O Social-Engineer Toolkit (SET) tornou-se a ferramenta padrão mundial para simulações de ataques de engenharia social em testes de intrusão. Escrito em Python e mantido pela TrustedSec, empresa de cibersegurança fundada por David Kennedy em Ohio, o framework gratuito permite a consultores de segurança criar campanhas de phishing, spear-phishing e entrega de payloads com poucos cliques. Mais de dois milhões de instalações foram registadas desde o lançamento em 2010, segundo estatísticas do GitHub.

Pontos-chave

  • Framework open-source para testes de engenharia social
  • Clona páginas web, cria campanhas de phishing e entrega payloads
  • Mantido pela TrustedSec, escrita em Python
  • Incluído por defeito no Kali Linux e Parrot OS
  • Mais de 25.000 estrelas no repositório GitHub

O que é a ferramenta

SET é um conjunto de módulos concebidos para automatizar vectores de ataque baseados em manipulação humana. A premissa é que o elo mais fraco da cadeia de segurança raramente é o software — é a pessoa que clica no link, abre o anexo ou fornece credenciais a um site falsificado. A ferramenta dá aos profissionais de segurança ofensiva os mesmos instrumentos que os atacantes utilizam, permitindo às organizações medir a sua exposição real.

A instalação não exige configuração complexa. O SET vem pré-instalado nas distribuições Linux mais usadas por profissionais de segurança ofensiva. Ao executar o comando de arranque, um menu textual apresenta as opções principais: ataques de spear-phishing, vectors baseados na web, infecção por payloads, módulos Arduino e ataques via código QR.

Para profissionais que utilizam ferramentas de reconhecimento como o Recon-ng para recolher informações sobre alvos, o SET oferece o passo seguinte: transformar intelligence operacional numa campanha de ataque simulado.

Funcionalidades principais

O módulo de spear-phishing permite enviar mensagens personalizadas em massa. O utilizador define o remetente, o assunto, o corpo do email e anexa um payload — um documento Office com macro maliciosa, um executável compilado ou um atalho que invoca um reverse shell. O SET gere o servidor SMTP e a entrega, registando quem abriu a mensagem e quem interagiu com o anexo.

O credential harvester é uma das funções mais usadas. O operador selecciona um site de uma lista pré-definida — Gmail, Facebook, LinkedIn, Outlook — e a ferramenta clona a página de login. Quando a vítima introduz o utilizador e a palavra-passe no clone, o SET regista as credenciais e redireciona o utilizador para o site legítimo, que mostra um erro de autenticação. Na maioria dos casos, a vítima insere novamente a senha no site verdadeiro sem perceber que acabou de a entregar.

A integração com o Metasploit Framework permite gerar payloads que estabelecem sessões Meterpreter. Para equipas que já trabalham com ferramentas de segurança ofensiva, o SET funciona como o vetor de acesso inicial, após o qual o Metasploit assume o controlo pós-exploração. O módulo PowerShell Alpha gera scripts obfuscados que contornam filtros Application Whitelisting no Windows.

Casos de uso reais

Empresas de consultoria de segurança realizam campanhas anuais de phishing simulado para clientes corporativos. Uma empresa de telecomunicações brasileira encomendou em 2023 um exercício com SET: 47% dos funcionários clicaram no link de um email falso sobre actualização salarial. O relatório resultante conduziu a um programa de treino que reduziu a taxa de clique para 12% no teste seguinte, seis meses depois.

Organizações governamentais contratam simulações de spear-phishing para avaliar resiliência de equipas que lidam com dados sensíveis. Num exercício reportado por uma agência europeia, o SET foi usado para enviar emails com o logótipo de um fornecedor legítimo. Quatro em cada dez destinatários abriram um anexo que, num ataque real, teria instalado ransomware na rede interna.

Formadores em programas de conscientização de segurança usam o SET como ferramenta pedagógica. A demonstração ao vivo de um clone de página de login gera impacto imediato em audiências que julgam reconhecer sempre sites falsificados. A experiência directa supera slides e palestras teóricas.

Posição no mercado

O SET domina o segmento de ferramentas gratuitas de engenharia social. O repositório no GitHub regista mais de 25.000 estrelas, e a ferramenta é referenciada em manuais de certificações como OSCP e CEH. Não tem concorrente directo open-source com a mesma abrangência — alternativas como Gophish cobrem apenas phishing por email, e o King-Phisher foca-se em campanhas mais simples.

No segmento comercial, ferramentas como KnowBe4 e Proofpoint Security Awareness oferecem campanhas de phishing simulado com dashboards empresariais e relatórios de conformidade. O SET não substitui essas plataformas para programas de conscientização em grande escala, mas permanece a referência para testes de intrusão éticos onde se exige controlo técnico total sobre o vector de ataque.

A TrustedSec mantém o projecto sem cobrar licenciamento. O modelo de negócio da empresa assenta em serviços de consultoria e resposta a incidentes, com o SET a funcionar como cartão de visita técnico. Actualizações são publicadas quando novas técnicas de evasão surgem no ecossistema de ameaças.

Considerações finais

A facilidade de uso é uma faca de dois gumes. A mesma interface simples que permite a um consultor montar uma campanha em cinco minutos também dá a um atacante sem formação avançada a capacidade de operar. Os fóruns clandestinos documentam uso do SET em campanhas reais de phishing bancário — algo que a TrustedSec reconhece sem poder impedir, dado o carácter open-source da ferramenta.

As soluções de email security evoluíram para detectar payloads gerados pelo SET. Gateways modernos analisam anexos em sandboxes e identificam padrões de macros maliciosas características do framework. A eficácia contra organizações com defesas maduras diminuiu, mas permanece elevada contra alvos sem filtros adequados.

Para equipas de segurança ofensiva e responsáveis por conscientização, o SET mantém-se como instrumento indispensável. A simplicidade da operação, a profundidade dos módulos e a integração com o ecossistema de testes de intrusão justificam a posição de ferramenta padrão da indústria — uma posição consolidada ao longo de 15 anos de desenvolvimento contínuo e adoção universal.