Como usei IA Local para detectar Phishing de 4ª Geração (Tutorial + Script Python)
Em 2026, a era do phishing com erros de ortografia acabou. Entramos na fase do Phishing de Quarta Geração (Gen4), onde agentes autônomos de IA mimetizam com perfeição o estilo de escrita de executivos e mantêm conversas persistentes para ganhar sua confiança.
Se você trabalha com defesa ou quer proteger sua infraestrutura, os filtros tradicionais baseados em regex e blocklists não são mais suficientes. O segredo agora é analisar a intenção e a cadência psicológica.
Neste post, vou mostrar como você pode rodar uma camada de defesa local usando Ollama e Python para analisar e-mails suspeitos sem enviar dados sensíveis para a nuvem.
O Problema: Proxies AITM e Persistência Conversacional
Os ataques atuais utilizam Proxies de Proxy Reverso (Adversary-in-the-Middle - AITM) automatizados. Eles interceptam tokens MFA em tempo real. Mas antes do clique, existe o estágio de persuasão, onde a IA tenta te convencer de que é uma emergência real.
Colocando a mão na massa: O Analisador Local
Para demonstrar como isso funciona na prática, criei um script simples em Python que atua como uma Prova de Conceito (PoC). A ideia aqui é mostrar que a nossa defesa pode (e deve) ser tão ágil e inteligente quanto o ataque.
- Preparando o ambiente
Primeiro, você precisará do Ollama rodando na sua máquina (recomendo o modelo llama3). Depois, instale a biblioteca oficial de integração com o Python:
bash
pip install ollama
- O Script de Defesa (Security Agent)
Este script não busca apenas palavras-chave ou links suspeitos; ele interroga a intenção e a estrutura de persuasão do texto.
python
def analisar_ameaca_phishing(conteudo_email):
# Definindo um System Prompt especializado para detectar Phishing Gen4
system_prompt = (
"Você é um analista sênior de SOC especializado em engenharia social. "
"Sua missão é detectar Phishing de 4ª Geração. Diferente do phishing antigo, este foca em: \n"
"1. Engenharia social de alta precisão (contexto corporativo real).\n"
"2. Senso de urgência artificial que parece legítimo.\n"
"3. Mimetismo de autoridade ou colegas de trabalho.\n\n"
"Analise o conteúdo, forneça um score de risco de 0 a 10 e uma justificativa técnica."
)
try:
response = ollama.chat(model='llama3', messages=[
{'role': 'system', 'content': system_prompt},
{'role': 'user', 'content': f"Analise o seguinte e-mail suspeito:\n\n{conteudo_email}"}
])
return response['message']['content']
except Exception as e:
return f"Erro ao conectar com o Ollama: {e}. Certifique-se de que o serviço está rodando."
# Exemplo de e-mail de phishing moderno (hiper-personalizado)
corpo_email = """
Oi Evandro, aqui é o Marcelo do Financeiro.
Cara, o token de acesso do projeto Glasswing deu erro na integração agora à tarde.
Preciso que você dê uma olhada nesse log de acesso rápido pra eu não travar o deploy das 18h.
Segue o link para o relatório: http://intranet-fymax-seguranca.com/logs/view?id=992
Valeu!
"""
print("--- INICIANDO ANÁLISE DE SEGURANÇA LOCAL ---")
resultado = analisar_ameaca_phishing(corpo_email)
print(resultado)
O "Pulo do Gato": Por que isso funciona?
Diferente de um filtro de spam tradicional que morre em regras de REGEX, essa PoC ataca o motor da engenharia social. O modelo de IA consegue correlacionar que um "erro de token" em um "horário crítico de deploy" (18h) com um "link externo" é um padrão de pressão psicológica clássico.
O grande diferencial aqui é a privacidade: ao rodar o Ollama localmente, você analisa ameaças potenciais sem vazar o conteúdo de e-mails corporativos ou dados sensíveis para APIs de terceiros. É segurança agêntica em sua forma mais pura.
Pergunta para a comunidade: Vocês já estão implementando camadas de análise de IA nos fluxos de e-mail de suas empresas ou ainda confiam apenas nos gateways padrão?