O GoPhish, framework open-source de simulação de phishing lançado em 2013 pelo engenheiro de segurança Jordan Wright, tornou-se o padrão de facto para programas de security awareness training em organizações sem orçamento para ferramentas comerciais. Distribuído sob licença MIT, o projeto acumulou mais de 11 mil estrelas no GitHub e é mantido pela comunidade, com releases trimestrais que adicionam novos templates e métricas.
Pontos-chave
- Plataforma open-source de simulação de phishing, escrita em Go pela equipa de Jordan Wright.
- Instalável em Linux, macOS e Windows com binário único — sem dependências externas.
- Permite criar campanhas com templates HTML, páginas de landing e tracking de cliques.
- Concorre com KnowBe4, Proofpoint Security Awareness e Cofense PhishMe.
- Código aberto no GitHub desde 2013, com mais de 200 contribuidores ativos.
O que é o GoPhish
O GoPhish é uma aplicação web que permite a uma equipa de segurança interna desenhar, lançar e medir campanhas de phishing simulado dirigidas aos próprios colaboradores da organização. A premissa é simples: enviar e-mails que imitam tentativas reais de phishing, registar quem clica e fornecer relatórios que orientam sessões de formação dirigidas aos funcionários mais suscetíveis.
O projeto foi criado por Jordan Wright, diretor de segurança na Southwest Airlines, em resposta à escassez de ferramentas gratuitas de qualidade para o efeito. A primeira versão pública, em dezembro de 2013, tinha 800 linhas de código. A versão atual ultrapassa as 30 mil linhas e mantém uma arquitetura modular: o binário principal corre um servidor web local na porta 3333, exposto apenas à rede interna.
Funcionalidades principais
O editor de templates aceita HTML arbitrário ou importação direta dum e-mail real em formato .eml — funcionalidade que permite replicar com exatidão um ataque observado contra a organização. Variáveis como {{.FirstName}} substituem-se por dados do destinatário a partir dum ficheiro CSV importado.
O módulo de landing Pages hospeda páginas falsas onde o colaborador é encaminhado após clicar. As páginas podem ser clonadas de sites reais via importação de HTML e registam o momento exato do clique, o tempo de permanência e se o utilizador preencheu credenciais no formulário. Nenhuma credencial é armazenada — o GoPhish apenas regista o evento de submissão.
O sistema de tracking funciona com um pixel de rastreio transparente embutido no e-mail, idêntico ao usado por plataformas de marketing como o Mailchimp. Esse pixel, carregado quando o destinatário abre a mensagem, distingue taxas de abertura das taxas de clique — métricas que combinadas permitem identificar os colaboradores mais reativos.
Casos de uso reais
Programas formais de security awareness em empresas como bancos e hospitais usam o GoPhish numa cadência mensal. A sequência típica envia campanhas com três níveis de dificuldade crescente: e-mails óbvios no primeiro mês, simulações de spear-phishing personalizadas no segundo, e no terceiro mês campanhas que imitam ataques reais identificados pela equipa de SOC — incluindo técnicas de evasão de filtros como as usadas pelo Evilginx.
Red teams internos empregam o GoPhish como porta de entrada para exercícios de simulação mais amplos. Um colaborador que submete credenciais recebe um e-mail educativo imediato; se as credenciais forem reutilizadas noutros sistemas, o teste escala para exercícios de pós-exploração que envolvem ferramentas como o Empire.
Academias e cursos de cibersegurança — como o SANS SEC564 e a formação de phishing do Mile2 — incluem o GoPhish no currículo. A simplicidade da instalação e a ausência de custos de licenciamento tornam-no adequado para laboratórios educativos com orçamento limitado, ao contrário de ferramentas comerciais como o Carbon Black.
Mercado de phishing simulation
O mercado global de security awareness training movimentou 1,9 mil milhões de dólares em 2023, com crescimento anual composto acima dos 15% segundo a Research and Markets. A KnowBe4, líder do segmento com receitas de 341 milhões de dólares em 2023, absorveu 9% do mercado. O GoPhish ocupa uma fatia significativa do segmento gratuito, competindo com o King Phisher e o Lucy Community Edition.
A diferenciação das ferramentas comerciais face ao GoPhish reside no catálogo de templates — atualizado semanalmente com novas campanhas baseadas em ataques reais — e na integração com plataformas de formação (LMS) como o Cornerstone e o SAP SuccessFactors. Empresas com mais de 5 000 colaboradores tendem a optar por soluções pagas pela escalabilidade da gestão de relatórios.
Considerações para adoção
A implementação do GoPhish requer uma infraestrutura de envio de e-mail adequada. O servidor SMTP usado deve estar fora de blacklists e possuir registros SPF, DKIM e DMARC configurados corretamente — caso contrário, as campanhas caem em spam e invalidam a métrica. Em organizações com Microsoft 365, a equipa interna precisa de isentar o domínio de envio das políticas anti-phishing do Defender for Office 365.
O dilema ético dos programas de simulação de phishing é discutido em literatura acadêmica. Estudos publicados em 2023 no Journal of Cybersecurity sugerem que simulações frequentes sem formação associada reduzem a confiança dos colaboradores na comunicação interna legítima, fenómeno conhecido como alert fatigue. A boa prática combina simulação com formação imediata após cada clique.
O repositório oficial está em getgophish.com, com downloads para Windows, Linux e macOS, e a documentação completa em docs.getgophish.com. A comunidade mantém uma coleção de templates prontos a usar no GitHub.