Metodologia de Phishing

Reading time: 22 minutes

Metodologia

1. Reconhecer a vítima
2. Selecionar o domínio da vítima.
3. Realizar uma enumeração web básica procurando por portais de login usados pela vítima e decidir qual você irá impersonar.
4. Usar algum OSINT para encontrar e-mails.
5. Preparar o ambiente
6. Comprar o domínio que você vai usar para a avaliação de phishing.
7. Configurar o serviço de e-mail relacionado (SPF, DMARC, DKIM, rDNS).
8. Configurar o VPS com gophish.
9. Preparar a campanha
10. Preparar o modelo de e-mail.
11. Preparar a página web para roubar as credenciais.
12. Lançar a campanha!

Gerar nomes de domínio semelhantes ou comprar um domínio confiável

Técnicas de Variação de Nome de Domínio

• Palavra-chave: O nome do domínio contém uma palavra-chave importante do domínio original (por exemplo, zelster.com-management.com).
• subdomínio hifenizado: Mudar o ponto por um hífen de um subdomínio (por exemplo, www-zelster.com).
• Novo TLD: Mesmo domínio usando um novo TLD (por exemplo, zelster.org).
• Homoglyph: Ele substitui uma letra no nome do domínio por letras que parecem semelhantes (por exemplo, zelfser.com).

Homograph Attacks

• Transposição: Ele troca duas letras dentro do nome do domínio (por exemplo, zelsetr.com).
• Singularização/Pluralização: Adiciona ou remove “s” no final do nome do domínio (por exemplo, zeltsers.com).
• Omissão: Ele remove uma das letras do nome do domínio (por exemplo, zelser.com).
• Repetição: Ele repete uma das letras no nome do domínio (por exemplo, zeltsser.com).
• Substituição: Como homoglyph, mas menos furtivo. Ele substitui uma das letras no nome do domínio, talvez por uma letra próxima da letra original no teclado (por exemplo, zektser.com).
• Subdominado: Introduzir um ponto dentro do nome do domínio (por exemplo, ze.lster.com).
• Inserção: Ele insere uma letra no nome do domínio (por exemplo, zerltser.com).
• Ponto faltando: Anexar o TLD ao nome do domínio. (por exemplo, zelstercom.com)

Ferramentas Automáticas

• dnstwist
• urlcrazy

Sites

• https://dnstwist.it/
• https://dnstwister.report/
• https://www.internetmarketingninjas.com/tools/free-tools/domain-typo-generator/

Bitflipping

Há uma possibilidade de que um ou mais bits armazenados ou em comunicação possam ser automaticamente invertidos devido a vários fatores, como flares solares, raios cósmicos ou erros de hardware.

Quando esse conceito é aplicado a solicitações DNS, é possível que o domínio recebido pelo servidor DNS não seja o mesmo que o domínio inicialmente solicitado.

Por exemplo, uma única modificação de bit no domínio "windows.com" pode mudá-lo para "windnws.com".

Os atacantes podem se aproveitar disso registrando vários domínios de bit-flipping que são semelhantes ao domínio da vítima. A intenção deles é redirecionar usuários legítimos para sua própria infraestrutura.

Para mais informações, leia https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/

Comprar um domínio confiável

Você pode procurar em https://www.expireddomains.net/ por um domínio expirado que você poderia usar.
Para garantir que o domínio expirado que você vai comprar já tenha um bom SEO, você pode verificar como ele está categorizado em:

• http://www.fortiguard.com/webfilter
• https://urlfiltering.paloaltonetworks.com/query/

Descobrindo E-mails

• https://github.com/laramies/theHarvester (100% grátis)
• https://phonebook.cz/ (100% grátis)
• https://maildb.io/
• https://hunter.io/
• https://anymailfinder.com/

Para descobrir mais endereços de e-mail válidos ou verificar os que você já descobriu, você pode verificar se consegue forçar os servidores smtp da vítima. Aprenda como verificar/descobrir endereços de e-mail aqui.
Além disso, não se esqueça de que se os usuários usarem qualquer portal web para acessar seus e-mails, você pode verificar se ele é vulnerável a força bruta de nome de usuário e explorar a vulnerabilidade, se possível.

Configurando GoPhish

Instalação

Você pode baixá-lo de https://github.com/gophish/gophish/releases/tag/v0.11.0

Baixe e descompacte dentro de /opt/gophish e execute /opt/gophish/gophish
Você receberá uma senha para o usuário admin na porta 3333 na saída. Portanto, acesse essa porta e use essas credenciais para alterar a senha do admin. Você pode precisar redirecionar essa porta para local:

ssh -L 3333:127.0.0.1:3333 <user>@<ip>

Configuração

Configuração do certificado TLS

Antes desta etapa, você deve já ter comprado o domínio que vai usar e ele deve estar apontando para o IP do VPS onde você está configurando gophish.

DOMAIN="<domain>"
wget https://dl.eff.org/certbot-auto
chmod +x certbot-auto
sudo apt install snapd
sudo snap install core
sudo snap refresh core
sudo apt-get remove certbot
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot
certbot certonly --standalone -d "$DOMAIN"
mkdir /opt/gophish/ssl_keys
cp "/etc/letsencrypt/live/$DOMAIN/privkey.pem" /opt/gophish/ssl_keys/key.pem
cp "/etc/letsencrypt/live/$DOMAIN/fullchain.pem" /opt/gophish/ssl_keys/key.crt​

Configuração de Mail

Comece instalando: apt-get install postfix

Em seguida, adicione o domínio aos seguintes arquivos:

• /etc/postfix/virtual_domains
• /etc/postfix/transport
• /etc/postfix/virtual_regexp

Altere também os valores das seguintes variáveis dentro de /etc/postfix/main.cf

myhostname = <domain>
mydestination = $myhostname, <domain>, localhost.com, localhost

Finalmente, modifique os arquivos /etc/hostname e /etc/mailname para o nome do seu domínio e reinicie seu VPS.

Agora, crie um registro DNS A de mail.<domain> apontando para o endereço IP do VPS e um registro DNS MX apontando para mail.<domain>

Agora vamos testar o envio de um email:

apt install mailutils
echo "This is the body of the email" | mail -s "This is the subject line" test@email.com

Configuração do Gophish

Pare a execução do gophish e vamos configurá-lo.
Modifique /opt/gophish/config.json para o seguinte (note o uso de https):

{
"admin_server": {
"listen_url": "127.0.0.1:3333",
"use_tls": true,
"cert_path": "gophish_admin.crt",
"key_path": "gophish_admin.key"
},
"phish_server": {
"listen_url": "0.0.0.0:443",
"use_tls": true,
"cert_path": "/opt/gophish/ssl_keys/key.crt",
"key_path": "/opt/gophish/ssl_keys/key.pem"
},
"db_name": "sqlite3",
"db_path": "gophish.db",
"migrations_prefix": "db/db_",
"contact_address": "",
"logging": {
"filename": "",
"level": ""
}
}

Configurar o serviço gophish

Para criar o serviço gophish para que ele possa ser iniciado automaticamente e gerenciado como um serviço, você pode criar o arquivo /etc/init.d/gophish com o seguinte conteúdo:

#!/bin/bash
# /etc/init.d/gophish
# initialization file for stop/start of gophish application server
#
# chkconfig: - 64 36
# description: stops/starts gophish application server
# processname:gophish
# config:/opt/gophish/config.json
# From https://github.com/gophish/gophish/issues/586

# define script variables

processName=Gophish
process=gophish
appDirectory=/opt/gophish
logfile=/var/log/gophish/gophish.log
errfile=/var/log/gophish/gophish.error

start() {
echo 'Starting '${processName}'...'
cd ${appDirectory}
nohup ./$process >>$logfile 2>>$errfile &
sleep 1
}

stop() {
echo 'Stopping '${processName}'...'
pid=$(/bin/pidof ${process})
kill ${pid}
sleep 1
}

status() {
pid=$(/bin/pidof ${process})
if [["$pid" != ""| "$pid" != "" ]]; then
echo ${processName}' is running...'
else
echo ${processName}' is not running...'
fi
}

case $1 in
start|stop|status) "$1" ;;
esac

Finalize a configuração do serviço e verifique-o fazendo:

mkdir /var/log/gophish
chmod +x /etc/init.d/gophish
update-rc.d gophish defaults
#Check the service
service gophish start
service gophish status
ss -l | grep "3333\|443"
service gophish stop

Configurando servidor de email e domínio

Espere e seja legítimo

Quanto mais antigo for um domínio, menos provável é que ele seja identificado como spam. Portanto, você deve esperar o máximo de tempo possível (pelo menos 1 semana) antes da avaliação de phishing. Além disso, se você colocar uma página sobre um setor reputacional, a reputação obtida será melhor.

Observe que, mesmo que você tenha que esperar uma semana, pode terminar de configurar tudo agora.

Configure o registro de DNS reverso (rDNS)

Defina um registro rDNS (PTR) que resolva o endereço IP do VPS para o nome do domínio.

Registro de Sender Policy Framework (SPF)

Você deve configurar um registro SPF para o novo domínio. Se você não sabe o que é um registro SPF leia esta página.

Você pode usar https://www.spfwizard.net/ para gerar sua política SPF (use o IP da máquina VPS)

Este é o conteúdo que deve ser definido dentro de um registro TXT dentro do domínio:

v=spf1 mx a ip4:ip.ip.ip.ip ?all

Registro de Autenticação, Relatório e Conformidade de Mensagens Baseado em Domínio (DMARC)

Você deve configurar um registro DMARC para o novo domínio. Se você não sabe o que é um registro DMARC leia esta página.

Você deve criar um novo registro DNS TXT apontando para o nome do host _dmarc.<domain> com o seguinte conteúdo:

v=DMARC1; p=none

DomainKeys Identified Mail (DKIM)

Você deve configurar um DKIM para o novo domínio. Se você não sabe o que é um registro DMARC leia esta página.

Este tutorial é baseado em: https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy

v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0wPibdqPtzYk81njjQCrChIcHzxOp8a1wjbsoNtka2X9QXCZs+iXkvw++QsWDtdYu3q0Ofnr0Yd/TmG/Y2bBGoEgeE+YTUG2aEgw8Xx42NLJq2D1pB2lRQPW4IxefROnXu5HfKSm7dyzML1gZ1U0pR5X4IZCH0wOPhIq326QjxJZm79E1nTh3xj" "Y9N/Dt3+fVnIbMupzXE216TdFuifKM6Tl6O/axNsbswMS1TH812euno8xRpsdXJzFlB9q3VbMkVWig4P538mHolGzudEBg563vv66U8D7uuzGYxYT4WS8NVm3QBMg0QKPWZaKp+bADLkOSB9J2nUpk4Aj9KB5swIDAQAB

Teste sua pontuação de configuração de e-mail

Você pode fazer isso usando https://www.mail-tester.com/
Basta acessar a página e enviar um e-mail para o endereço que eles fornecem:

echo "This is the body of the email" | mail -s "This is the subject line" test-iimosa79z@srv1.mail-tester.com

Você também pode verificar sua configuração de email enviando um email para check-auth@verifier.port25.com e lendo a resposta (para isso, você precisará abrir a porta 25 e ver a resposta no arquivo /var/mail/root se você enviar o email como root).
Verifique se você passa em todos os testes:

==========================================================
Summary of Results
==========================================================
SPF check:          pass
DomainKeys check:   neutral
DKIM check:         pass
Sender-ID check:    pass
SpamAssassin check: ham

Você também pode enviar uma mensagem para um Gmail sob seu controle e verificar os cabeçalhos do email na sua caixa de entrada do Gmail, dkim=pass deve estar presente no campo de cabeçalho Authentication-Results.

Authentication-Results: mx.google.com;
spf=pass (google.com: domain of contact@example.com designates --- as permitted sender) smtp.mail=contact@example.com;
dkim=pass header.i=@example.com;

​Removendo da Lista Negra do Spamhouse

A página www.mail-tester.com pode indicar se seu domínio está sendo bloqueado pelo spamhouse. Você pode solicitar a remoção do seu domínio/IP em: ​https://www.spamhaus.org/lookup/

Removendo da Lista Negra da Microsoft

​​Você pode solicitar a remoção do seu domínio/IP em https://sender.office.com/.

Criar e Lançar Campanha GoPhish

Perfil de Envio

• Defina um nome para identificar o perfil do remetente
• Decida de qual conta você vai enviar os emails de phishing. Sugestões: noreply, support, servicedesk, salesforce...
• Você pode deixar em branco o nome de usuário e a senha, mas certifique-se de marcar a opção Ignorar Erros de Certificado

Modelo de Email

• Defina um nome para identificar o modelo
• Em seguida, escreva um assunto (nada estranho, apenas algo que você poderia esperar ler em um email regular)
• Certifique-se de que você marcou "Adicionar Imagem de Rastreamento"
• Escreva o modelo de email (você pode usar variáveis como no exemplo a seguir):

<html>
<head>
<title></title>
</head>
<body>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:&quot;Verdana&quot;,sans-serif;color:black">Dear {{.FirstName}} {{.LastName}},</span></p>
<br />
Note: We require all user to login an a very suspicios page before the end of the week, thanks!<br />
<br />
Regards,</span></p>

WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY

<p>{{.Tracker}}</p>
</body>
</html>

Note que para aumentar a credibilidade do e-mail, é recomendado usar alguma assinatura de um e-mail do cliente. Sugestões:

• Envie um e-mail para um endereço inexistente e verifique se a resposta tem alguma assinatura.
• Procure por e-mails públicos como info@ex.com ou press@ex.com ou public@ex.com e envie um e-mail para eles e aguarde a resposta.
• Tente contatar algum e-mail válido descoberto e aguarde a resposta.

Página de Destino

• Escreva um nome
• Escreva o código HTML da página da web. Note que você pode importar páginas da web.
• Marque Capturar Dados Enviados e Capturar Senhas
• Defina uma redireção

Usuários & Grupos

• Defina um nome
• Importe os dados (note que para usar o modelo do exemplo você precisa do primeiro nome, sobrenome e endereço de e-mail de cada usuário)

Campanha

Finalmente, crie uma campanha selecionando um nome, o modelo de e-mail, a página de destino, a URL, o perfil de envio e o grupo. Note que a URL será o link enviado para as vítimas.

Note que o Perfil de Envio permite enviar um e-mail de teste para ver como será o e-mail de phishing final:

Uma vez que tudo esteja pronto, basta lançar a campanha!

Clonagem de Site

Se por algum motivo você quiser clonar o site, verifique a seguinte página:

Clone a Website

Documentos & Arquivos com Backdoor

Em algumas avaliações de phishing (principalmente para Red Teams) você também vai querer enviar arquivos contendo algum tipo de backdoor (talvez um C2 ou talvez apenas algo que acionará uma autenticação).
Confira a seguinte página para alguns exemplos:

Phishing Files & Documents

Phishing MFA

Via Proxy MitM

O ataque anterior é bastante inteligente, pois você está falsificando um site real e coletando as informações fornecidas pelo usuário. Infelizmente, se o usuário não inseriu a senha correta ou se o aplicativo que você falsificou está configurado com 2FA, essa informação não permitirá que você se passe pelo usuário enganado.

É aqui que ferramentas como evilginx2, CredSniper e muraena são úteis. Essa ferramenta permitirá que você gere um ataque do tipo MitM. Basicamente, os ataques funcionam da seguinte maneira:

1. Você falsifica o formulário de login da página real.
2. O usuário envia suas credenciais para sua página falsa e a ferramenta as envia para a página real, verificando se as credenciais funcionam.
3. Se a conta estiver configurada com 2FA, a página MitM pedirá isso e, uma vez que o usuário o introduza, a ferramenta o enviará para a página real.
4. Uma vez que o usuário esteja autenticado, você (como atacante) terá capturado as credenciais, o 2FA, o cookie e qualquer informação de cada interação enquanto a ferramenta está realizando um MitM.

Via VNC

E se, em vez de enviar a vítima para uma página maliciosa com a mesma aparência da original, você a enviar para uma sessão VNC com um navegador conectado à página real? Você poderá ver o que ele faz, roubar a senha, o MFA usado, os cookies...
Você pode fazer isso com EvilnVNC

Detectando a detecção

Obviamente, uma das melhores maneiras de saber se você foi descoberto é pesquisar seu domínio em listas negras. Se ele aparecer listado, de alguma forma seu domínio foi detectado como suspeito.
Uma maneira fácil de verificar se seu domínio aparece em alguma lista negra é usar https://malwareworld.com/

No entanto, existem outras maneiras de saber se a vítima está ativamente procurando por atividades de phishing suspeitas na natureza, conforme explicado em:

Detecting Phishing

Você pode comprar um domínio com um nome muito semelhante ao domínio da vítima e/ou gerar um certificado para um subdomínio de um domínio controlado por você contendo a palavra-chave do domínio da vítima. Se a vítima realizar qualquer tipo de interação DNS ou HTTP com eles, você saberá que ela está ativamente procurando por domínios suspeitos e você precisará ser muito discreto.

Avaliar o phishing

Use Phishious para avaliar se seu e-mail vai acabar na pasta de spam ou se será bloqueado ou bem-sucedido.

Comprometimento de Identidade de Alto Contato (Redefinição de MFA do Help-Desk)

Conjuntos modernos de intrusão cada vez mais pulam iscas de e-mail completamente e miram diretamente no fluxo de trabalho de recuperação de identidade / serviço de atendimento para derrotar o MFA. O ataque é totalmente "vivendo da terra": uma vez que o operador possui credenciais válidas, ele se move com ferramentas administrativas integradas – nenhum malware é necessário.

Fluxo de ataque

1. Reconhecimento da vítima

• Coletar detalhes pessoais e corporativos do LinkedIn, vazamentos de dados, GitHub público, etc.
• Identificar identidades de alto valor (executivos, TI, finanças) e enumerar o exato processo de help-desk para redefinição de senha / MFA.

2. Engenharia social em tempo real

• Telefone, Teams ou chat com o help-desk enquanto se passando pelo alvo (frequentemente com ID de chamador falsificado ou voz clonada).
• Fornecer as PII coletadas anteriormente para passar na verificação baseada em conhecimento.
• Convencer o agente a redefinir o segredo do MFA ou realizar uma troca de SIM em um número de celular registrado.

3. Ações imediatas pós-acesso (≤60 min em casos reais)

• Estabelecer um ponto de apoio através de qualquer portal SSO da web.
• Enumerar AD / AzureAD com ferramentas integradas (nenhum binário baixado):

# listar grupos de diretório e funções privilegiadas
Get-ADGroup -Filter * -Properties Members | ?{$_.Members -match $env:USERNAME}

# AzureAD / Graph – listar funções de diretório
Get-MgDirectoryRole | ft DisplayName,Id

# Enumerar dispositivos que a conta pode fazer login
Get-MgUserRegisteredDevice -UserId <user@corp.local>

• Movimento lateral com WMI, PsExec ou agentes legítimos de RMM já autorizados no ambiente.

Detecção & Mitigação

• Trate a recuperação de identidade do help-desk como uma operação privilegiada – exija autenticação adicional e aprovação do gerente.
• Implemente regras de Detecção e Resposta a Ameaças de Identidade (ITDR) / UEBA que alertem sobre:
• Método de MFA alterado + autenticação de novo dispositivo / geolocalização.
• Elevação imediata do mesmo principal (usuário-→-admin).
• Grave chamadas do help-desk e exija um retorno para um número já registrado antes de qualquer redefinição.
• Implemente Just-In-Time (JIT) / Acesso Privilegiado para que contas recém-redefinidas não herdem automaticamente tokens de alto privilégio.

Decepção em Grande Escala – Envenenamento de SEO & Campanhas “ClickFix”

Equipes de commodities compensam o custo de operações de alto contato com ataques em massa que transformam motores de busca e redes de anúncios em canais de entrega.

1. Envenenamento de SEO / malvertising empurra um resultado falso como chromium-update[.]site para os principais anúncios de busca.
2. A vítima baixa um pequeno loader de primeira fase (frequentemente JS/HTA/ISO). Exemplos vistos pela Unidade 42:

• RedLine stealer
• Lumma stealer
• Lampion Trojan

3. O loader exfiltra cookies do navegador + bancos de dados de credenciais, então puxa um loader silencioso que decide – em tempo real – se deve implantar:

• RAT (por exemplo, AsyncRAT, RustDesk)
• ransomware / wiper
• componente de persistência (chave de execução do registro + tarefa agendada)

Dicas de endurecimento

• Bloqueie domínios recém-registrados e aplique Filtragem Avançada de DNS / URL em anúncios de busca assim como em e-mails.
• Restringir a instalação de software a pacotes MSI / Store assinados, negar a execução de HTA, ISO, VBS por política.
• Monitore processos filhos de navegadores abrindo instaladores:

- parent_image: /Program Files/Google/Chrome/*
and child_image: *\\*.exe

• Procure por LOLBins frequentemente abusados por loaders de primeira fase (por exemplo, regsvr32, curl, mshta).

Operações de Phishing Aprimoradas por IA

Os atacantes agora encadeiam APIs de LLM e clonagem de voz para iscas totalmente personalizadas e interação em tempo real.

Defesa: • Adicione banners dinâmicos destacando mensagens enviadas de automação não confiável (via anomalias ARC/DKIM). • Implemente frases de desafio biométrico de voz para solicitações telefônicas de alto risco. • Simule continuamente iscas geradas por IA em programas de conscientização – modelos estáticos estão obsoletos.

Variante de Fadiga de MFA / Bombardeio de Push – Redefinição Forçada

Além do bombardeio clássico de push, os operadores simplesmente forçam um novo registro de MFA durante a chamada do help-desk, anulando o token existente do usuário. Qualquer prompt de login subsequente parece legítimo para a vítima.

[Attacker]  →  Help-Desk:  “I lost my phone while travelling, can you unenrol it so I can add a new authenticator?”
[Help-Desk] →  AzureAD: ‘Delete existing methods’ → sends registration e-mail
[Attacker]  →  Completes new TOTP enrolment on their own device

Monitore eventos do AzureAD/AWS/Okta onde deleteMFA + addMFA ocorrem dentro de minutos do mesmo IP.

Sequestro de Área de Transferência / Pastejacking

Os atacantes podem copiar silenciosamente comandos maliciosos para a área de transferência da vítima a partir de uma página da web comprometida ou com erro de digitação e, em seguida, enganar o usuário para colá-los dentro de Win + R, Win + X ou uma janela de terminal, executando código arbitrário sem qualquer download ou anexo.

Clipboard Hijacking

Phishing Móvel & Distribuição de Aplicativos Maliciosos (Android & iOS)

Mobile Phishing Malicious Apps

Referências

• https://zeltser.com/domain-name-variations-in-phishing/
• https://0xpatrik.com/phishing-domains/
• https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/
• https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy
• 2025 Unit 42 Global Incident Response Report – Social Engineering Edition