• 1. Primeiro vamos iniciar a ferramenta SET de um terminal no Kali Linux: # setoolkit
• 2. Selecione a opção 1) Social-Engineering Attacks.
• 3. Em seguida selecione a opção 2) Website Attack Vectors.
• 4. Na sequencia selecione a opção 3) Credential Harvester Attack Method.
• 5. Por fim selecione 2) Site Cloner.

• 1. First let's start the SET tool from a terminal in Kali Linux: # setoolkit
• 2. Select option 1) Social-Engineering Attacks.
• 3. Then select option 2) Website Attack Vectors.
• 4. Next, select option 3) Credential Harvester Attack Method.
• 5. Finally select 2) Site Cloner.

Bom, até aqui selecionamos as opções que nos levarão para um ataque de engenharia social onde iremos clonar um site a nossa escolha a fim de recuperar credenciais inseridas pela vitima. No próximo passo você deve entrar com o endereço ip da máquina do atacante (caso não saiba onde encontrar seu ip, é só digitar ifconfig em um outro terminal), para que possamos hospedar o site fake em nosso servidor local. Em seguida você deverá informar a URL do site que irá clonar, lembrando que nosso ataque só vai funcionar se o site clonado estiver enviando um formulário via POST, caso não esteja deverá ser feito alguns ajustes no HTML do site.

Well, up to this point, we have selected the options that will lead us to a social engineering attack where we will clone a website of our choice in order to retrieve credentials entered by the victim. In the next step, you should enter the IP address of the attacker's machine (if you don't know where to find your IP, just type 'ifconfig' in another terminal) so that we can host the fake site on our local server. Then, you should provide the URL of the site you will clone, remembering that our attack will only work if the cloned site is sending a form via POST. If it's not, some adjustments will need to be made to the HTML of the site.

PRONTO, se tudo funcionou como previsto nosso ataque foi configurado com sucesso, agora devemos camuflar nosso ip utilizando algum encurtador de URL e logo após enviar para a vitima através de Phishing. É claro que você deverá ter bons argumentos para fazer a vitima clicar no seu link e inserir suas credenciais de acesso. Para isso deverá ser criado um e-mail falso contendo o link malicioso, ou até mesmo enviando por aplicativos de mensagens com algum texto que chame a atenção da vitima. Depois de ter usado suas skills de engenharia social e ter conseguido com que a vitima abrisse o link, ela vai se deparar com uma cópia identica do site escolhido por você e facilmente irá digitar seus dados de acesso. Assim que ela inserir as credenciais e clicar em enviar ela será redirecionada para o site verdadeiro e você vai receber as credenciais dela direto na tela do SET. Simples né?

DONE, if everything worked as planned, our attack has been successfully set up. Now, we need to camouflage our IP address using a URL shortener and then send it to the victim through phishing. Of course, you should have convincing arguments to make the victim click on your link and enter their login credentials. For this, you need to create a fake email containing the malicious link or send it through messaging apps with some attention-grabbing text. After using your social engineering skills and successfully getting the victim to open the link, they will be presented with an identical copy of the website you chose, and they will easily enter their login details. As soon as they submit the credentials, they will be redirected to the real website, and you will receive their credentials directly on the SET screen. Simple, right?

É isso pessoal, espero que tenham gostado do meu primeiro artigo técnico, estou aberto a dúvidas, críticas, ideias e sugestões. Agradeço a todos que chegaram até aqui. Valeu!

That's it, folks! I hope you enjoyed my first technical article. I'm open to questions, critiques, ideas, and suggestions. I appreciate everyone who made it this far. Thank you!