# T1598 - Phishing for Information > [!info] Visão Geral > **Tática:** Reconnaissance · **ID:** T1598 · **Versão MITRE:** 16.2 > Adversários enviam mensagens de phishing para **extrair informações sensíveis** (credenciais, estrutura interna, dados de funcionários) antes de lançar ataques mais profundos. O objetivo não é executar código malicioso - é coletar inteligência sobre o alvo. ## Descrição O **Phishing for Information** (T1598) representa uma fase de reconhecimento ativo na qual adversários utilizam comúnicações eletrônicas - e-mails, mensagens instantâneas, SMS, chamadas de voz - para enganar alvos e induzi-los a revelar informações sensíveis. Diferente do [[t1566-phishing|T1566 - Phishing]] clássico, cujo objetivo é a execução de código malicioso ou a instalação de malware, o T1598 foca exclusivamente na **coleta de dados**: credenciais de acesso, estrutura organizacional, nomes de sistemas internos, configurações de VPN, listas de contatos e qualquer outra informação que possa alimentar etapas posteriores de um ataque. Todas as formas de phishing são engenharia social entregue eletronicamente. O phishing direcionado, conhecido como **spearphishing**, tem como alvo um indivíduo, empresa ou setor específico. Ataques não direcionados, como campanhas massivas de coleta de credenciais, também se enquadram nesta técnica quando o objetivo é obtenção de informações. Os adversários frequentemente combinam T1598 com outras técnicas de reconhecimento, como [[t1593-001-social-media|T1593.001 - Social Media]] para levantar alvos de alto valor e com [[t1586-compromise-accounts|T1586 - Compromise Accounts]] para utilizar contas legítimas comprometidas como plataforma de envio, aumentando drasticamente a credibilidade das mensagens. O spoofing de identidade - via [[t1672-email-spoofing|Email Spoofing]] - é amplamente empregado para enganar tanto a vítima humana quanto as ferramentas automáticas de segurança. Técnicas de evasão avançadas incluem a manipulação de metadados e cabeçalhos de e-mail (ex.: [[t1564-008-email-hiding-rules|T1564.008 - Email Hiding Rules]]), tornando a detecção por sistemas de gateway mais difícil. Adversários sofisticados como [[g0007-apt28|APT28]] e [[g0094-kimsuky|Kimsuky]] constroem narrativas convincentes - fingindo ser RH, TI, fornecedores ou parceiros regulatórios - para justificar solicitações de informações aparentemente legítimas. ### Sub-técnicas - [[t1598-001-spearphishing-service|T1598.001 - Spearphishing Service]] - [[t1598-002-spearphishing-attachment|T1598.002 - Spearphishing Attachment]] - [[t1598-003-spearphishing-link|T1598.003 - Spearphishing Link]] - [[t1598-004-spearphishing-voice|T1598.004 - Spearphishing Voice]] ## Como Funciona O T1598 opera em múltiplos vetores e fases, sempre com o objetivo de extrair informações sem acionar alarmes imediatos: **1. Preparação do pretexto:** O adversário pesquisa a vítima utilizando fontes abertas (OSINT) - especialmente [[t1593-001-social-media|redes sociais]], LinkedIn, sites corporativos e registros públicos - para construir uma narrativa crível. Quanto mais personalizada a mensagem, maior a taxa de sucesso. **2. Estabelecimento de infraestrutura:** Domínios de aparência legítima são registrados (ex.: `suporte-rh-empresa[.]com`), contas em plataformas populares são criadas ou comprometidas via [[t1585-establish-accounts|T1585 - Establish Accounts]], e e-mails são configurados para passar em verificações SPF/DKIM básicas. **3. Contato inicial:** A mensagem é enviada com um pretexto convincente - verificação de acesso, atualização de cadastro, pesquisa de satisfação, notificação de segurança urgente. O tom é frequentemente de urgência ou autoridade para reduzir o senso crítico do alvo. **4. Coleta de informações:** A vítima é direcionada a um formulário web, página de login falsa ou simplesmente responde ao e-mail com as informações solicitadas. Pixels de rastreamento ("web bugs") embutidos nas mensagens também coletam metadados como endereço IP, cliente de e-mail e horário de abertura. **5. Utilização dos dados coletados:** As informações obtidas alimentam fases posteriores - acesso inicial via [[t1566-phishing|Phishing]] com credenciais válidas, movimentação lateral, ou refinamento de novos ataques de engenharia social. --- ## Attack Flow ```mermaid graph TB A["🔍 Reconhecimento OSINT<br/>LinkedIn, redes sociais, site corporativo"] --> B["🏗️ Preparação de Infraestrutura<br/>Domínio typosquatting, conta falsa, e-mail spoofado"] B --> C["✉️ Envio da Mensagem<br/>E-mail, SMS, mensageria - pretexto convincente"] C --> D{"Vítima interage?"} D -->|"Clica no link"| E["🌐 Site Falso / Formulário de Coleta<br/>Clone de portal corporativo ou externo"] D -->|"Responde ao e-mail"| F["📨 Resposta Direta<br/>Credenciais, dados pessoais, estrutura interna"] D -->|"Abre anexo"| G["📎 Coleta via Documento<br/>Formulário PDF, macro, metadados"] E --> H["🗂️ Dados Coletados<br/>Credenciais, tokens, estrutura organizacional"] F --> H G --> H H --> I["⚡ Próxima Fase do Ataque<br/>Acesso inicial, spearphishing avançado, intrusão"] ``` --- ## Exemplos de Uso ### Kimsuky - Campanhas contra pesquisadores e governo sul-coreano O grupo norte-coreano [[g0094-kimsuky|Kimsuky]] é notório por campanhas de T1598 altamente sofisticadas. O grupo frequentemente se passa por jornalistas, acadêmicos ou think tanks para solicitar entrevistas ou revisões de documentos a alvos de alto valor - analistas de política externa, funcionários governamentais e pesquisadores de defesa. As mensagens são redigidas com linguagem precisa e referências a eventos reais para aumentar a credibilidade. O objetivo primário é obter credenciais de acesso a sistemas governamentais e coletar informações sobre política de segurança nacional. ### APT28 (Fancy Bear) - Operações de coleta pré-eleitorais O grupo russo [[g0007-apt28|APT28]], vinculado ao GRU, empregou extensivamente T1598 em operações de interferência eleitoral. Em campanhas direcionadas a partidos políticos e think tanks, o grupo enviou e-mails fingindo ser administradores de TI solicitando "verificação de conta" ou "atualização de segurança". Os links direcionavam para páginas de login falsas do Google ou Microsoft que capturavam credenciais em tempo real e as repassavam via proxy para o serviço legítimo, deixando a vítima sem suspeitar da intrusão. ### Scattered Spider - Vishing corporativo de alto nível O grupo [[g1015-scattered-spider|Scattered Spider]] (também conhecido como UNC3944) combina T1598 com vishing (T1598.004) em ataques altamente elaborados contra grandes corporações. O grupo liga para funcionários de help desk fingindo ser colaboradores em necessidade urgente de reset de credenciais MFA, utilizando informações pessoais coletadas via OSINT de redes sociais para aumentar a credibilidade. Esta abordagem resultou em comprometimentos de empresas como MGM Resorts e Caesars Entertainment em 2023. ### ZIRCONIUM - Coleta contra diplomatas e organizações internacionais O grupo chinês [[g0128-zirconium|ZIRCONIUM]] (APT31) utiliza T1598 extensivamente contra diplomatas, organizações internacionais e representações governamentais. Mensagens se passam por convites para conferências, solicitações de comentários sobre documentos de política, ou pesquisas acadêmicas. O grupo coleta informações sobre estruturas organizacionais, calendários de reuniões e contatos que facilitam campanhas de acesso inicial subsequentes. --- ## Detecção A detecção de T1598 é intrinsecamente difícil porque ocorre fora do perímetro corporativo - as mensagens chegam pela internet e as vítimas podem responder via canais pessoais. O foco deve ser em anomalias nos padrões de comúnicação e em indicadores de comprometimento de credenciais subsequente. ### Regra Sigma - Detecção de Acesso de Credenciais Suspeitas Pós-Phishing ```yaml title: Credential Use After Phishing Campaign Indicator status: experimental description: | Detecta logins bem-sucedidos de IPs fora do padrão normal do usuário, potencialmente indicando uso de credenciais coletadas via phishing for information. logsource: category: authentication product: windows detection: selection: EventID: - 4624 - 4648 LogonType: 3 filter_known: IpAddress|startswith: - '10.' - '172.16.' - '192.168.' condition: selection and not filter_known level: medium tags: - attack.reconnaissance - attack.t1598 fields: - EventID - SubjectUserName - IpAddress - WorkstationName - LogonType falsepositives: - Usuários em viagem ou trabalho remoto - VPNs corporativas com IPs externos ``` ### Regra Sigma - Acesso a Domínios de Coleta de Credenciais ```yaml title: Access to Credential Harvesting Infrastructure status: experimental description: | Detecta requisições DNS ou HTTP para domínios com padrões típicos de infraestrutura de phishing for information (typosquatting, domínios novos). logsource: category: dns product: zeek detection: selection_patterns: query|contains: - '-verify' - '-login' - '-secure' - '-account' - '-updaté' selection_tld: query|endswith: - '.click' - '.xyz' - '.top' - '.cc' condition: selection_patterns or selection_tld level: low tags: - attack.reconnaissance - attack.t1598 falsepositives: - Serviços legítimos com domínios similares ``` ### Indicadores Comportamentais > [!warning] Sinais de Alerta > - E-mails solicitando credenciais, tokens OTP ou informações de autenticação MFA > - Mensagens com urgência artificial ("sua conta será suspensa em 24h") > - Links para domínios registrados recentemente (< 30 dias) similares ao domínio corporativo > - Pixels de rastreamento em e-mails de remetentes desconhecidos > - Múltiplas mensagens de "verificação" chegando ao mesmo funcionário em curto período --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1017-user-training\|M1017]] | User Training | Treinamento regular de conscientização em engenharia social. Simulações de phishing mensais com feedback imediato para funcionários que clicam. Foco especial em C-Suite, RH, TI e financeiro - alvos primários. | | [[m1054-software-configuration\|M1054]] | Software Configuration | Configurar filtros de e-mail avançados (DMARC, DKIM, SPF) para rejeitar spoofing. Habilitar verificação de links em tempo real. Bloquear acesso a domínios registrados há menos de 30 dias. | ### Controles Adicionais Recomendados - **Autenticação multifator resistente a phishing:** Implementar chaves de hardware FIDO2/WebAuthn (ex.: YubiKey) em vez de OTP por SMS ou app, que podem ser capturados em ataques AiTM. - **Gestão de identidade privilegiada:** Separar contas administrativas de contas de e-mail - comprometimento de uma não compromete a outra. - **Monitoramento de registro de domínios:** Alertas automáticos para domínios similares ao corporativo registrados por entidades desconhecidas. - **Política de não divulgação:** Treinamento explícito de que equipes de TI **nunca** solicitam credenciais por e-mail ou telefone. --- ## Contexto Brasil/LATAM O Brasil e a América Latina são alvos recorrentes de campanhas T1598, com particularidades regionais que aumentam a eficácia dos ataques: **Setor financeiro:** Instituições bancárias brasileiras enfrentam campanhas intensas de coleta de credenciais, frequentemente disfarçadas como comúnicações de órgãos reguladores (Banco Central, CVM, Receita Federal). A [[t1598-003-spearphishing-link|T1598.003]] via SMS (smishing) é especialmente prevalente no Brasil, explorando a alta taxa de uso de smartphones para banking móvel. **Setor governo e diplomacia:** Grupos de espionagem com interesse na política externa brasileira - incluindo atores vinculados a potências ocidentais, Rússia e China - utilizam T1598 para abordar diplomatas, funcionários do Itamaraty e assessores legislativos. Conferências regionais como o BRICS fornecem pretextos temáticos convincentes. **Operações de comprometimento de e-mail corporativo (BEC):** Grupos de crime financeiro baseados no Brasil e na Nigéria combinam T1598 com fraude BEC, coletando primeiro informações sobre processos financeiros internos via phishing de informações antes de executar desvios. O prejuízo estimado para empresas brasileiras com BEC supera R$ 800 milhões anuais. **Campanha Contagious Interview (LATAM):** O grupo [[g0094-kimsuky|Kimsuky]] e variantes utilizam convites de emprego falsos em plataformas como LinkedIn para abordar profissionais de tecnologia em grandes empresas brasileiras, coletando informações sobre infraestrutura interna durante supostas "entrevistas técnicas". > [!tip] Recomendação LATAM > Organizações brasileiras devem implementar campanhas de simulação de phishing com pretextos culturalmente relevantes - comúnicações do Banco Central, ANATEL, Receita Federal, e convites para eventos regionais de segurança como o H2HC. Attackers conhecem bem o contexto local e adaptam suas campanhas. --- ## Referências - [MITRE ATT&CK - T1598: Phishing for Information](https://attack.mitre.org/techniques/T1598/) - [CISA: Phishing Guidance - Stopping the Attack Cycle at Phase One](https://www.cisa.gov/sites/default/files/2023-10/PHISHING_GUIDANCE_STOPPING_THE_ATTACK_CYCLE_AT_PHASE_ONE_508C.PDF) - [Mandiant: APT28 - Phishing Campaigns](https://www.mandiant.com/resources/blog/apt28-targets-political-entities) - [Microsoft MSTIC: ZIRCONIUM (APT31) TTPs](https://www.microsoft.com/en-us/security/blog/2021/03/02/new-nation-state-cyberattacks/) - [CrowdStrike: Scattered Spider Deep Dive](https://www.crowdstrike.com/blog/scattered-spider-identity-based-attack-chains/) - [CERT.br: Estatísticas de Phishing no Brasil 2025](https://www.cert.br/stats/) **Técnicas Relacionadas:** - [[t1566-phishing|T1566 - Phishing]] (execução de código, vs. coleta de informação) - [[t1593-001-social-media|T1593.001 - Social Media]] (reconhecimento passivo para alimentar T1598) - [[t1586-compromise-accounts|T1586 - Compromise Accounts]] (contas comprometidas usadas como plataforma) - [[t1585-establish-accounts|T1585 - Establish Accounts]] (criação de contas falsas para engenharia social) - [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] (objetivo pós-coleta de credenciais) --- *Fonte: [MITRE ATT&CK - T1598](https://attack.mitre.org/techniques/T1598)*