Diário de Bordo – Júlio César Costa
Disciplina: Gerência de Configuração e Evolução de Software
Equipe: OWASP Red Team
Comunidade/Projeto de Software Livre: Pencil Labs / EJ-Application
Sprint 3 - 07/10/2025 – 22/10/2025
Resumo da Sprint
Atividades Realizadas
| Data | Atividade | Tipo (Código/Doc/Discussão/Outro) | Link/Referência | Status |
|---|---|---|---|---|
| 10/10 | Estudo sobre a ferramenta GoPhish | Outro | GoPhish Documentation | Concluído |
| 10/10 | Estudo sobre a ferramenta MailHog | Outro | MailHog | Concluído |
| 11/10 | Teste e aplicação da ferramenta GoPhish | Outro | Concluído |
Sistema Usado
Os testes de Phishing foram realizados em máquina virtual Kali Linux em ambiente controlado e local, usando mailhog em vez de um SMTP público para simular a chegada de emails de spam.
Ferramentas
- MailHog (opcional)
- GoPhish
Descrição
Um ataque Phishing é um ataque de engenharia social em que criminosos criam uma página identica ou muito similar a uma página de um site legítimo, os atacantes disponibilizam essa página em um dominio qualquer (que é diferente do site legítimo), por causa disso as vezes é possível facilmente identificar se está no site pretendido apenas olhando a URL na barra do navegador, entretanto, essa não deve ser a única forma de identificar se está no site legítimo, pois os atacantes podem trocar algumas letras ou palavras por outras bem semelhantes, por exemplo, trocar a letra "I" de igreja por "l" de lápis, técnicas mais avançadas trocam a letra por outra idêntica, mas de outro alfabeto (IDN Homograph Attack)
O teste de phishing foi feito locamente usando MailHog como servidor SMTP para receber os emails, para o Phishing foi utilizado a ferramenta GoPhish que possui interface web acessível localmente, através da ferramenta GoPhish é possível criar campanhas de ataque com data e grupo de emails planejado, os emails seguem o template definido que pode incluir informações coletadas da vítima, como nome, email, data de nascimento e outras, é possível inserir imagens com tracking para saber quando e se a vítima visualizou o email, o objetivo final é fazer a vítima clicar em um link presente no email que levará ela a uma página falsa onde ela irá inserir suas informações pessoais, com o GoPhish é possível replicar uma página existente facilmente apenas indicando a URL do site legítimo, mas também existem outras formas simples fazendo por WebScrapping.
Resultado
Os emails foram recebidos no MailHog com o link para o site falso. Por motivos legais não foi testado usando um SMTP público como a da Google, mas possivelmente o email teria sido identificado como SPAM, para evitar isso os atacantes podem alterar parametros do envio de email, por exemplo, indicar que o email vem do mesmo dominio que o da empresa ou se o atacante já tiver os dados de um email válido dentro da empresa ele poderá usar este email para disseminar outros emails phishing.
A proteção contra phishing é feita identificando automaticamente emails como suspeito ou SPAM por meio do seu conteúdo, mas isso não é suficiente, a verdadeira proteção contra phishing é o treinamento das possíveis vítimas para que elas não cliquem em links estranhos, verifiquem se o site é legítimo ou saibam identificar emails de phishing. Todas as empresas e organizações estão sujeitas a um ataque phishing, por mais segura que seja, se o atacante estiver devidamente preparado ele irá conseguir enganar pessoas desatentas.
Maiores Dificuldades
Não houve dificuldades
Aprendizados
Aprendi como funciona as ferramentas de phishing e suas "campanhas"
Próxima Sprint
[X] - Realizar a prática de Session Hijacking com a ajuda do Marcus Vinicius