Tank · Code Alliance Developers
Termux Arsenalby Tank · Code Alliance

Leitura técnica · use o conhecimento de forma ética e autorizada

← estudos
Phishing10 min · avançado · atualizado 2026-06-29

Phishing moderno: anatomia, kits e defesa

Como kits AiTM (Evilginx, Modlishka) contornam MFA por session-hijacking, e o que realmente bloqueia — FIDO2, conditional access, DMARC estrito.

🎧 audiobook · nível 1

Phishing moderno: anatomia, kits e defesa

1/1
nível 1 · introdução acessívelnível 2 · em brevenível 3 · em breve

O salto de qualidade: AiTM

Phishing tradicional copia uma página de login. AiTM (Adversary-in-the-Middle) faz proxy reverso transparente: o usuário fala com o site real através do servidor do atacante, que captura o cookie de sessão DEPOIS do MFA. TOTP e push não protegem — o cookie já está autenticado.

Etapas de uma campanha (visão defensiva)

  1. Aquisição de domínio similar (typosquatting, IDN, TLD barato).
  2. Cert TLS via Let's Encrypt — visualmente idêntico ao real.
  3. Deploy de Evilginx/Modlishka com phishlet do alvo.
  4. Envio: email com pretexto (RH, fatura, MFA reset) ou SMS.
  5. Vítima loga, MFA passa, cookie é exfiltrado e usado pelo atacante.
  6. Persistência: criar app password, registrar dispositivo MFA do atacante.

O que REALMENTE bloqueia AiTM

FIDO2/WebAuthn (passkeys com bind ao origin), Conditional Access exigindo dispositivo gerenciado, e detecção de impossible travel + new device. TOTP/push isolados não bastam.

Sinais de detecção

  • Login bem-sucedido seguido em segundos por registro de novo MFA.
  • User-Agent inconsistente entre auth e primeira ação.
  • ASNs de hospedagem (DigitalOcean, OVH) em logins corporativos.
  • DMARC/DKIM falhando em remetentes que imitam o domínio.

Higiene de email do lado do dono do domínio

; SPF restritivo
empresa.com. TXT "v=spf1 include:_spf.google.com -all"

; DKIM com seletor por provedor (configurado no painel)

; DMARC reject + relatório
_dmarc.empresa.com. TXT "v=DMARC1; p=reject; rua=mailto:dmarc@empresa.com; adkim=s; aspf=s"

Ferramentas relacionadas

  • Evilginx2estudar phishlets em laboratório próprio
  • GoPhishsimulações autorizadas de awareness

Template OffSec · aplicar antes de rodar

Objetivo → Preparação → Execução → Evidência → Ética

→ guia do lab

Objetivo

Reconhecer padrões técnicos e psicológicos de phishing para treinar detecção e resposta — nunca para operar em terceiros sem autorização contratual (red team formal).

Pré-requisitos

  • Contrato de red team ou treinamento interno assinado
  • Domínio de teste registrado e isolado da marca real
  • GoPhish/Evilginx2 rodando em VM dedicada
  • Landing page e template revisados pelo jurídico

Passos

  1. Definir persona-alvo e vetor (e-mail, SMS, WhatsApp)
  2. Registrar domínio look-alike + certificado + SPF/DKIM
  3. Subir landing clone e servidor de captura em VPS isolada
  4. Disparar em wave pequena, medir CTR e credenciais capturadas
  5. Encerramento: destruir infraestrutura e entregar relatório com IoCs

Evidências a coletar

  • Screenshots do e-mail e da landing enviados
  • Log do servidor com timestamps de acesso (hash de credencial, não plaintext)
  • Relatório com métricas agregadas — nunca dados individuais além do necessário

Regra prática: se você não guardou evidência reprodutível, o achado não existe.

Guia prático (lab autorizado)

alvo · GoPhish em Docker contra caixas de e-mail internas de treinamento

docker run -it -p 3333:3333 -p 8080:8080 gophish/gophish  # painel: http://localhost:3333

verificar · Toda credencial 'capturada' vira hash imediato (bcrypt) no log — nunca plaintext. Sem hash, o log é ilegal de guardar.

Checklist interativo

Checklist ético (marcar antes do primeiro comando)

Autorização, escopo, lab e proteção de dados. Sem 100%, não roda fora do lab.

0/5

Prática segura · Phishing

→ guia do lab

Monte um ambiente isolado antes de qualquer teste — use Docker (DVWA/juice-shop), uma VM host-only ou um alvo autorizado (HTB, TryHackMe, PortSwigger Academy).

Nunca aponte para alvo em produção. Se estiver no celular, use proot-distro + Debian para não sujar o Termux principal.