Arsenal do GitHub: Ferramentas de código aberto para combater o crime cibernético
No cenário em constante evolução das ameaças cibernéticas, as ferramentas de código aberto no GitHub oferecem uma defesa poderosa.
A luta contra o crime cibernético é um esforço global, e a comunidade de código aberto desempenha um papel crucial. O GitHub, como plataforma líder mundial em desenvolvimento de software, hospeda uma vasta gama de ferramentas projetadas para detectar, analisar e combater diversas ameaças cibernéticas, incluindo a ameaça generalizada do phishing.
O poder do código aberto na segurança cibernética
Os projetos de código aberto oferecem uma transparência sem igual, permitindo que pesquisadores de segurança e desenvolvedores em todo o mundo analisem minuciosamente o código, identifiquem vulnerabilidades e contribuam para melhorias. Esse modelo colaborativo promove a inovação rápida e cria soluções robustas, avaliadas pela comunidade, contra ataques cibernéticos sofisticados.
Principais recursos para o combate ao phishing
Além das ferramentas gerais de segurança cibernética, vários recursos especializados são inestimáveis para combater diretamente as tentativas de phishing. Essas ferramentas vão desde feeds de ameaças em tempo real até serviços de análise de URLs e listas de bloqueio criadas pela comunidade:
- TweetFeed.live: Oferece um feed em tempo real de informações sobre ameaças cibernéticas, muitas vezes incluindo alertas antecipados sobre campanhas de phishing compartilhadas nas redes sociais.
- Phish.Report: Uma plataforma para denunciar sites de phishing, contribuindo para um banco de dados coletivo que ajuda a bloquear URLs maliciosos.
- URLQuery.net: Oferece um serviço gratuito para analisar URLs suspeitas, fornecendo relatórios detalhados sobre seu comportamento e possíveis ameaças.
- Tweets experimentais sobre IOCs do ThreatView.io: Um feed de dados brutos de Indicadores de Comprometimento (IOCs) extraídos de tuítes, útil para sistemas automatizados de detecção de ameaças.
- Repositório de phishing do Polkadot-JS: Um repositório do GitHub dedicado a monitorar e detectar tentativas de phishing direcionadas ao ecossistema Polkadot.
- Dados públicos do URLAbuse.com: Oferece uma lista pública de URLs denunciados como abusivos, que pode ser usada para atualizar listas de bloqueio.
- MetaMask/detecção de phishing na Ethereum: Um projeto de código aberto da MetaMask para detectar e impedir tentativas de phishing relacionadas à Ethereum.
- Lista de bloqueio do Phishing.Army: Uma lista de bloqueio atualizada regularmente com URLs conhecidos de phishing, mantida pela comunidade Phishing.Army.
- Análise de URL no VirusTotal: Um serviço amplamente utilizado que analisa arquivos e URLs suspeitos, fornecendo informações provenientes de vários mecanismos antivírus e serviços de lista negra.
- Phish Guard Azul: Um aplicativo da web desenvolvido para ajudar os usuários a identificar e evitar links de phishing.
- Relatório sobre Phishing da Netcraft: A plataforma da Netcraft para denunciar sites de phishing, contribuindo para seus esforços abrangentes de combate ao phishing.
- Bot de phishing do Seal (Telegram): Um bot do Telegram que ajuda os usuários a verificar se os links contêm phishing e a denunciar atividades suspeitas.
- URLScan.io: Um serviço gratuito que verifica e analisa sites, fornecendo relatórios detalhados sobre seu conteúdo, tecnologias e possíveis atividades maliciosas.
"Na PhishDestroy, acreditamos firmemente no poder da colaboração e da transparência na segurança cibernética. Nossos esforços se baseiam em princípios que se alinham com a filosofia do código aberto."
Kit de Ferramentas para Investigadores de OSINT
Além das listas de bloqueio, uma investigação de verdade exige recursos mais avançados. As ferramentas de código aberto a seguir constituem a espinha dorsal de qualquer fluxo de trabalho para o combate ao phishing — cada uma delas é gratuita, permite a criação de scripts e foi testada em situações reais pela comunidade:
- urlscan.io — Análise de URLs em ambiente isolado: instantâneo completo do DOM, capturas de tela, chamadas de rede, detalhes do certificado. Indispensável para a preservação de evidências antes da remoção.
- VirusTotal — consulta de reputação por meio de múltiplos mecanismos para URLs, arquivos, endereços IP e hashes. Ao enviar uma URL de phishing por aqui, a detecção é propagada para dezenas de fornecedores de antivírus e EDR.
- Shodan — mecanismo de busca para a Internet das Coisas e serviços expostos. Utilizado para mapear a infraestrutura de golpistas, identificar clusters de hospedagem e descobrir painéis de controle.
- Censys — transparência de certificados e pesquisa por banner; passar de um certificado TLS para uma centena de domínios relacionados é algo rotineiro por aqui.
- crt.sh — pesquisa gratuita no registro do Certificate Transparency, ideal para identificar certificados falsificados recém-emitidos que imitam marcas protegidas.
- Wayback Machine — mantém instantâneos que permanecem mesmo depois que o site original desaparece.
- WHOIS & ViewDNS.info — consultas de registrantes, pesquisa reversa de IP e pivô de DNS.
- Maltego CE — análise de conexões baseada em grafos; ideal para visualizar redes de golpistas por meio de nós de e-mail, domínios, endereços IP e redes sociais.
- theHarvester — coleta endereços de e-mail, subdomínios, servidores e nomes de funcionários a partir de fontes públicas.
- Kali Linux — distribuição pré-carregada com centenas de ferramentas de OSINT e segurança.
Defesas no lado do navegador
A maioria das vítimas de phishing é flagrada ao clicar. As defesas na camada do navegador bloqueiam o ataque antes mesmo que ele chegue à carteira:
- MetaMask detecção de phishing na Ethereum — lista de domínios bloqueados que vem integrada ao MetaMask e a muitas carteiras Web3, bloqueando páginas conhecidas de phishing antes que elas sejam carregadas.
- PhishDestroy lista de destruição — Mais de 130 mil domínios ativos relacionados a golpes e phishing, cuidadosamente selecionados, em diversos formatos (DNS, hosts, JSON, CSV), prontos para integração com o Pi-hole, o AdGuard, extensões de navegador ou firewalls corporativos.
- Listas do PhishFort — listas de bloqueio de cripto-phishing mantidas pela comunidade.
- uBlock Origin + Privacy Badger — filtrar anúncios e rastreadores, reduzindo drasticamente a exposição aos canais de veiculação de malvertising.
- ScamSniffer — Extensão de banco de dados de golpes da Web3 que destaca na própria página os riscos relacionados a contratos de drenagem.
Feeds de inteligência sobre ameaças
Se você opera um SOC, um CERT ou uma pilha de segurança, incorpore esses feeds públicos para identificar infraestruturas ativas de phishing:
- lista de destruição — atualização automática, mais de 130 mil ameaças, API gratuita, vários formatos.
- OpenPhish — feed de phishing da comunidade no formato de texto simples.
- PhishTank — URLs de phishing confirmadas (Cisco/OpenDNS).
- URLhaus (abuse.ch) — URLs que distribuem malware.
- TweetFeed — IOCs coletados nas redes sociais de segurança da informação.
- Banco de dados de golpes do ScamSniffer — Listas negras da Web3.
YARA, Honeypots e Defesa Ativa
- PhishingKit - Regras Yara — detectar assinaturas conhecidas de kits de phishing em HTML/JS.
- Regras da Yara — biblioteca de regras mantida pela comunidade.
- Honeypots & tokens canary — canarytokens.org, MazeRunner CE.
- Operação Takedown — nossa própria coleção de scripts para o bloqueio de campanhas ativas de phishing.
Fluxo de trabalho — Da denúncia à remoção
Uma investigação típica combina essas ferramentas da seguinte forma:
- Receber um contato — um relatório da comunidade (Bot do Telegram), um acerto do analisador de anúncios pagos ou um alerta do CT-log.
- Confirmar phishing — sandbox via urlscan.io; verificação cruzada com o VirusTotal, OpenPhish e PhishTank.
- Infraestrutura de mapas — utilizar o Censys/Shodan para localizar domínios, endereços IP e certificados relacionados.
- Preservar as provas — Instantâneo do Wayback, arquivo do urlscan, captura completa de HTML/JS, capturas de tela.
- Notificar os parceiros — enviar para mais de 50 fornecedores de software antivírus, registrar denúncias de abuso junto ao registrador/provedor de hospedagem, distribuir para os feeds do MetaMask e do ScamSniffer.
- Monitor — confirme a remoção; fique atento ao reaparecimento em endereços IP vizinhos ou em sites semelhantes recém-registrados.
Leia mais:Anatomia de uma derrubada · Registradores que facilitam golpes · Guia de Segurança em Criptomoedas
Ao aproveitar essas ferramentas de código aberto, pessoas físicas, pequenas empresas e grandes corporações podem melhorar significativamente sua postura de segurança cibernética. A inteligência coletiva e o desenvolvimento contínuo da comunidade de código aberto são recursos inestimáveis na batalha contínua contra o crime cibernético. Fique atento, mantenha-se informado e utilize o poder do código aberto para proteger a si mesmo e à sua comunidade.
