# T1598.004 - Spearphishing Voice ## Descrição Spearphishing por voz - também conhecida como **vishing** (voice phishing) - é uma técnica de reconhecimento na qual adversários utilizam chamadas telefônicas para eliciar informações sensíveis de alvos específicos. Ao contrário do phishing tradicional por e-mail, o vishing explora a confiança instintiva que as pessoas tendem a depositar em interações verbais em tempo real, tornando-o uma das formas mais eficazes de engenharia social disponíveis para agentes de ameaça. O objetivo primário na fase de reconhecimento é obter informações que permitam avanços posteriores na cadeia de ataque - como credenciais, nomes de sistemas internos, estrutura organizacional, procedimentos de autenticação e dados de segurança. O vishing é frequentemente executado com alto grau de personalização. Antes de realizar a chamada, o adversário pode ter coletado informações sobre a vítima por meio de [[t1593-search-open-websitesdomains|busca em sites e domínios abertos]], [[t1594-search-victim-owned-websites|pesquisa em sites da própria organização-alvo]] ou [[t1591-gather-victim-org-information|coleta de informações sobre a organização]], construindo um pretexto convincente. O atacante pode se passar por suporte técnico, auditor interno, representante de fornecedor de confiança ou colega de trabalho, criando uma narrativa que justifique a solicitação de informações sensíveis. Uma variação crítica é o **callback phishing**: a vítima recebe primeiro um e-mail ou SMS legítimo solicitando que ligue para um número de telefone. Ao ligar, a vítima acredita estar tomando uma ação segura e proativa, enquanto na verdade está contatando diretamente o adversário. Essa técnica inverte a lógica de desconfiança - a vítima iniciou o contato - reduzindo drasticamente a resistência psicológica. Grupos como [[g1015-scattered-spider|Scattered Spider]] e [[g1004-lapsus|LAPSUS$]] utilizaram variantes dessa abordagem em ataques de alto perfil contra empresas como MGM Resorts, Caesars Entertainment, Okta e NVIDIA. ## Como Funciona A execução técnica do vishing combina infraestrutura de telecomunicação com engenharia social avançada. O processo segue etapas bem definidas: **Fase 1 - Pesquisa pré-ataque:** O adversário identifica o alvo e coleta informações públicas sobre a organização - estrutura hierárquica (via LinkedIn), nomes de funcionários de TI/helpdesk, fornecedores de identidade utilizados (Okta, Microsoft Entra ID), processos de suporte e redefinição de senhas. Ferramentas de OSINT como [[t1596-search-open-technical-databases|pesquisa em bancos de dados técnicos abertos]] auxiliam nessa fase. **Fase 2 - Preparação da infraestrutura:** O adversário configura infraestrutura de spoofing de número de chamador (Caller ID Spoofing) para exibir um número legítimo - como o da TI interna ou de um fornecedor conhecido. Serviços de VoIP e plataformas de call center são amplamente utilizados para isso. Em operações mais sofisticadas, robocalls automatizados fazem a triagem inicial antes de transferir para um operador humano. **Fase 3 - Execução da chamada:** O adversário entra em contato com a vítima usando o pretexto preparado. Técnicas de manipulação psicológica comuns incluem: - **Urgência artificial:** "Sua conta está comprometida e precisamos verificar agora" - **Autoridade:** "Aqui é do departamento de segurança da informação" - **Reciprocidade:** "Estou te ajudando a evitar um bloqueio de conta" - **Intimidação velada:** "Se não confirmar agora, sua conta será bloqueada por 48 horas" **Fase 4 - Extração de informações:** Dependendo do objetivo, o adversário pode buscar credenciais diretas, códigos MFA/OTP (One-Time Password), informações sobre sistemas internos, nomes de colegas com acesso privilegiado, ou procedimentos de recuperação de conta. Em ataques documentados do [[g1015-scattered-spider|Scattered Spider]], o grupo frequentemente ligava diretamente para o helpdesk de TI se passando por funcionários, solicitando redefinição de MFA e recuperação de contas. **Fase 5 - Uso das informações:** As informações coletadas alimentam fases subsequentes do ataque - acesso inicial via credenciais obtidas, bypass de MFA, ou identificação de funcionários com acessos privilegiados para ataques de [[t1078-valid-accounts|Valid Accounts]]. ## Attack Flow ```mermaid graph TB A[OSINT - Coleta prévia<br/>LinkedIn, site corporativo, WHOIS] --> B[Identificação do alvo<br/>Helpdesk, TI, executivo] B --> C[Preparação do pretexto<br/>Fornecedor, suporte, auditor] C --> D[Infraestrutura de vishing<br/>VoIP, Caller ID Spoofing] D --> E{Vetor de contato} E --> F[Ligação direta<br/>Vishing tradicional] E --> G[E-mail/SMS + callback<br/>Callback phishing] F --> H[Engenharia social em tempo real<br/>Urgência + autoridade + confiança] G --> H H --> I{Informação obtida} I --> J[Credenciais diretas<br/>senha, PIN] I --> K[Código MFA/OTP<br/>bypass de autenticação] I --> L[Dados organizacionais<br/>nomes, sistemas, processos] J --> M[Acesso inicial<br/>T1078 Valid Accounts] K --> M L --> N[Novo ciclo de reconhecimento<br/>alvo mais privilegiado] M --> O[Comprometimento confirmado] N --> B ``` ## Exemplos de Uso **LAPSUS$ - Série de ataques 2021-2022:** O grupo [[g1004-lapsus|LAPSUS$]], composto majoritariamente por jovens do Reino Unido e Brasil, tornou o vishing sua técnica de assinatura. Em ataques contra Okta, NVIDIA, Samsung, Microsoft e T-Mobile, o grupo ligava para helpdesks corporativos se passando por funcionários legítimos, solicitando redefinição de MFA e acesso a sistemas internos. O sucesso consistente demonstrou que mesmo organizações com robustos controles técnicos podem ser vulneráveis a ataques puramente de engenharia social. A presença de membros brasileiros no grupo torna essa técnica especialmente relevante no contexto LATAM. **Scattered Spider - MGM Resorts (2023):** O grupo [[g1015-scattered-spider|Scattered Spider]] executou um dos ataques de vishing mais impactantes de 2023 contra a MGM Resorts International. Após pesquisa no LinkedIn para identificar um funcionário de TI, o grupo ligou para o helpdesk se passando por esse funcionário e obteve acesso ao sistema de identidade da empresa. O ataque resultou em perda estimada de US$ 100 milhões, interrupção de operações em cassinos de Las Vegas e exfiltração de dados de clientes. O mesmo grupo atacou a Caesars Entertainment usando técnica similar semanas antes. **Campanha contra provedores de identidade (2024):** Múltiplos grupos não atribuídos realizaram campanhas de vishing específicamente direcionadas a administradores de plataformas Okta, Azure AD e AWS IAM. Os atacantes, possuindo informações detalhadas sobre os procedimentos de suporte de cada plataforma, simulavam chamadas de suporte técnico dos próprios fornecedores, solicitando que administradores habilitassem configurações específicas que criavam backdoors de acesso. **Grupos brasileiros de fraude bancária:** No Brasil, grupos especializados em fraude bancária utilizam vishing em escala industrial contra clientes de bancos digitais. Operadores ligam se passando por analistas de segurança dos bancos Nubank, Inter e Itaú, alertando sobre "transações suspeitas" e orientando vítimas a instalar aplicativos de "proteção" que na realidade são RATs (Remote Access Trojans). Essa variante combina T1598.004 com [[t1204-user-execution|User Execution]] para comprometimento de dispositivos móveis. ## Detecção A detecção de vishing é fundamentalmente diferente de outras técnicas MITRE ATT&CK - não há artefatos técnicos diretos no endpoint ou na rede durante a chamada em si. A detecção depende de controles de processo, monitoramento comportamental pós-incidente e conscientização humana. ```yaml title: Suspicious Helpdesk Account Reset Following Unverified Identity Claim status: experimental logsource: category: application product: identity_provider detection: selection_reset: EventType: - 'user.mfa.factor.deactivaté' - 'user.account.reset_password' - 'user.mfa.factor.reset_all' Actor|contains: 'helpdesk' filter_normal: RequestContext.ipAddress|cidr: - '10.0.0.0/8' - '172.16.0.0/12' condition: selection_reset and not filter_normal level: high tags: - attack.reconnaissance - attack.t1598.004 - attack.initial_access - attack.t1078 ``` Indicadores comportamentais a monitorar: - Solicitações de redefinição de MFA fora do horário comercial normal - Resets de conta seguidos imediatamente de login de localização geográfica atípica - Múltiplas solicitações de helpdesk para o mesmo usuário em curto período - Login após reset de conta seguido de atividade de exfiltração (grandes volumes de download) - Tickets de helpdesk criados via telefone sem verificação de identidade secundária registrada ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1017-user-training\|M1017]] | User Training | Treinamento regular de conscientização focado específicamente em vishing, com simulações de chamadas maliciosas (vishing drills). Funcionários de helpdesk e TI devem receber treinamento especializado sobre procedimentos de verificação de identidade antes de realizar qualquer ação administrativa em conta de usuário | Além da mitigação MITRE, controles complementares recomendados: - Implementar **procedimentos de verificação out-of-band** para solicitações de redefinição de MFA - nunca resetar MFA com base apenas em ligação telefônica - Exigir que solicitações de helpdesk por telefone sejam seguidas de confirmação via e-mail corporativo antes de ação - Configurar alertas automáticos para o usuário quando MFA ou senha é redefinida por ação de helpdesk - Adotar autenticação resistente a phishing (FIDO2/Passkeys) que não possa ser extraída por vishing - Implementar políticas de **Zero Trust** que exijam reautenticação contínua baseada em risco comportamental ## Contexto Brasil/LATAM O Brasil é um dos países com maior volume de ataques de vishing e engenharia social por voz no mundo, tanto em contexto de crime cibernético direcionado a consumidores quanto em ataques corporativos sofisticados. A combinação de alta penetração de telefonia móvel, cultura de aténdimento telefônico e baixa maturidade geral em segurança cria um ambiente altamente propício para essa técnica. No cenário corporativo brasileiro, o vishing é frequentemente utilizado como vetor inicial por grupos de ransomware que operam na região. Grupos afiliados ao [[lockbit|LockBit]] e ao [[black-basta|Black Basta]] foram documentados usando engenharia social por telefone contra funcionários de empresas do setor de logística, varejo e financeiro no Brasil em 2024, com foco em obter credenciais de VPN e sistemas ERP como SAP. A presença do [[g1004-lapsus|LAPSUS$]] com membros brasileiros é particularmente notável: o grupo demonstrou que atacantes com boas habilidades de engenharia social em português conseguem contornar controles técnicos robustos. Isso reforça a necessidade de treinamentos de conscientização conduzidos em português e contextualizados para a realidade cultural brasileira - não apenas traduções de materiais internacionais. Organizações reguladas no Brasil - especialmente as sujeitas à [[lgpd|LGPD (Lei Geral de Proteção de Dados)]] - têm responsabilidade adicional de implementar controles contra vishing, pois violações de dados resultantes de engenharia social podem configurar negligência e resultar em sanções da [[anpd|ANPD (Autoridade Nacional de Proteção de Dados)]]. O [[sources|CERT.br]] públicou alertas específicos sobre campanhas de vishing em 2023 e 2024 visando o setor financeiro e órgãos do governo federal. ## Referências - **Técnica pai:** [[t1598-phishing-for-information|T1598 - Phishing for Information]] - **Técnicas de reconhecimento relacionadas:** - [[t1583-001-domains|Domains]] - [[t1591-gather-victim-org-information|T1591 - Gather Victim Org Information]] - [[t1594-search-victim-owned-websites|T1594 - Search Victim-Owned Websites]] - [[t1596-search-open-technical-databases|T1596 - Search Open Technical Databases]] - **Técnicas subsequentes habilitadas:** - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1656-impersonation|T1656 - Impersonation]] - [[t1204-user-execution|T1204 - User Execution]] - **Threat actors associados:** - [[g1004-lapsus|LAPSUS$]] - grupo com membros brasileiros, ataques a Okta, NVIDIA, Microsoft - [[g1015-scattered-spider|Scattered Spider]] - ataque MGM Resorts, Caesars Entertainment - **Mitigação:** [[m1017-user-training|M1017 - User Training]] - **Fonte oficial:** [MITRE ATT&CK - T1598.004](https://attack.mitre.org/techniques/T1598/004)