A Nova Era dos Crimes Digitais: Como se Proteger e Investigar Golpes na Internet
Capítulos
13 seçõesNeste artigo
- O que você vai aprender neste aulão
- O que mudou nos crimes digitais após a pandemia: os 5 fatores que fizeram os golpes explodirem
- Como funcionavam os golpes antes da internet: de Victor Lustig a Frank Abagnale
- Golpe de compra e venda na internet: como identificar e-mails falsos com SPF, DKIM e DMARC
- Estelionato amoroso e golpe do nudes: como criminosos mapeiam suas vítimas
- SIM Swap: como criminosos clonam seu chip e invadem todas as suas contas
- Golpe da mão fantasma: como funciona o acesso remoto usado por criminosos
- Golpes com deepfake e inteligência artificial: a nova fronteira dos crimes digitais
- Jogos de aposta online (Tigrinho): como funciona o golpe por trás dos aplicativos
- Como usar OSINT e Google Hacking para investigar golpes e auxiliar a polícia
- Defesa ativa: como investigadores digitais podem ajudar advogados e delegados
- Engenharia social física: os testes de invasão que provam que nada mudou
- O mercado de investigação digital: oportunidades para profissionais de OSINT no Brasil em 2026
- Ferramentas Utilizadas Neste Aulão
- Perguntas Frequentes
- Quais são os golpes digitais mais comuns no Brasil em 2026?
- Como identificar um e-mail falso de spoofing?
- O que é SIM swap e como se proteger?
- Posso ajudar a polícia com investigação digital mesmo sem ser policial?
- Qual a diferença entre phishing, smishing e vishing?
- Como investigar um perfil fake nas redes sociais?
- O que é engenharia social e como os criminosos usam?
- Quais são os 7 golpes cibernéticos mais comuns?
- Referências e Recursos
O que você vai aprender neste aulão
Crimes digitais e golpes na internet mudaram completamente depois da pandemia — e a maioria das pessoas (incluindo profissionais de segurança) não acompanhou essa evolução. Neste aulão 19, eu trouxe o Delegado Emanuel ao vivo para destrinchar os golpes que mais chegam nas delegacias no pós-pandemia, mostrar como os criminosos operam por dentro e, principalmente, como você pode usar técnicas de OSINT e investigação digital para se proteger, investigar e até ganhar dinheiro ajudando advogados e delegados.
Eu demonstrei ao vivo como funciona um spoofing de e-mail (sim, enviei um e-mail falso de uma "delegacia" para minha própria caixa de entrada). Mostrei como verificar se um e-mail é autêntico usando SPF, DKIM e DMARC. E o Delegado Emanuel trouxe casos reais de vítimas que perderam R$1.700.000 no golpe do nudes, uma senhora que transferiu R$250 mil para um "astronauta", e sequestros originados no Tinder em São Paulo.
Depois de ler este artigo, você vai saber identificar os golpes mais comuns que circulam no Brasil em 2026, entender como investigar cada um deles com ferramentas acessíveis, e descobrir como transformar esse conhecimento em atuação profissional — seja auxiliando a polícia, empresas ou escritórios de advocacia. Se você já acompanha os fundamentos de OSINT que eu ensino desde o aulão 01, vai perceber como tudo se conecta aqui.
O que mudou nos crimes digitais após a pandemia: os 5 fatores que fizeram os golpes explodirem
Os crimes digitais no Brasil mais que quadruplicaram em cinco anos. Segundo o Anuário Brasileiro de Segurança Pública, em 2022 foram registrados mais de 1 milhão e 800 mil casos de estelionatos — 151,6 mil por mês, ou 208 golpes por hora. E esses são só os registrados. Existe uma cifra negra enorme de vítimas que nunca fizeram boletim de ocorrência.
O Delegado Emanuel foi categórico nesse aulão: 2019 foi um marco. Mudou o modo de investigar e mudou o modo de abordagem dos criminosos. E eu concordo — acompanho isso de perto nos casos que atendo.
Os 5 fatores que explodiram os golpes digitais pós-pandemia
-
Falta de educação digital — As pessoas não sabem como funcionam os aplicativos que usam. Não sabem o que é dupla autenticação. Não sabem verificar se um e-mail é legítimo. E foram forçadas a usar tudo isso de uma hora para outra.
-
Confiança cega nos aplicativos — Se a pessoa está usando um app de conversa, ela acredita que aquele app é totalmente seguro. Imagina que alguém vai se passar pela filha dela e pedir dinheiro? Pois é. Acontece todo dia.
-
Inclusão digital forçada — A pandemia empurrou milhões de pessoas para o digital sem preparo nenhum. Idosos, pessoas sem letramento tecnológico, todos precisaram usar Pix, apps bancários, plataformas de compra.
-
Engenharia social em escala — As maiores falhas não estão nos dispositivos. Os dispositivos são até seguros. As maiores falhas estão nos usuários. Eu repito isso em toda aula porque é a realidade. Todo dia milhares de contas do Instagram são hackeadas — não por força bruta, mas por engenharia social.
-
Legislação inadequada — A pena para um golpe do bilhete premiado (1 a 5 anos) era a mesma de um ataque de ransomware contra um banco. Um absurdo. Houve mudanças legislativas depois, mas as penas continuam baixas. A Lei Carolina Dieckmann e o Marco Civil da Internet foram avanços, mas ainda não cobrem toda a complexidade dos crimes digitais atuais.
Dados do Senado Federal mostram aumento de 13,6% nos estelionatos digitais entre 2022 e 2023, enquanto roubos físicos a bancos caíram quase 30%. A migração é clara: o crime saiu da rua e entrou no celular.
Como funcionavam os golpes antes da internet: de Victor Lustig a Frank Abagnale
Engenharia social não nasceu com a internet. O modus operandi é o mesmo desde 1910 — só o meio mudou. E entender isso é o que separa um investigador competente de alguém que só reage a golpes.
Victor Lustig: o homem que vendeu a Torre Eiffel
Victor Lustig era um europeu que em 1910 falsificou crachás do governo francês. Paris estava com falta de ferro, e ele chamou os maiores sucateiros da cidade para uma reunião oficial. Vendeu a Torre Eiffel para esses empresários. Usou engenharia social pura, falsificação de documentos, e conseguiu um dinheiro alto com isso. Depois fugiu para os Estados Unidos, onde virou contador de mafiosos.
Quando eu conto essa história nas aulas, o pessoal fala: "ninguém cairia nisso hoje." Mas cairia sim. Pessoas tentaram comprar o Cristo Redentor. Tentaram comprar terrenos públicos. O modus operandi é o mesmo.
Frank Abagnale Jr.: o golpista sem tecnologia
Frank Abagnale Jr. — aquele do filme Catch Me If You Can com Leonardo DiCaprio — se passou por piloto de avião, médico, advogado e professor de sociologia em uma faculdade. Tudo usando engenharia social. Sem computador, sem internet, sem nada. Falsificava traveler's checks de companhia aérea e ludibriou centenas de pessoas.
A lição aqui é direta: não é necessário tecnologia sofisticada para aplicar golpes. Persuasão e confiança são as principais armas. E isso não mudou em 2026.
O que mudou de verdade
Antes da pandemia, os crimes lucrativos eram sequestros físicos. O celular valia pelo hardware. Há 10 anos, os iPhones estavam sendo criados e o aparelho em si tinha valor. Hoje? O hardware não vale nada. O que vale é a informação dentro — Pix, dados bancários, acessos. O maior ativo financeiro do mundo hoje é informação.
E os criminosos sabem disso. Eles usam o Google Trends para identificar temas quentes e criar phishing contextualizado. Quando aconteceu o ataque em Joinville, criminosos usaram o tema para aplicar phishing no WhatsApp. Quando chega uma mensagem de SMS oferecendo emprego de 4-5 horas por dia ganhando R$10 mil — isso é smishing, SMS phishing para captar dados.
Golpe de compra e venda na internet: como identificar e-mails falsos com SPF, DKIM e DMARC
O golpe de compra e venda é um dos que mais chegam nas delegacias no pós-pandemia. O criminoso encontra você vendendo um produto na OLX ou Mercado Livre, obtém seu e-mail (usando técnicas de Google Hacking com DORKs), e envia um e-mail falso da plataforma dizendo que o pagamento foi feito. Você entrega o produto para um motoboy ou Uber. Perdeu.
Eu quase fui vítima desse golpe. Ano passado, quando estava no Brasil, publiquei produtos para vender e alguém me contactou querendo pagar pelo Mercado Pago fora da plataforma. E olha — eu trabalho com investigação, sou desconfiado por natureza, tenho ferramentas. Mas na hora que você quer vender, não pensa em filtrar golpe. Conecta com a urgência de vender, o cara contactou, pronto. A engenharia social funciona assim.
Como funciona o spoofing de e-mail na prática
Nesse aulão eu demonstrei ao vivo usando o MK Mailer como é possível enviar um e-mail com remetente falso. Criei um e-mail de "delegacia do Brasil" com domínio @policiabr.com e enviei para minha própria caixa de entrada. Chegou na caixa principal, não no spam.
Poderia ter colocado @mercadolivre.com.br, @fbi.gov, qualquer coisa. A ferramenta simula o spoofing para demonstrar a vulnerabilidade. E o e-mail chega com o remetente que você escolher.
Mas calma. Existe como verificar.
Como verificar se um e-mail é autêntico
Quando você abre a mensagem original de um e-mail (no Gmail: três pontos > "Mostrar original"), você consegue verificar três protocolos de autenticação que funcionam como uma assinatura digital do servidor:
| Protocolo | O que verifica | O que significa quando falha |
|---|---|---|
| SPF (Sender Policy Framework) | Se o servidor que enviou tem permissão para enviar em nome daquele domínio | O servidor remetente não é autorizado — possível spoofing |
| DKIM (DomainKeys Identified Mail) | Se o e-mail tem assinatura digital criptografada válida | A mensagem pode ter sido alterada ou forjada |
| DMARC (Domain-based Message Authentication) | Se SPF e DKIM estão alinhados com a política do domínio | O domínio não autenticou aquela mensagem |
No e-mail spoofado que eu enviei ao vivo, nenhuma dessas autenticações existia. Zero. Já no meu e-mail legítimo do brunofraga.com, o SPF aparecia como aprovado e o DKIM mostrava que o domínio brunofraga.com autorizou aquele envio. A diferença é gritante quando você sabe onde olhar.
Se você participou do aulão 17 sobre investigação de e-mails, já conhece esse processo. Para quem está chegando agora: aprenda a ler cabeçalhos de e-mail. Isso sozinho já te protege de 80% dos golpes por e-mail. A Cloudflare tem um guia técnico excelente sobre como esses protocolos funcionam juntos.
O que fazer se você já foi vítima
O Delegado Emanuel trouxe um ponto que eu acho que todo investigador precisa saber: a própria plataforma tem dados do acesso do criminoso. Endereços de IP, logs de login, dados de conta. Você, como profissional, pode sugerir ao delegado que solicite ao Mercado Livre todos os acessos de IP daquele login. A maioria dos delegados não sabe que pode pedir isso.
E tem gente que chega na delegacia querendo processar a plataforma, sendo que toda negociação foi feita por fora. O criminoso começou a conversar pelo WhatsApp. Mandou um e-mail que não era da plataforma. A vítima entregou o bem e agora quer culpar o Mercado Livre. Entender esse fluxo é parte do trabalho de inteligência que você pode entregar.
Estelionato amoroso e golpe do nudes: como criminosos mapeiam suas vítimas
Estelionato amoroso é um guarda-chuva que abriga golpes com valores absurdos. E a sofisticação da engenharia social envolvida surpreende até profissionais experientes.
Golpe do nudes: R$1.700.000 em uma única vítima
O modus operandi é assim: um perfil de uma pessoa atraente aborda um homem mais velho no Facebook. Migram para WhatsApp. Trocam fotos íntimas. Em determinado momento, o criminoso diz que a pessoa é menor de idade — "eu sou o pai dela, você é um pedófilo." Começa a extorsão.
Na delegacia do Delegado Emanuel, uma vítima transferiu R$1.700.000 para os criminosos. Um milhão e setecentos mil reais. E antes de extorquir, o criminoso faz um mapeamento completo: esposa, filhos, onde trabalha, se tem filhos menores. Monta um arsenal para pressionar.
Eu já atendi casos assim. Não com valores tão expressivos, mas o padrão é sempre o mesmo. E a investigação começa por onde?
Como investigar perfis fakes envolvidos em golpes
Cinco passos que eu uso e que funcionam:
-
Verificar engajamento real — Perfil com 1 milhão de seguidores mas sem curtidas e comentários proporcionais? Red flag imediata.
-
Buscar nome de usuário em outras plataformas — Se você achar um perfil no Tinder que não tem nenhum rastro na internet, nenhuma conta em outro lugar com aquele nome ou usuário, é red flag. Eu tenho um vídeo no canal sobre investigação por nome de usuário que detalha isso.
-
Busca reversa por imagem — Pegar a foto do perfil e colocar no Google para ver outros perfis que usam a mesma foto. Funciona em 2026 e vai continuar funcionando.
-
Verificar o WhatsApp — A ferramenta Dono do Zap (que eu criei e está temporariamente desativada enquanto discutimos questões sobre fontes abertas) consumia dados públicos — Google, Bing, API do WhatsApp — para mostrar o nome vinculado a um telefone. Se a "Giovanna" que te ameaça tem o WhatsApp no nome do "Jorge", algo não faz sentido.
-
Monitorar atividade do perfil fake — Eu tive um caso com o Diego Andretta onde estávamos investigando uma conta fake que sempre tinha 6 seguidores. Às 2h da manhã no Brasil (eu estava na Coreia), atualizei o Instagram e vi que tinha passado para 7. O perfil tinha seguido uma casa noturna — provavelmente para fazer check-in. Em 15 minutos, desfez o follow. Mas eu já tinha tirado o print. A partir daquela balada, daquela cidade, começamos a mapear a localização do criminoso.
Criminosos cometem erros usando perfis fakes. Um like, um follow, uma curtida em uma lanchonete que frequentam. E monitoramento constante captura esses deslizes.
A senhora que transferiu R$250 mil para um "astronauta"
Esse caso eu preciso contar com detalhes porque ilustra o poder da engenharia social. Uma senhora idosa no interior de São Paulo estava conversando com alguém que dizia ser astronauta. Ele falou que precisava do dinheiro para voltar da estação espacial para a Terra. Ela transferiu mais de R$250 mil.
Parece absurdo? Parece. Mas tem gente que acredita que fala com Brad Pitt, com Johnny Depp. Não subestime a capacidade de manipulação dos criminosos quando a vítima é vulnerável.
Sequestros via Tinder em São Paulo
Em São Paulo está acontecendo uma modalidade que começa como estelionato e vira sequestro. A pessoa cria perfil no Tinder, marca encontro, e quando a vítima aparece, é levada para cárcere privado. Fazem transferências via Pix até drenar as contas. Acontece com homens e mulheres.
Investigar o perfil antes do encontro presencial não é paranoia. É sobrevivência digital em 2026.
SIM Swap: como criminosos clonam seu chip e invadem todas as suas contas
SIM swap é quando o criminoso convence a operadora a transferir seu número de telefone para um chip que ele controla. Com isso, recebe seus SMS, seus códigos de verificação, e acessa todas as contas vinculadas ao seu número.
O Delegado Emanuel confirmou: algumas operadoras permitem fazer a portabilidade do chip para outro aparelho por telefone. O criminoso tem dados da vítima (obtidos por fontes abertas), confirma para a operadora, e às 23:50 da noite fazem o SIM swap. Tiveram casos com pessoas de 500 mil seguidores.
Minha experiência pessoal com a falha das operadoras
Eu vou contar uma coisa que aconteceu comigo no Brasil. Fui na loja da Claro trocar meu chip. Não levei RG. Estava com minha filha bebê no colo, chorando. A vendedora não pediu documento. Dei meus dados verbalmente e ela fez a troca.
Isso não foi engenharia social intencional da minha parte — era uma situação real. Mas demonstra a vulnerabilidade do processo. Se eu consegui trocar um chip sem RG porque tinha um bebê chorando, imagine o que um criminoso treinado em vishing (phishing por voz) consegue. Eles colocam áudios de criança, usam mulheres com boa oratória, criam urgência. E funcionam.
Como se proteger de SIM swap
- Use aplicativo de autenticação (Google Authenticator ou Microsoft Authenticator) em vez de SMS para dois fatores
- Não vincule recuperação de senha a e-mail com senha fraca — quando fazem SIM swap, já sabem sua senha porque você usa a mesma em tudo
- Use gerenciador de senhas como LastPass para ter senhas diferentes em cada serviço
- Se possível, use chave de segurança física — meus dois fatores dependem de um pendrive com biometria que eu mostrei ao vivo no aulão. Sem meu dedo plugado naquele dispositivo, ninguém acessa
Ter Google Authenticator ou Microsoft Authenticator é o mínimo hoje em dia. Eu não recomendo SMS para dois fatores em nenhuma circunstância, porque é exatamente o que o SIM swap explora.
Clonagem de WhatsApp: o golpe do código de 6 dígitos
O criminoso encontra seu telefone em um anúncio (OLX, Mercado Livre), tenta instalar o WhatsApp no próprio aparelho com seu número, e liga para você se passando pela plataforma: "por questões de segurança, você vai receber um código de 6 dígitos. Precisamos confirmar que você é você mesmo."
A vítima envia o código. O criminoso acessa todas as conversas (geralmente em nuvem) e todos os contatos. Começa a aplicar engenharia social nos seus contatos pedindo dinheiro. Dois fatores já ajudam porque o criminoso precisaria pedir também o PIN de verificação em duas etapas. Mas as vítimas passam isso também. É manipulação.
Golpe da mão fantasma: como funciona o acesso remoto usado por criminosos
O golpe da mão fantasma funciona assim: o criminoso liga dizendo que você tem gastos exorbitantes no cartão. Convence você a instalar uma "atualização de segurança" que é na verdade um Trojan de acesso remoto. Com isso, veem sua tela, suas senhas, seus apps bancários. Fazem transferências enquanto você assiste.
Mas aqui vai um detalhe técnico que eu acho fascinante: esse tipo de golpe com conexão remota é o mais fácil de investigar. O software de conexão remota cria um túnel bidirecional. No momento da conexão, ele entrega em tempo real o IP de onde está vindo. Você consegue até fazer uma conexão reversa — hackear a webcam do criminoso enquanto ele está te "hackeando."
O canal Scammer Payback no YouTube faz exatamente isso. O cara se passa por vítima, e enquanto o golpista acha que está no controle, ele vai em outro computador, faz a conexão reversa, hackeia a câmera do criminoso e mostra a foto dele ao vivo. O golpista desliga a chamada correndo. Esse canal inclusive ajudou a derrubar um esquema golpista de R$350 milhões em parceria com a polícia da Califórnia.
Eu quero criar conteúdo assim no Brasil. Só preciso que alguém me aplique esse golpe primeiro.
Existe uma variante onde mandam um motoboy buscar o cartão físico na residência da vítima. A pessoa entrega o cartão com código de segurança e o criminoso faz compras online ou usa maquininhas para compras físicas.
Golpes com deepfake e inteligência artificial: a nova fronteira dos crimes digitais
Deepfake não é futuro. Já está acontecendo. E as pessoas não estão preparadas para investigar isso.
Um colega meu foi vítima de deepfake — fizeram um vídeo dele vendendo um empréstimo falso. Era um influenciador com bastante credibilidade, e o vídeo era convincente o suficiente para que pessoas comprassem um produto que não existia, de um link fraudulento.
E eu tive minha própria experiência. Apareceu no YouTube um vídeo do Elon Musk falando sobre computação quântica. "Aqui é o Elon Musk, eu tenho uma oportunidade de retorno 10 vezes para você usando a computação quântica, este é o link." O deepfake ficou perfeito. Eu fiquei olhando e demorei para entender que não era o Elon Musk real. Eu, que trabalho com isso. Imagine as pessoas que veem uma oportunidade do Elon Musk falando diretamente para elas.
Deepfake, clonagem de voz e IA — os três juntos — são ameaças para as quais a população não está preparada. E por isso precisamos de profissionais capacitados em investigação digital. Se você quer entender como a IA já está sendo usada em investigação (para o bem), eu recomendo assistir o aulão sobre ChatGPT para investigação digital.
Jogos de aposta online (Tigrinho): como funciona o golpe por trás dos aplicativos
O Jogo do Tigrinho (Fortune Tiger) virou febre no Brasil e está no centro de dezenas de investigações. Mas preciso ser direto aqui: não é um cassino. É um golpe com template PHP.
Tem fóruns hoje que você paga R$300 e recebe o template PHP para replicar o joguinho. Você sobe em um domínio, configura o Pix, e pronto. O dinheiro vai direto para a conta do golpista. Quem ganha dinheiro é quem hospeda o site e o influencer que divulga.
Quando eu estava investigando, percebi que influencers divulgam o jogo do Tigrinho todo dia, mas sempre de um domínio diferente. Tigrinho 10X, Tigrinho Cassino, Tigre ponto BR, Tigre ponto com. Porque cada domínio fica 24 horas no ar e cai. É um novo golpe a cada dia, com um novo endereço.
As vítimas fazem boletim de ocorrência, e a investigação envolve chegar nos provedores (frequentemente fora do Brasil, em jurisdições blindadas como Bahamas) e nos influencers. É aí que entra o OSINT: rastreamento de rede social de influencer para descobrir localização usando Google Hacking e técnicas de investigação digital.
Mas nem tudo é simples. Provedores em offshores dificultam cooperação policial internacional. E os estelionatários brasileiros, como o Delegado Emanuel apontou, não usam técnicas sofisticadas de lavagem — é "meu Pix, vai para cá, vem para lá." O que torna mais rápido o rastreamento financeiro quando a investigação tem apoio técnico adequado.
Como usar OSINT e Google Hacking para investigar golpes e auxiliar a polícia
O ciclo de inteligência é o mesmo que a CIA usa: definir a direção, definir a base de dados, processar os dados, gerar inteligência e gerar conclusões. Eu estava lendo ontem o documento público da CIA sobre a Intelligence Cycle. Está lá, código aberto, explicando como funciona. E é exatamente o que fazemos com OSINT.
O Delegado Emanuel confirmou algo que eu sempre digo: a gente entra na escola da polícia, tem noções básicas de fontes abertas e entende os sistemas fechados. Mas o curso de Google Hacking com DORKs não existe na academia policial. Dezenas de policiais que assistem meus aulões fazem cursos externos para se aprimorar.
E aqui está o ponto que muda tudo: você, como profissional privado, tem acesso às mesmas ferramentas que a CIA e a polícia usam. A internet democratizou o acesso a fontes de dados. Open source é a mesma open source que os investigadores da polícia usam e que eu ensino nos treinamentos de investigação digital.
Caso real: relatório de inteligência que acelerou investigação policial
Eu tive um caso onde entreguei um relatório final que mapeava tudo: zona frequentada pela pessoa investigada, IP, dados completos, padrões de comportamento. Esse relatório fez com que o caso fosse direto para a delegacia especializada de crimes cibernéticos em São Paulo. Sem esse trabalho de inteligência, provavelmente teria ficado em uma delegacia comum sem recursos para investigar.
O Delegado Emanuel confirmou: isso faz com que acelere a investigação e que a equipe tenha um norte para seguir. Nem toda delegacia é especializada, e casos simples podem não receber atenção adequada sem apoio de inteligência.
Engenharia social reversa: investigando o criminoso
Uma técnica que eu uso bastante é a engenharia social reversa. No golpe de compra e venda, por exemplo, o criminoso também está vulnerável. Ele quer ver comprovante de pagamento. Então eu crio um link — pode ser um Google Drive, pode ser usando ferramentas como o H-SPY para capturar câmera, IP, localização, hardware. Mando: "Tá aqui a foto do comprovante do Pix." O criminoso clica para confirmar a informação. E eu capturo os dados dele.
Funciona? Sim, mas com ressalvas. Dados telemáticos como geolocalização e IP, como regra, dependem de autorização judicial para uso em inquérito. O que eu entrego é relatório de inteligência. O advogado decide o que usar juridicamente. Algumas ferramentas são discutíveis no âmbito jurídico mas válidas no âmbito de inteligência — e essa distinção é importante para quem quer atuar profissionalmente.
Se você quer aprender a descobrir quem está por trás de um site ou investigar golpes reais passo a passo, eu já cobri isso em aulões anteriores.
Defesa ativa: como investigadores digitais podem ajudar advogados e delegados
Defesa ativa é um conceito jurídico moderno no processo penal brasileiro. A defesa pode buscar provas — inclusive para absolver a pessoa. Às vezes o advogado procura você para mostrar que o cliente não é o autor daquele fato. Usando técnicas de OSINT e Google Hacking, você consegue provar que a pessoa estava em outro local, buscando uma câmera de estacionamento, por exemplo.
O Delegado Emanuel foi enfático: auxiliar advogados é um nicho que não é explorado ainda no Brasil. Escritórios de advocacia em Curitiba já estão usando investigação privada para auxiliar casos. Mas são poucos. Se todo escritório tivesse alguém — ou um terceirizado fazendo freelancer — as investigações seriam melhores.
Como funciona na prática
- O advogado recebe um caso de estelionato digital
- Você, como investigador, faz o levantamento de inteligência: análise de e-mails, rastreamento de perfis, mapeamento de IPs, verificação de autenticidade de comunicações
- Entrega um relatório de inteligência com todas as evidências documentadas
- O advogado decide o que usar juridicamente — pode sugerir ao delegado que solicite dados da plataforma, pode usar as evidências na defesa ativa
- O caso chega na delegacia com fundamentação, o que direciona para delegacia especializada e acelera a investigação
Eu sempre falo: a gente como investigadores entrega o relatório de inteligência, faz o trabalho de inteligência. O advogado é o responsável por tocar aquilo, por escolher o que usar. Essa separação de responsabilidades é o que torna a atuação profissional viável e ética.
Se você está pensando em iniciar carreira como investigador digital, esse é o caminho com mais demanda em 2026.
Engenharia social física: os testes de invasão que provam que nada mudou
Eu trouxe dois casos de pen-test físico no Brasil que amigos próximos realizaram, porque ilustram que segurança digital sem segurança física não existe.
Caso 1 — Tailgating no elevador: O profissional chegou no elevador de uma empresa grande. Precisava de crachá para acessar o andar. Chegou cheio de pastas e disse: "segura a porta pra mim." Entrou junto. Acessou a sala dos programadores onde informações sensíveis eram faladas em voz alta. Isso se chama tailgating — uma técnica de engenharia social física que explora a cortesia humana.
Caso 2 — USB na recepção: O profissional chegou na recepção dizendo que tinha entrevista de emprego e precisava imprimir o currículo. "Esqueci de imprimir, meu Deus, tá aqui meu pen drive, imprime pra mim." A recepcionista plugou o pen drive no computador. Acesso total à rede da empresa. A política de não plugar dispositivos externos existe por motivo — mas engenharia social explora empatia.
Esses casos mostram que o modus operandi é o mesmo de Victor Lustig em 1910. Muda o cenário, muda a tecnologia, mas a vulnerabilidade humana permanece.
O mercado de investigação digital: oportunidades para profissionais de OSINT no Brasil em 2026
O conhecimento pelo conhecimento não tem valor nenhum. Estudar técnicas de OSINT, de Google Hacking, para ficar provando que você é bom, que consegue chegar num cara, que consegue invadir um site — tem valor, mas é muito melhor utilizar isso ganhando dinheiro e auxiliando o próximo.
Esse é um mercado que está gerando renda alta no pós-pandemia. E as oportunidades são concretas:
- Auxiliar delegacias — Entregar relatórios de inteligência que aceleram investigações e direcionam para delegacias especializadas
- Auxiliar escritórios de advocacia — Defesa ativa, busca de provas, mapeamento de autores de golpes
- Auxiliar empresas privadas — Testes de segurança, investigação de fraudes internas, due diligence digital
- Criar soluções e ferramentas — Extensões que verificam autenticidade de e-mails, chatbots que analisam se uma comunicação é confiável
- Educação e treinamento — Ensinar pessoas e empresas a se protegerem
O profissional privado tem acesso às mesmas ferramentas. Não existe informação mais privilegiada quando falamos de open source intelligence. A mesma open source que os investigadores da polícia usam é a que você aprende aqui. Para quem quer se aprofundar nas ferramentas que todo investigador digital precisa conhecer, eu já detalhei isso em aulão anterior.
Ferramentas Utilizadas Neste Aulão
| Ferramenta | Finalidade | Link |
|---|---|---|
| Google Hacking (DORKs) | Busca avançada no Google para encontrar e-mails, dados, fotos e informações específicas | |
| Google Trends | Identificar temas quentes — criminosos usam para criar phishing contextualizado | Google Trends |
| Google Authenticator | Autenticação de dois fatores para proteger contas contra SIM swap | Google Authenticator |
| Microsoft Authenticator | Autenticação de dois fatores como alternativa ao Google Authenticator | Microsoft Authenticator |
| LastPass | Gerenciamento e criptografia de senhas para evitar reutilização | LastPass |
| mSpy | Ferramenta de monitoramento mencionada pelo Delegado como recurso de inteligência | mSpy |
| Scammer Payback | Canal do YouTube que investiga golpistas de acesso remoto ao vivo | Scammer Payback |
| OLX | Plataforma de compra e venda onde criminosos encontram dados de vítimas | OLX |
| Mercado Livre | Plataforma de compra e venda — criminosos forjam e-mails da plataforma | Mercado Livre |
Perguntas Frequentes
Quais são os golpes digitais mais comuns no Brasil em 2026?
Os golpes que mais chegam nas delegacias são: golpe de compra e venda com e-mail falso, estelionato amoroso (incluindo golpe do nudes), clonagem de WhatsApp, SIM swap, golpe da mão fantasma (acesso remoto), e golpes com aplicativos de aposta como o Tigrinho. Segundo o Anuário Brasileiro de Segurança Pública, foram mais de 1 milhão e 800 mil estelionatos registrados em 2022, com aumento de 13,6% nos anos seguintes.
Como identificar um e-mail falso de spoofing?
Abra a mensagem original do e-mail e verifique três protocolos: SPF (se o servidor tem permissão para enviar), DKIM (se existe assinatura digital válida) e DMARC (se as autenticações estão alinhadas). Um e-mail spoofado não terá nenhuma dessas autenticações aprovadas. No Gmail, acesse "Mostrar original" nos três pontos do e-mail para ver esses dados.
O que é SIM swap e como se proteger?
SIM swap é quando o criminoso convence a operadora a transferir seu número de telefone para um chip sob controle dele. Com isso, recebe seus SMS e códigos de verificação. Para se proteger, use aplicativo de autenticação (Google Authenticator ou Microsoft Authenticator) em vez de SMS para dois fatores, use senhas diferentes em cada serviço com gerenciador como LastPass, e se possível utilize chave de segurança física com biometria.
Posso ajudar a polícia com investigação digital mesmo sem ser policial?
Sim. O conceito de defesa ativa no processo penal permite que profissionais auxiliem advogados na busca de provas. Você pode entregar relatórios de inteligência com levantamento de IPs, mapeamento de perfis, verificação de e-mails e análise de fontes abertas. Escritórios de advocacia em Curitiba já utilizam investigação privada para auxiliar casos, e delegacias especializadas recebem bem casos que chegam com fundamentação técnica.
Qual a diferença entre phishing, smishing e vishing?
Phishing é o ataque por e-mail que tenta enganar a vítima para clicar em links maliciosos ou fornecer dados. Smishing é a mesma técnica aplicada via SMS — como aquelas mensagens oferecendo emprego de 4-5 horas ganhando R$10 mil. Vishing é phishing por voz, onde o criminoso liga se passando por banco ou operadora para extrair dados. Os três exploram engenharia social, apenas o canal muda.
Como investigar um perfil fake nas redes sociais?
Verifique o engajamento real (seguidores vs curtidas/comentários), busque o nome de usuário em outras plataformas, faça busca reversa por imagem no Google, verifique se o WhatsApp está no nome de quem diz ser, e monitore a atividade do perfil ao longo do tempo. Perfis fakes geralmente têm histórico curto (menos de 6 meses), pouco engajamento e nenhum rastro digital consistente em outras plataformas.
O que é engenharia social e como os criminosos usam?
Engenharia social é a técnica de manipulação psicológica para obter uma ação da vítima — clicar em um link, enviar um código, transferir dinheiro, entregar um produto. Os criminosos usam urgência, medo, ganância e empatia como gatilhos. Funciona desde 1910, quando Victor Lustig vendeu a Torre Eiffel, até 2026, quando golpistas usam deepfake do Elon Musk para vender investimentos falsos. A tecnologia muda, a vulnerabilidade humana permanece.
Quais são os 7 golpes cibernéticos mais comuns?
Os mais recorrentes nas delegacias brasileiras são: golpe de compra e venda com e-mail falso, golpe do nudes/extorsão sexual, clonagem de WhatsApp via código de 6 dígitos, SIM swap para invasão de contas, golpe da mão fantasma com acesso remoto, estelionato amoroso com perfis fakes, e golpes com aplicativos de aposta fraudulentos (Tigrinho). Cada um tem modus operandi específico e pode ser investigado com técnicas de OSINT.
Referências e Recursos
- Anuário Brasileiro de Segurança Pública 2023 — Estelionatos no Brasil (G1)
- Golpes virtuais aumentam e não fazem distinção de idade (Senado Federal)
- Victor Lustig — Wikipedia
- Frank Abagnale Jr. — Wikipedia
- O que são DMARC, DKIM e SPF — Cloudflare
- Protocolos de autenticação de e-mail — Email on Acid
- O que é SIM Swapping — Proofpoint
- O que é Phishing — Proofpoint BR
- O que é Smishing — Fortinet
- O que é Vishing — Proofpoint
- O que é um Tailgating Attack — Check Point
- Lei Carolina Dieckmann — ProJuris
- Marco Civil da Internet — Câmara dos Deputados
- The Intelligence Cycle — CIA
- A misteriosa empresa por trás do Jogo do Tigrinho — BBC
- YouTubers ajudam a derrubar esquema golpista de R$350 milhões
- Canal Scammer Payback — YouTube
Conteudo Relacionado
Desvendando Perfis no Twitter: Técnicas de Investigação que Poucos Conhecem
Shodan na Prática: Como Encontrar Dispositivos Vulneráveis Expostos na Internet
Transforme seu Android em um laboratório de investigação digital
