Desafio de Investigação Digital ao Vivo: Como Rastreamos um Golpista do Pix em 1h45
Capítulos
5 seçõesNeste artigo
- O que você vai aprender neste aulão de desafio de investigação digital
- O que é um desafio de investigação digital (CTF de OSINT)
- O caso replicado: golpe do Pix das enchentes do RGS e dos Correios
- Passo zero: ler o log do Discord e mapear identificadores
- Como localizar pelo SSID Wi-Fi com Wigle
- Steam expõe o histórico de username (e isso entrega tudo)
- Busca reversa de username com Hunter, Sherlock e Google
- Inspecionar código fonte: o domínio escondido que entrega o golpista
- Como Runkeeper, Duolingo e Kiwify expõem o golpista
- Google Maps com camadas e Street View para confirmar endereços
- Como WHOIS e Ruxi resolvem domínios anônimos
- Como os vencedores Divinity e Deus do Medo resolveram
- Ferramentas Utilizadas Neste Aulão
- Perguntas Frequentes sobre desafio de investigação digital
- O que é um CTF de investigação digital?
- Como rastrear pessoa pela rede Wi-Fi?
- Como descobrir o nome real de um usuário do Discord?
- Como o Runkeeper expõe localização de uma pessoa?
- Como funciona o histórico WHOIS para domínios anônimos?
- Por que inspecionar o código fonte de um site falso?
- Hunter, Sherlock e OSINT Industries: qual é a diferença?
- Posso treinar OSINT com CTF gratuito antes de pagar curso?
- Referências e Recursos
O que você vai aprender neste aulão de desafio de investigação digital
Você vai entender como funciona um desafio de investigação digital na prática — um CTF (Capture The Flag) onde, partindo de um log de conversa do Discord, você precisa identificar um golpista, mapear sua localização, encontrar suas redes sociais e coletar provas. Tudo em tempo real, em 1h45 de transmissão ao vivo.
No Aulão Semanal #049, eu lancei o primeiro desafio público de investigação digital da minha história no canal — uma replicação íntegra de um caso real que minha equipe investigou: a quadrilha que aplicava golpes de Pix doação durante as enchentes do Rio Grande do Sul e o golpe da caixa dos Correios. Mais de 1.250 alunos conectados. Notebook Dell para o primeiro lugar e bolsa do Protocolo Sherlock para os 2 primeiros.
Eu mostro o passo a passo de como o personagem Dark foi rastreado: do SSID Wi-Fi exposto em um print do Playstation 4, pelo histórico de username no Steam, até o e-mail real descoberto via WHOIS de um domínio que ele esqueceu de anonimizar. Os 2 vencedores também entraram na live e contaram o atalho que me salvou: Google Maps com camadas de textura ativas para identificar a Escola Eleonor Roussevet onde o alvo estuda. Se você quer treinar OSINT com caso real, este artigo é o ponto de partida.
O que é um desafio de investigação digital (CTF de OSINT)
Um desafio de investigação digital é um CTF onde os participantes precisam aplicar técnicas de OSINT para identificar um alvo, mapear sua localização e coletar evidências. Diferente de um CTF tradicional de hacking, o foco aqui é em fontes abertas: redes sociais, WHOIS, metadados, vazamentos públicos.
No formato do Aulão #049, eu entreguei aos participantes 2 PDFs: o contexto do caso e um log de conversa do Discord entre 2 personagens (Dark e Shelby). A partir desse log, 14 perguntas precisavam ser respondidas — cada acerto valia 100 pontos, com ranking ao vivo. Quem somasse mais pontos primeiro levava o notebook.
Veja também: Aulão #017 — Pare de Só Estudar Teoria: Desafios Práticos Para Treinar Investigação Digital — base conceitual de por que CTF é o melhor método de aprender OSINT.
E por que CTF funciona como ensino? Porque você não aprende OSINT lendo livro. Aprende sujando a mão em caso real. Quem só estuda teoria trava no primeiro alvo de verdade. Quem treina em CTF, mesmo errando, acelera anos de carreira.
O caso replicado: golpe do Pix das enchentes do RGS e dos Correios
O contexto do desafio é uma replicação íntegra de uma quadrilha real que minha equipe investigou. Os criminosos clonavam sites legítimos para receber doações via Pix supostamente destinadas às vítimas das enchentes do Rio Grande do Sul. O desvio era massivo. Em paralelo, a mesma quadrilha rodava o golpe da caixa dos Correios — você paga um Pix esperando receber uma caixa fechada e nunca chega nada.
Por que replicar caso real? Porque variável fictícia ensina pouco. O log do Discord no desafio tinha tudo que apareceu na investigação real: SSID de Wi-Fi vazado por print de PS4, screenshots de painel da Kiwify, conversas sobre banimento de domínio no Facebook, menção a WordPress como ferramenta de clonagem rápida.
Na investigação real, foram derrubados mais de 100 sites de doação falsa em 3 dias usando exatamente essas técnicas. O CTF replica o caminho.
Veja também: Aulão #043 — Como Investigar Golpes do Pix — o episódio dedicado a investigação de golpes de Pix tem todo o protocolo expandido.
Passo zero: ler o log do Discord e mapear identificadores
Antes de qualquer ferramenta, você lê tudo. Nada de pular para o Wigle ou Hunter sem antes mapear identificadores. Esse é o erro número 1 do investigador iniciante — pular a leitura.
O que você procura na primeira leitura:
- Nomes de usuário (Discord, Steam, qualquer plataforma mencionada)
- SSIDs de redes Wi-Fi
- Endereços IP, mesmo parciais
- URLs e domínios
- Screenshots e prints (cada um pode esconder metadado, plataforma, padrão de UI)
- Datas e timestamps
- Menções a aplicativos, jogos, ferramentas
No Aulão, eu abri um bloco de notas literal e fui anotando cada item. Dark mencionou "internet horrível", "tô na sala do Discord", "compartilho a tela". E Shelby falou em "sigilo" e "IP mais porta". Sem anotação, você perde 80% da pista — porque o cérebro humano não retém detalhes técnicos suficientes.
Mas qual o pulo do gato dessa fase? É reconhecer plataformas pelos prints sem precisar de OCR. Se você joga Steam, identifica a UI da Steam de cara. Se já viu painel da Kiwify, sabe que é Kiwify. Investigador bom é investigador que conhece muitas plataformas — o que o Ulisses sempre fala: "se você vai investigar no Tinder, você tem que saber como o aplicativo funciona".
Como localizar pelo SSID Wi-Fi com Wigle
O SSID é o nome da rede Wi-Fi — e ele é mapeado mundialmente pelo Wigle. Basta criar conta gratuita, buscar o SSID, e a localização aparece em mapa.
No desafio, Dark mostrou um print de teste de velocidade do Playstation 4. Naquele print, aparecia o SSID "complementar 037". Bruno e o Diego buscaram no Wigle e a rede apareceu mapeada na Rua Faustino Porto, em Recife. Pronto — o alvo está em Pernambuco.
Mas o Diego trouxe um detalhe técnico que poucos sabem: aquele print do PS4 também mostrava NAT Type 2. NAT 2 indica que o usuário está atrás de um roteador com CGNAT do provedor — ou seja, ele não tem IP público direto. Para usar o IP em investigação, exige quebra de sigilo do provedor. Por isso o SSID é mais valioso que o IP em fase inicial: entrega localização sem ordem judicial.
Veja também: Aulão #044 — WiGLE para Investigação Digital: Como Rastrear Redes Wi-Fi e Localizar Dispositivos — episódio dedicado ao Wigle com fluxos avançados.
E tem um truque ofensivo aplicável a CTF e a investigação real: se o alvo está em uma chamada de voz no Discord ou Telegram, incentive um compartilhamento de tela durante a gameplay. Print de painel de configuração do PS4, do roteador ou do Steam quase sempre exibe o SSID. Sem hackear nada — só engajamento social.
Steam expõe o histórico de username (e isso entrega tudo)
A Steam tem uma feature pública pouco lembrada: cada perfil mostra o histórico de nomes anteriores. Você clica na setinha ao lado do nome atual e aparecem todos os usernames que aquela conta já usou.
No desafio, Dark usava o nome do personagem da capa do Steam. Mas no histórico, apareceu Lutone051 — um username único. E aí virou o jogo. Lutone051 é único o suficiente para uma busca reversa entregar todas as outras redes do alvo.
Esse padrão repete em outras plataformas. Telegram tem histórico de fotos de perfil que muita gente esquece de apagar. Twitter tinha histórico de @ até a mudança para X. Discord tem histórico de discriminator. Cada plataforma esconde uma feature parecida — investigador bom conhece todas.
Busca reversa de username com Hunter, Sherlock e Google
Com o username único Lutone051 em mãos, você procura em todas as redes sociais possíveis. Tem 3 caminhos:
Caminho gratuito: Sherlock e Google
Sherlock é a ferramenta open-source mais usada — busca em 400+ redes via CLI Python. Resultado em segundos. Para complementar, busque o username entre aspas duplas no Google: "Lutone051". Match raro retorna canal YouTube, perfil Linktree, conta esquecida de fórum.
Caminho profissional: Hunter
O Hunter é uma ferramenta proprietária que eu construí e demonstro na Operação Inteligência Oculta. Ele cruza username com YouTube, Twitter, Linktree, Duolingo, Runkeeper, GitHub e dezenas de outras plataformas em um único clique. A vantagem técnica: usa fazenda de smartphones reais para validar contas em apps mobile que não expõem API pública.
No desafio, o Hunter pegou o nome real Lucas Antônio Soares pelo canal de gameplay no YouTube. E daí seguiu para Linktree, Twitter, Duolingo. E também encontrou o GitHub e o Runkeeper a partir do e-mail.
Mas o operador ainda precisa interpretar o resultado. Match em 5 redes não confirma identidade — você precisa cruzar com foto, cidade e outros dados. Eu tive um caso real onde 3 contas batiam pelo username, mas a foto e o estado divergiam — eram pessoas diferentes que escolheram o mesmo nick.
Veja também: Aulão #005 — 4 Técnicas para Investigar Qualquer Pessoa Usando Apenas a Internet — fundação de busca reversa de pessoas.
Inspecionar código fonte: o domínio escondido que entrega o golpista
A virada do desafio aconteceu quando o Diego sugeriu inspecionar o código fonte do site falso prefeltura.com (com L no lugar do I). Botão direito no Chrome, Inspecionar Elemento. E DevTools mostrou um carregamento de recurso de outro domínio: correios.com (com 3 R). E Diego cravou: domínio secundário sem privacidade WHOIS.
Por que isso é ouro? Porque prefeltura.com estava registrado com privacidade WHOIS (domínio anônimo). Mas correios.com — o domínio carregado por trás — não estava. WHOIS direto retornou nome completo: Lucas, e-mail dele, e endereço em Porto Velho.
Esse é um padrão que se repete em fraude digital. O operador anonimiza o domínio principal mas esquece de anonimizar os domínios secundários (assets, scripts, redirects, checkouts). Um deles sempre vaza. Quem inspeciona o código fonte encontra.
Veja também: Aulão #036 — 8 Técnicas para Investigar Sites que Ninguém Te Ensina — protocolo completo de investigação de site.
E para automatizar essa parte, eu uso uma extensão do Chrome que extrai todos os links externos da página em um clique. No Aulão #042 eu mostro o setup — vale o investimento de configurar uma vez e usar para sempre.
Veja também: Aulão #042 — 5 Ferramentas de Investigação que você precisa conhecer — extensões de browser para OSINT.
Como Runkeeper, Duolingo e Kiwify expõem o golpista
A partir do e-mail real do Lucas, o jogo virou. Pelo Hunter (ou manualmente com cada app), você descobre que o e-mail está cadastrado em:
- Runkeeper: app público de corrida. Você adiciona o e-mail como amigo e vê todos os trajetos. No caso do Lucas, os posts dele tinham legendas: "cardio antes do treino na academia" e "bike até escola". Trajeto ao vivo entrega casa, academia e escola.
- Duolingo: app mobile de idiomas com pontuação pública. Pontuação recente confirma que o alvo está ativo (pista de uso recente do smartphone). E como é mobile, o app expõe ID do dispositivo, IP e localização para quebra de sigilo legal.
- Kiwify: plataforma de venda de cursos com KYC obrigatório. Print que o golpista mandou no Discord mostrava o painel de faturamento da Kiwify. Conta com KYC = documentos pessoais cadastrados. Ordem judicial entrega tudo.
- GitHub: revela repositórios e às vezes commits com o nome real e e-mails antigos.
O Runkeeper foi o ponto de virada nas perguntas finais sobre escola e academia. Os trajetos georreferenciados levam direto aos endereços. E como o operador postava com legendas explícitas ("bike até escola"), o investigador só precisava sobrepor o trajeto no Google Maps.
Google Maps com camadas e Street View para confirmar endereços
Os 2 vencedores do desafio (Divinity Neverland em primeiro, Deus do Medo em segundo) entraram na live e explicaram o atalho que travou todo mundo. A pergunta sobre o nome da escola era a mais difícil porque a Escola Eleonor Roussevet não aparece destacada no Google Maps padrão.
Solução deles: ativar a camada de textura/satélite no Google Maps (botão de camadas no canto inferior direito). Com a textura ativa, escolas pequenas aparecem nitidamente. E aí, com Street View, eles posicionaram o bonequinho exatamente no trajeto que o Runkeeper marcou e validaram visualmente cada prédio.
O passo a passo deles:
- Pegar o endereço da casa identificado via WHOIS
- Pegar o trajeto "bike até escola" do Runkeeper
- Abrir Google Maps, ativar camada de textura
- Marcar pontinho de partida (casa) e destino (escola sugerida pelo Runkeeper)
- Posicionar Street View no destino para validação visual
- Cruzar nome do prédio com placa visível no Street View
- Confirmar: Escola Eleonor Roussevet
Mesma técnica para Academia Nikita Fitness e Avenida Engenheiro Domingos Ferreira. Tudo via OSINT puro, sem hackear nada, sem ordem judicial. Apenas dados públicos cruzados com persistência.
E essa é a lição central: trabalho de detetive digital é trabalho de paciência cruzando camadas. Quem desiste na primeira ferramenta que não retorna, perde. Quem cruza Wigle + Steam + Hunter + Runkeeper + Google Maps com camadas chega no nome, no endereço e na escola.
Como WHOIS e Ruxi resolvem domínios anônimos
E quando o domínio tem privacidade WHOIS ativa? Você não fica travado. Existe o histórico WHOIS — snapshots tirados antes de o registrante ativar a privacidade.
Ruxi.com é o serviço que eu uso para isso no Aulão. Cole o domínio, role até o final da página e vão aparecer 3 a 7 registros históricos. Em geral, quase todo domínio .com tem rastro lá — porque a privacidade WHOIS muitas vezes foi ativada anos depois do registro inicial.
Para casos onde nem o histórico entrega, existe um vazamento WHOIS russo de 280GB do IntelX com 62 milhões de registros distribuído pelo LeakBase. Nenhum domínio anônimo realmente sobrevive a esse vazamento — exceto os comprados via Monero com privacidade desde o dia zero. E mesmo nesses, o operador costuma cometer falhas em outros pontos (DNS, hospedagem, redes sociais).
Para domínios .com.br, o registro.br entrega WHOIS público com CPF ou CNPJ — sem ferramenta paga, sem rodeios.
Veja também: Aulão #039 — Desafio OSINT ao Vivo: Investigando Pessoas com TryHackMe, RevEye e Wayback Machine — desafio anterior em formato similar com outras ferramentas.
Como os vencedores Divinity e Deus do Medo resolveram
O Divinity Neverland (1º lugar) e o Deus do Medo (2º lugar) trabalham juntos profissionalmente, mas competiram individualmente. Divinity fechou as 14 respostas em 1h45 de live. O atalho deles confirmou meu fluxo, mas com 2 ajustes que aceleraram o final:
- Cruzar variantes do e-mail: o WHOIS retornou
lucassoares882, mas o Runkeeper estava emlucasantoniosoares041. Eles testaram variantes do e-mail no Hunter até bater. - Camada de textura como reflexo automático: enquanto eu insistia em buscar academia pelo nome, Divinity já tinha camada ativa e Street View aberto no trajeto. Identificação visual em segundos.
E quando perguntei sobre a maior dificuldade, ambos responderam: a escola. Porque o Lucas tinha "cara de universitário" no e-mail (legenda dele dizia faculdades começando com E), mas era ensino médio. Eles testaram cada faculdade da região antes de chegar à escola correta.
Veja também: Aulão #012 — Desvendando Perfis no Twitter: Técnicas de Investigação que Poucos Conhecem — Twitter foi onde Deus do Medo encontrou o restaurante Prato Entre Amigos.
Lição que ficou: ranking ao vivo expõe quem trabalha em equipe e quem improvisa. Os 2 ganharam porque tinham fluxo treinado.
Ferramentas Utilizadas Neste Aulão
| Ferramenta | Finalidade | Link |
|---|---|---|
| Discord | Plataforma palco do log de conversa entre os golpistas | Discord |
| Steam | Perfil público com histórico de username acessível | Steam |
| Wigle | Mapeamento mundial de redes Wi-Fi por SSID | Wigle |
| Sherlock | Busca reversa de username em 400+ redes (open-source) | Sherlock no GitHub |
| Hunter (Bruno Fraga) | Ferramenta proprietária de OSINT que cruza username e e-mail com fazenda de smartphones | Hunter — Operação Inteligência Oculta |
| Runkeeper | App de corrida com trajetos públicos e amigos por e-mail | Runkeeper |
| Duolingo | App mobile de idiomas com pontuação pública e dados de smartphone | Duolingo |
| Kiwify | Plataforma de venda de cursos com KYC obrigatório | Kiwify |
| Google Maps com camadas | Visualização de mapa com textura aérea para identificar prédios pequenos | Google Maps |
| Archive.org Wayback Machine | Snapshot de versões passadas de sites | Wayback Machine |
| registro.br WHOIS | WHOIS oficial para domínios .com.br | registro.br |
| Ruxi | Histórico WHOIS para domínios com privacidade ativa | Ruxi |
| Chrome DevTools — Inspecionar Elemento | Mapeamento de código fonte e domínios externos da página | Chrome DevTools |
Perguntas Frequentes sobre desafio de investigação digital
O que é um CTF de investigação digital?
CTF (Capture The Flag) é um formato de competição onde participantes resolvem desafios técnicos para coletar "flags". Em CTF de investigação digital, as flags são informações sobre um alvo (nome, endereço, redes sociais, escola) e os participantes usam apenas técnicas de OSINT — fontes abertas — para descobrir.
Como rastrear pessoa pela rede Wi-Fi?
Você pesquisa o SSID (nome da rede) no Wigle.net. O Wigle mantém um banco crowdsourced de redes Wi-Fi mapeadas globalmente — e retorna a localização aproximada da rede. Funciona melhor em áreas urbanas com densidade alta de wardrivers cadastrados.
Como descobrir o nome real de um usuário do Discord?
Você cruza referências externas. Discord não expõe e-mail no perfil, mas usuários costumam usar o mesmo username em outras plataformas (Steam, YouTube, Twitter, Linktree). Busca reversa do username com Sherlock ou Hunter retorna essas redes — onde o nome real costuma estar.
Como o Runkeeper expõe localização de uma pessoa?
O Runkeeper permite adicionar amigos pelo e-mail e ver todos os trajetos públicos com timestamps. Se a vítima posta corridas regulares com legendas como "bike até escola", os trajetos georreferenciados entregam casa, escola e academia. É necessário ter o e-mail correto cadastrado no app.
Como funciona o histórico WHOIS para domínios anônimos?
Quando um domínio é registrado, os dados WHOIS ficam públicos por padrão. Se o registrante ativa privacidade depois, serviços como Ruxi.com mantêm snapshots WHOIS anteriores à ativação. Resultado: você descobre o registrante original, mesmo com o WHOIS atual privado.
Por que inspecionar o código fonte de um site falso?
Sites falsos costumam carregar recursos (scripts, imagens, assets) de domínios secundários — checkouts, CDNs, redirects. O operador anonimiza o domínio principal mas esquece os secundários. Inspecionar o código fonte (botão direito > Inspecionar Elemento) revela esses domínios escondidos, e o WHOIS de um deles entrega a identidade.
Hunter, Sherlock e OSINT Industries: qual é a diferença?
Sherlock é open-source, gratuito e roda na CLI — ótimo para começar. OSINT Industries é uma plataforma comercial com escopo médio. Hunter, ferramenta que eu construí, usa fazenda de smartphones reais para validar contas em apps mobile e tem cobertura mais ampla — mas só é demonstrado na minha Operação Inteligência Oculta.
Posso treinar OSINT com CTF gratuito antes de pagar curso?
Sim. Plataformas como TryHackMe têm trilhas gratuitas de OSINT. E meus aulões anteriores (#017 e #039) trazem desafios práticos com explicação passo a passo. Treine antes de competir — o ranking ao vivo é implacável com quem improvisa.
Veja também: HI SPY: Como Funciona a Ferramenta de Investigação Digital — Aulão #051
Veja também: Os Bastidores do Protocolo Sherlock: Como Construí Minha Metodologia de Investigação Digital — Aulão #052
Referências e Recursos
- Wigle - General Wireless Network Mapping
- Sherlock - Username Hunt no GitHub
- Discord
- Steam
- Runkeeper
- Duolingo
- Kiwify
- Archive.org Wayback Machine
- registro.br WHOIS
- Chrome DevTools — Inspecionar Elemento
- Operação Inteligência Oculta — workshop com a ferramenta Hunter
- Aulão #017 — Desafios Práticos Para Treinar Investigação Digital
- Aulão #039 — Desafio OSINT ao Vivo com TryHackMe, RevEye e Wayback Machine
- Aulão #044 — WiGLE para Investigação Digital
Conteudo Relacionado
Como Encontrar Subdomínios Escondidos: Do DNSDumpster ao Brute Force
Programação do Zero para Investigação Digital: De Variáveis a WHOIS Automatizado
A Arte de Manipular: Engenharia Social Aplicada em Investigações Digitais
