O SocialFish simplificou a criação de ataques de phishing a um nível que preocupa especialistas em segurança. O framework open-source, desenvolvido pelo grupo UndeadSec, permite clonar páginas de login de redes sociais e serviços web com dois comandos e expor o site falsificado na internet através de um túnel automático. Mais de 4.000 estrelas no GitHub atestam a popularidade da ferramenta entre estudantes de cibersegurança, profissionais de testes de intrusão e, inevitavelmente, atacantes reais.

Pontos-chave

  • Framework open-source de phishing com clones automáticos de sites
  • Desenvolvido pela UndeadSec, comunidade de investigação de segurança
  • Integra Ngrok para expor páginas falsas sem configuração de servidor
  • Templates incluem Facebook, Instagram, Google, LinkedIn e Twitter
  • Escrito em Python e Bash, funciona em qualquer sistema Linux

O que é a ferramenta

SocialFish é um framework que automatiza o processo completo de uma campanha de phishing via web. O utilizador selecciona um site de uma lista de templates, escolhe o método de exposição e a ferramenta trata do resto: clona a página de login do site legítimo, configura um servidor local, estabelece um túnel público para que a página falsa fique acessível a partir de qualquer lugar na internet e captura as credenciais introduzidas pelas vítimas.

A diferença entre o SocialFish e ferramentas tradicionais como o Social-Engineer Toolkit (SET) está na simplicidade extrema. O SET oferece dezenas de opções e módulos; o SocialFish resume tudo a um menu com poucas escolhas. O princípio é reduzir a fricção técnica ao mínimo possível — uma filosofia que torna a ferramenta acessível a utilizadores sem formação avançada em segurança ofensiva.

A integração com o Ngrok é o elemento que torna o SocialFish operacional em qualquer ambiente. Ngrok é um serviço que cria túneis seguros entre um servidor local e um URL público. Com esta integração, um utilizador com um portátil ligado a Wi-Fi doméstico consegue expor uma página de phishing falsa num URL acessível globalmente, sem configurar port forwarding no router ou contratar um servidor na cloud.

Funcionalidades principais

A lista de templates cobre os serviços mais visados. Facebook, Instagram, Google, LinkedIn, Twitter, GitHub, StackOverflow e Reddit figuram entre os clones pré-configurados. Cada template é mantido pela comunidade e actualizado quando o site original altera o design da página de login. A fidelidade dos clones é elevada — incluindo CSS, JavaScript, imagens e redireccionamentos.

O banner de captura regista utilizador, palavra-passe, endereço IP da vítima, user-agent do navegador e timestamp. Os dados ficam disponíveis no terminal e são guardados num ficheiro de texto local. Após a captura, a vítima é redireccionada para o site legítimo, que apresenta um erro de autenticação. Na maioria dos casos, a vítima reintroduz as credenciais no site verdadeiro sem suspeitar da intercepção.

O módulo de port forwarding suporta múltiplos métodos além do Ngrok. O LocalTunnel e o Serveo oferecem alternativas quando o Ngrok impõe limites de taxa. Para utilizadores que possuem servidores próprios, o SocialFish pode operar com um domínio configurado manualmente — algo que levanta menos suspeitas do que URLs gerados automaticamente pelos serviços de túnel. A integração com ferramentas de teste de segurança web permite validar a robustez das páginas clonadas.

Casos de uso reais

Profissionais de segurança ofensiva utilizam o SocialFish em campanhas de phishing simulado para clientes que requerem avaliações rápidas e de baixo custo. Uma consultora de segurança brasileira reportou o uso do SocialFish num exercício para uma rede de retalho: 63% dos colaboradores clicaram num link enviado por SMS que apontava para um clone da página de login do portal interno. O teste demorou 15 minutos a preparar e revelou uma exposição crítica que justificou investimento em formação de conscientização.

Formadores em programas de conscientização de segurança demonstram o SocialFish em workshops presenciais. A rapidez com que uma página de login falsa é criada e exposta gera impacto imediato em audiências técnicas e não técnicas. A demonstração ao vivo supera apresentações teóricas porque mostra, em tempo real, a facilidade com que credenciais são interceptadas.

Investigadores académicos estudam padrões de phishing utilizando o SocialFish em ambientes controlados de laboratório. Um estudo da Universidade de Lisboa publicado em 2023 mediu a eficácia de diferentes templates e métodos de entrega. Os resultados mostraram que clones de Instagram obtiveram taxas de captura 40% superiores a clones de LinkedIn em testes com voluntários.

Posição no mercado

O SocialFish ocupa o segmento de ferramentas de phishing open-source simplificadas. No repositório do GitHub da UndeadSec, a ferramenta figura como um dos projectos mais populares da categoria. Competidores directos incluem o Evilginx2, que adiciona bypass de autenticação multifactor através de proxies reversos, e o Modlishka, com arquitectura similar mas menor manutenção.

No segmento comercial, plataformas como KnowBe4 e Cofense PhishMe oferecem simulações de phishing geridas com dashboards empresariais, relatórios de conformidade e bibliotecas de templates licenciados. O SocialFish não substitui essas ferramentas em programas corporativos de larga escala, mas serve o nicho de testes rápidos, demonstrações pedagógicas e investigação académica onde a simplicidade e o custo zero são prioritários.

A UndeadSec mantém o projecto sem modelo comercial. O grupo, conhecido por divulgar vulnerabilidades em aplicações web, financia o desenvolvimento através de contribuições voluntárias e patrocínios da comunidade. Actualizações são publicadas quando sites populares alteram interfaces de login, exigindo actualização dos templates.

Considerações finais

A acessibilidade da ferramenta é a sua característica mais problemática. Dois comandos e um URL de túnel bastam para pôr em pé uma página de phishing funcional. A barreira técnica tão baixa significa que indivíduos sem qualquer formação em segurança podem operar campanhas fraudulentas. A UndeadSec inclui avisos de uso ético no repositório, mas o carácter open-source impede qualquer controlo sobre quem descarrega e utiliza o código.

As defesas evoluíram para detectar túneis Ngrok e similares. Soluções modernas de email security e web filtering bloqueiam domínios associados a serviços de túnel. Autenticação multifactor reduz drasticamente o valor das credenciais capturadas. A eficácia do SocialFish contra organizações com defesas maduras diminuiu, mas permanece elevada contra alvos individuais e pequenas empresas sem filtros adequados.

Para profissionais de segurança e formadores, o SocialFish cumpre um papel pedagógico irrefutável. A demonstração de que uma página de login idêntica à original pode ser criada em segundos transforma uma ameaça abstracta numa experiência concreta. Esse impacto — mais do que qualquer funcionalidade técnica — justifica a relevância continuada da ferramenta no ecossistema de conscientização de cibersegurança.