HiddenEye: o framework de phishing com 40 templates prontos a usar

O HiddenEye, framework de phishing desenvolvido em Python pelo programador italiano conhecido por “Morsmalleo”, oferece mais de 40 modelos prontos a usar de páginas falsas de login para redes sociais, bancos e serviços de streaming. Distribuído sob licença open-source no GitHub, o projeto tornou-se uma das ferramentas mais populares entre estudantes de cibersegurança — e uma das mais usadas por atacantes que exploram técnicas de engenharia social sem conhecimentos técnicos avançados.

Pontos-chave

• Framework de phishing com mais de 40 templates de páginas falsas de login.
• Escrito em Python pelo programador italiano “Morsmalleo” sob licença open-source.
• Inclui funcionalidades de tunelamento via Ngrok, Localhost.run e Serveo.
• Cobre plataformas como Instagram, Facebook, Gmail, PayPal, Netflix e bancos.
• Concorrente do SocialFish, Zphisher e do GoPhish no segmento ofensivo.

O que é o HiddenEye

O HiddenEye é uma ferramenta de linha de comando que automatiza a criação de páginas falsas de login, o alojamento dessas páginas num servidor local ou exposto à internet e o registo das credenciais submetidas pelas vítimas. A interface, baseada em menus numéricos, dispensa conhecimentos de HTML ou de configuração de servidores web — fator que explica a sua popularidade entre utilizadores sem formação técnica.

O projeto original, lançado no GitHub em 2019, foi descontinuado pelo autor após pressão legal. Uma versão atualizada, denominada HiddenEye Reborn, é mantida por contribuidores da comunidade. A versão Legacy, ainda disponível em github.com/Morsmalleo/HiddenEye_Legacy, acumulou mais de 2 800 stars e foi traduzida para 12 idiomas por contribuidores voluntários.

Funcionalidades principais

O catálogo de templates cobre as plataformas mais visadas: Instagram, Facebook, Twitter, Gmail, Outlook, PayPal, Netflix, Spotify, Steam e páginas de login de bancos como Wells Fargo, Bradesco e Caixa Geral de Depósitos. Cada template replica a aparência visual atual do site legítimo, incluindo logótipos, cores e tipografia — extraídos diretamente do site real via web scraping.

O módulo de tunelamento expõe a página falsa à internet pública sem necessidade de configurar port forwarding no router do atacante. O HiddenEye integra-se automaticamente com Ngrok, Localhost.run, Serveo e PacketHub — serviços que criam um túnel HTTPS entre um servidor local e um domínio público. O URL gerado, do tipo https://abc123.ngrok.io, é enviado por e-mail ou SMS à vítima.

O sistema de notificações em tempo real envia um Telegram ou Discord webhook ao atacante no instante em que uma credencial é capturada. O painel de controlo exibe um histórico de vítimas com IP, user agent e credenciais submetidas. A versão Reborn adiciona módulos para keylogging em browser e captura de cookies de sessão — técnicas semelhantes às do Evilginx.

Casos de uso reais

Reportes do Grupo de Resposta a Incidentes de Segurança do Brasil (CTI.gov.br) publicados em 2023 e 2024 documentam campanhas de phishing que usaram clones de páginas gerados pelo HiddenEye para roubo de credenciais bancárias. As vítimas recebiam SMS com aviso de “atualização obrigatória de dados” e eram encaminhadas para páginas idênticas às dos bancos — capturando utilizador, palavra-passe e código OTP em dois passos consecutivos.

Em ambientes académicos, cursos de ethical hacking usam o HiddenEye em laboratórios fechados para demonstrar a eficácia do phishing. A simplicidade da ferramenta permite que estudantes sem experiência prévia concebam uma campanha completa em menos de 30 minutos — experiência que ilustra de forma vívida a vulnerabilidade humana em sistemas de segurança corporativos.

Equipas de red team empregam o HiddenEye em exercícios de simulação que combinam técnicas de IDN homograph, como as exploradas pelo EvilURL, com templates pré-construídos. O objetivo é testar filtros anti-phishing corporativos e a capacidade de resposta dos colaboradores.

Mercado de ferramentas de phishing

O HiddenEye divide o segmento gratuito de ferramentas de phishing com o SocialFish, Zphisher, Shellphish e o BlackEye — todos projetos open-source no GitHub com interface similar e funcionalidades comparáveis. A escolha entre eles resume-se, na maioria dos casos, à atualização dos templates: projetos ativos mantêm cópias fiéis das páginas legítimas que mudam a cada redesign.

No segmento comercial, o GoPhish domina o mercado de simulação legítima com licenciamento empresarial. Ferramentas como o King Phisher e o Lucy Security ocupam o segmento intermédio. A diferença face ao HiddenEye é o propósito declarado: o GoPhish foi desenhado para defensores; o HiddenEye é uma ferramenta ofensiva sem salvaguardas técnicas para uso defensivo.

Considerações éticas e legais

A utilização do HiddenEye contra qualquer alvo sem consentimento expresso da vítima constitui crime em Portugal (artigo 179.º do Código Penal — fraude informática) e no Brasil (Lei 12.737/2012 e artigo 171 do Código Penal). A simples posse da ferramenta não é ilegal, mas a sua execução contra sistemas alheios pode resultar em pena de prisão até três anos.

O GitHub mantém o repositório online sob a política de que a ferramenta tem “uso duplo” — pode servir tanto para ataque como para teste defensivo. A Microsoft, proprietária do GitHub, aceita a presença destes projetos desde que não incluam código malicioso pronto a ser distribuído em massa. Esta tolerância é contestada por investigadores de segurança que apontam o risco de uso indevido.

Para defensores, a contramedida primária é o treino de colaboradores para identificar URLs suspeitos e a adoção de autenticação multifator resistente a phishing — FIDO2 com chaves físicas YubiKey, em vez de códigos OTP que ferramentas como o HiddenEye conseguem capturar em tempo real.