Phishing em Red Team Autorizado: Templates, GoPhish e Ressalvas Eticas

Um cliente assinou o Rules of Engagement na sexta-feira, e na segunda-feira de manha 1.847 colaboradores receberam um e-mail clonando o sistema de ponto. Em 38 minutos, 312 cliques, 89 credenciais coletadas, zero alertas no SIEM. Esse e o tipo de operacao que separa um phishing autorizado de uma fraude criminal: papel timbrado, contrato, janela de execucao e um numero de telefone do CISO pra encerrar tudo em 30 segundos se algo escalar. Phishing em red team nao e sobre enganar pessoas, e sobre medir a superficie humana com a mesma seriedade que medimos a superficie de rede em Nmap Avancado: Scripts NSE para Recon Interno em Lab Corporativo Simulado.

Antes de qualquer disparo, o documento de autorizacao precisa listar: dominios permitidos, faixas de IP de origem, horario de envio, criterios de exclusao (executivos C-level, RH em processo trabalhista, estagiarios menores de idade), e o que acontece com as credenciais capturadas. Sem isso, o trabalho vira o caso da Coalfire em Iowa, 2019, onde dois pentesters foram presos cumprindo contrato porque o escopo escrito nao cobria invasao fisica. Red team serio escreve OPSEC pessoal antes de OPSEC operacional, e o material em OPSEC para Pesquisadores de Seguranca: Modelo de Ameaca Pessoal aplica diretamente aqui.

GoPhish e o framework que viralizou em 2016 e continua sendo o canivete suico de simulacao porque entrega API REST, tracking pixel, landing pages clonaveis e relatorios CSV em um binario Go de 25 MB. A arquitetura tipica: VPS dedicada com IP nunca usado antes, dominio registrado ha pelo menos 30 dias (idealmente um typo do dominio do cliente, tipo rnicrosoft-login.com), SPF/DKIM/DMARC configurados via Postfix ou SendGrid, e certificado Let's Encrypt no landing. Sem aquecimento de IP, sua campanha morre no Microsoft Defender antes de chegar na caixa de entrada. Trate a infraestrutura como producao, com a mesma rigor de Construindo Infra de C2 com Sliver em Lab Isolado para Estudo Defensivo.

Templates que funcionam em 2026 nao sao mais 'principe nigeriano'. Os top 3 do ultimo relatorio Proofpoint sao: notificacao de assinatura DocuSign expirando em 24h, alerta de pacote DHL retido na alfandega com taxa de R$ 27,90, e convite Microsoft Teams de um diretor real (extraido do LinkedIn) marcando reuniao urgente. Para cada template, o HTML precisa renderizar identico no Outlook 2021, Gmail Web e iOS Mail, o que exige tabelas inline, CSS embedado e imagens hospedadas em CDN reputada. O vetor inicial pode ainda ser anexo, e os trade-offs entre macro, LNK e ISO estao destrinchados em Initial Access Simulado: Macros, LNK e ISO em Lab Windows 11 Isolado.

A landing page e onde 70% das equipes erram. Capturar senha em texto puro num formulario HTTP e amadorismo e violacao da LGPD mesmo em contexto autorizado. O padrao etico: hash a senha no client-side com SHA-256 + salt do engajamento, armazene apenas os primeiros 8 caracteres do hash pra confirmar coleta, e mostre imediatamente uma tela de treinamento explicando que foi simulacao. Logue user-agent, IP, timestamp e tempo entre click e submit, mas nunca a credencial completa. Esse dado alimenta o ciclo de melhoria descrito em Purple Team na Pratica: Construindo Ciclo de Feedback Red x Blue, onde o blue team transforma cada clique em regra de deteccao.

A parte que ninguem fala em conferencia: o impacto psicologico. Em uma campanha real de 2024 com 4.200 alvos, 11 funcionarios pediram afastamento por crise de ansiedade apos descobrir que foram 'pegos', e dois processaram a empresa. Por isso o briefing pos-campanha precisa de psicologo organizacional, comunicacao do CEO no mesmo dia, e a metrica de sucesso nao pode ser 'taxa de clique' isolada e sim reducao trimestre-a-trimestre. Quem opera phishing tambem precisa proteger a propria identidade durante o engajamento, como detalhado em Compartimentacao Digital: Identidades Separadas sem Vazar Metadados, porque o operador acaba conhecendo segredos sensiveis do alvo.

Para times comecando, o caminho honesto e: monte o lab interno primeiro (GoPhish + Mailhog + 5 contas de teste), valide templates contra seu proprio Outlook, faca dry-run com a equipe de seguranca do cliente assistindo ao vivo, e so depois dispare em producao. Tenha um kill switch que zera a campanha em 60 segundos via API. Documente cada decisao em changelog assinado, porque seis meses depois um auditor vai perguntar por que voce mandou e-mail pra fulano. Takeaway: phishing autorizado e 20% tecnica, 30% papel, e 50% empatia com quem clica. Sem os tres, nao envie nada.