheiro de suporte de um fornecedor crítico (Microsoft, Fortinet, Cisco) que precisa verificar informações de configuração. Pode solicitar logs, dados de configuração ou credenciais temporárias sob pretexto de diagnóstico. **Oferta de serviço/parceria**: Em países como o Brasil onde as relações de negócio são fortemente baseadas em confiança pessoal, adversários exploram o perfil cultural criando oportunidades de negócio aparentemente legítimas que progressivamente extraem informações sensíveis. --- ## Attack Flow ```mermaid graph TB A["Reconhecimento Inicial<br/>T1593.001 - Social Media<br/>T1594 - Victim-Owned Websites"] --> B["Criação de Persona<br/>T1585 - Establish Accounts<br/>Perfil falso no LinkedIn/WhatsApp"] B --> C["Seleção do Alvo<br/>Funcionário com acesso<br/>relevante identificado"] C --> D["Contato Inicial<br/>InMail / WhatsApp / Discord<br/>Pretexto de networking/emprego"] D --> E["Construção de Rapport<br/>Conversas de interesse mútuo<br/>Estabelecimento de confiança"] E --> F["Elicitação de Informações<br/>Perguntas técnicas naturais<br/>Extração gradual de intel"] F --> G{"Objetivo<br/>Alcançado?"} G -->|"Credenciais"| H["Acesso a Sistemas<br/>T1078 - Valid Accounts<br/>Utilização das credenciais"] G -->|"Infraestrutura"| I["Varredura Direcionada<br/>T1595.002 - Vuln. Scanning<br/>Contra sistemas identificados"] G -->|"Processos Internos"| J["BEC / Fraude<br/>T1656 - Impersonation<br/>Ataque de BEC com contexto"] G -->|"Não Completo"| K["Escalada ou<br/>Novo Vetor<br/>E-mail / Telefone / Outro serviço"] ``` --- ## Exemplos de Uso ### Lazarus Group - Operation Dream Job O grupo norte-coreano [[g0032-lazarus-group|Lazarus Group]] é o exemplo mais documentado de uso sistemático de spearphishing via serviços de terceiros para reconhecimento. A **Operation Dream Job** consistia em criar perfis falsos de recrutadores de empresas de defesa e tecnologia (Boeing, Lockheed Martin, BAE Systems) no LinkedIn e WhatsApp, abordando engenheiros e especialistas em segurança com ofertas de emprego atraentes. O processo gradualmente extraía informações sobre projetos em que trabalhavam, tecnologias utilizadas e configurações de sistemas - informações utilizadas em ataques posteriores a contratantes de defesa americanos e europeus. A campanha foi adaptada para alvos financeiros, especialmente exchanges de criptomoedas, onde "gestores de portfólio" falsos abordavam funcionários solicitando informações sobre sistemas de custódia e chaves. ### Ataques a Funcionários do Setor Financeiro Brasileiro No Brasil, o [[sector-financeiro|setor financeiro]] é alvo recorrente de spearphishing via WhatsApp e LinkedIn. Casos documentados incluem: - Recrutadores falsos abordando analistas de segurança de grandes bancos solicitando "demonstrações" de sistemas de detecção que revelam capacidades e gaps de cobertura - Perfis de "consultores" de tecnologia abordando gestores de TI de fintechs para obter informações sobre arquitetura de APIs PIX e integrações com o Banco Central - Adversários fingindo ser representantes do BACEN ou da FEBRABAN solicitando informações regulatórias que revelam detalhes operacionais sensíveis ### Espionagem Industrial via LinkedIn Grupos de espionagem industrial (não necessáriamente APT estatal) utilizam LinkedIn para abordar engenheiros de empresas de energia, mineração e agro no Brasil - setores de alta relevância econômica. O pretexto de oportunidades de emprego no exterior (especialmente Europa e EUA) é eficaz dado o apelo de internacionalização de carreira. Informações sobre tecnologias proprietárias, processos industriais e contratos com governo são os alvos principais. ### Phishing de Credenciais via Discord em Comunidades de Segurança Dentro de comunidades de segurança brasileiras no Discord (grupos de CTF, threat hunting, bug bounty), adversários criam contas de "pesquisadores" que gradualmente estabelecem confiança antes de enviar links para "ferramentas exclusivas" ou "amostras de malware para análise" - na realidade, páginas de phishing de credenciais GitHub, GitLab ou plataformas de bug bounty. --- ## Detecção A detecção de spearphishing via serviços de terceiros é fundamentalmente difícil porque ocorre em plataformas fora do controle corporativo. As estrategias eficazes focam em **conscientização, monitoramento de comportamento pós-comprometimento e proteção de identidade**: ### Indicadores Comportamentais (Difíceis de Detectar Automaticamente) - Funcionários reportando contatos suspeitos via LinkedIn/WhatsApp solicitando informações técnicas - Criação de contas em plataformas usando informações de funcionários da empresa (detectável via threat intel) - Perfis falsos utilizando fotos de funcionários reais da organização - Conversas suspeitas de recrutamento que solicitam documentação técnica interna ### Detecção Técnica Pós-Comprometimento ```yaml title: Credential Access Following Social Media Contact status: experimental description: > Detecta acesso a sistemas após padrão incomum de autenticação que pode indicar credenciais comprometidas via engenharia social em serviços externos. Correlacionar com relatórios de contatos suspeitos. logsource: category: authentication product: windows detection: selection_unusual_auth: EventID: - 4624 - 4625 LogonType: 3 AuthenticationPackageName: NTLM filter_known_src: IpAddress|cidr: - '10.0.0.0/8' - '192.168.0.0/16' selection_off_hours: TimeGenerated|timeframe: '00:00-06:00' condition: selection_unusual_auth and not filter_known_src and selection_off_hours level: medium tags: - attack.reconnaissance - attack.t1598.001 - attack.credential-access falsepositives: - Funcionários em fuso horário diferente - VPN de funcionários remotos com IPs externos ``` ### Monitoramento de Threat Intelligence - Monitorar registros de domínios lookalike da organização (typosquatting) - frequentemente criados em conjunto com personas falsas - Verificar Certificaté Transparency logs para certificados emitidos para domínios que imitam a organização - Alertas em plataformas como LinkedIn sobre perfis que mencionam a empresa sem vínculo oficial (via LinkedIn Sales Navigator ou ferramentas de brand monitoring como **Recorded Future Brand Intelligence**) ### Fontes de Dados Recomendadas - **Relatos de funcionários**: canal de reporte de incidentes de engenharia social - **OSINT sobre personas falsas**: busca reversa de imagens usadas em perfis suspeitos - **IAM/SIEM**: anomalias de autenticação pós-engenharia social - **Email Security Gateway**: e-mails de serviços externos (Google, LinkedIn) encaminhando conversas suspeitas - **Endpoint DLP**: transferência incomum de documentos técnicos após contatos externos --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1017 | [[m1017-user-training\|M1017 - User Training]] | Treinamento obrigatório sobre engenharia social com foco em spearphishing via redes sociais; simulações de tentativas de elicitação via LinkedIn/WhatsApp; conscientização sobre o conceito de "quanto devo compartilhar com estranhos online" | | - | Política de Compartilhamento de Informações | Definir claramente quais informações técnicas funcionários estão e não estão autorizados a compartilhar em conversas externas não verificadas; criar processo para válidar identidade de recrutadores e parceiros | | - | Higiene de Perfis Públicos | Orientar funcionários a limitarem informações técnicas específicas em perfis LinkedIn (evitar listar versões de sistemas, fornecedores específicos, projetos sensíveis em andamento) | | - | Canal de Reporte Rápido | Implementar canal simples (ex: botão "Reportar Suspeito" no WhatsApp corporativo ou Slack) para funcionários reportarem contatos suspeitos sem burocracia - velocidade de reporte é crítica | | - | Autenticação Multi-Fator Universal | MFA em todos os sistemas críticos garante que mesmo que credenciais sejam extraídas via engenharia social, o acesso não sejá trivial sem o segundo fator | | - | Verificação de Identidade de Recrutadores | Processo formal: antes de discutir qualquer informação técnica com recrutadores externos, verificar via canal oficial da empresa contratante (não pelo contato fornecido pelo suposto recrutador) | --- ## Contexto Brasil/LATAM O Brasil apresenta vulnerabilidades culturais e tecnológicas específicas que tornam esta técnica particularmente eficaz no contexto regional: ### WhatsApp como Vetor Dominante O Brasil é um dos países com maior penetração de WhatsApp do mundo - a plataforma é utilizada extensamente em contextos profissionais, diferentemente de outros países onde e-mail e Teams/Slack dominam a comunicação corporativa. Essa "informalização" das comúnicações profissionais via WhatsApp cria um vetor de engenharia social extremamente eficaz: funcionários estão acostumados a receber e responder solicitações técnicas via WhatsApp, tornando difícil distinguir comúnicações legítimas de ataques de elicitação. **Casos documentados no Brasil incluem:** - Golpes de "sequestro de WhatsApp" que começam com engenharia social para obter código de verificação - Grupos de WhatsApp falsos de "suporte TI corporativo" onde atores maliciosos se inserem para coletar credenciais e informações de configuração - Adversários clonando números de gestores para comúnicar com funcionários e solicitar transferências ou acesso a sistemas (fraude BEC via WhatsApp) ### LinkedIn e o Mercado de Talentos em Segurança O mercado de segurança cibernética no Brasil vive escassez crônica de talentos, tornando funcionários de segurança altamente receptivos a abordagens de recrutamento. Profissionais de SOC, pentest e threat intelligence que recebem InMails com propostas atraentes têm alta probabilidade de engajamento. Adversários exploram isso específicamente para alvos com acesso privilegiado a sistemas críticos. ### Engenharia Social Cultural: "Jeitinho Brasileiro" Pesquisadores de engenharia social destacam que a cultura brasileira de relacionamento pessoal, cordialidade e reciprocidade pode tornar indivíduos mais vulneráveis a técnicas de rapport building. A dificuldade de "dizer não" a solicitações de conexões de "conhecidos em comum" no LinkedIn é um vetor de exploit cultural documentado. ### Impersonação de Órgãos Regulatórios No Brasil, a impersonação de órgãos como BACEN, CVM, ANATEL, ANPD (proteção de dados) e CADE é um pretexto eficaz para elicitação de informações de compliance e infraestrutura. Funcionários das áreas de compliance, jurídico e TI são abordados com alegadas "verificações regulatórias" que extraem informações sensíveis sobre sistemas e processos. ### LGPD e Engenharia Social A Lei Geral de Proteção de Dados (LGPD) criou inadvertidamente um novo vetor: adversários se apresentam como "auditores de LGPD" ou "DPO consultores" para solicitar mapeamentos de dados, inventários de sistemas que processam dados pessoais e arquiteturas de segurança - informações de alto valor para planejamento de ataques subsequentes. ### Recomendações Específicas para o Brasil - Adotar política de "ligação de verificação" - antes de compartilhar qualquer informação técnica com solicitações externas não esperadas via WhatsApp/LinkedIn, ligar para o número oficial da empresa do solicitante para confirmar identidade - Treinamentos com exemplos específicos do contexto brasileiro (recrutadores falsos de empresas conhecidas, impersonação de órgãos regulatórios, golpes via WhatsApp) - Incluir simulações de spearphishing via LinkedIn no programa de awareness de segurança (não apenas e-mail phishing) - Orientar funcionários: informações sobre [[sector-financeiro|sistemas financeiros]], [[sector-governo|órgãos governamentais]] e infraestrutura crítica NUNCA devem ser discutidas em plataformas não corporativas sem verificação formal de identidade --- ## Referências - [MITRE ATT&CK - T1598.001](https://attack.mitre.org/techniques/T1598/001/) - [CISA - Phishing for Information](https://www.cisa.gov/topics/cyber-threats-and-advisories/phishing) - [Mandiant - Operation Dream Job (Lazarus Group LinkedIn)](https://www.mandiant.com/resources/blog/north-korea-fake-job-offers) - [CERT.br - Engenharia Social e Phishing](https://cartilha.cert.br/golpes/) - [ANPD - Guia de Segurança para Dados Pessoais](https://www.gov.br/anpd/) - [LinkedIn Security Blog - Fake Profile Detection](https://www.linkedin.com/blog/member/trust-and-safety/stopping-fake-accounts) - [FBI - Business Email Compromise via Social Engineering](https://www.ic3.gov/Media/Y2023/PSA230609) - [MITRE ATLAS - Social Engineering via AI-Generated Personas](https://atlas.mitre.org/) - [[m1017-user-training|M1017 - User Training]] - [[t1585-establish-accounts|T1585 - Establish Accounts]] - [[t1593-001-social-media|T1593.001 - Social Media]] - [[g0032-lazarus-group|Lazarus Group]] - [[t1566-phishing|T1566 - Phishing]]