Pare de Só Estudar Teoria: Desafios Práticos Para Treinar Investigação Digital
Capítulos
10 seçõesNeste artigo
- O que você vai aprender neste aulão
- O que são CTFs de OSINT e por que você deveria praticar
- TryHackMe: como acessar desafios gratuitos de OSINT
- Como investigar um site que não existe mais
- Consulta WHOIS: como descobrir quem registrou um domínio
- Wayback Machine: como acessar o histórico de qualquer site
- Como investigar IP e DNS de um domínio
- Busca reversa de IP: como encontrar outros sites no mesmo servidor
- Como usar tags do Google Analytics para conectar sites ao mesmo dono
- Conectando sites aparentemente distintos via DNS
- Investigação do domínio hit.net: um caso com histórico desde 1997
- Investigação de imagens: como descobrir onde uma foto foi tirada
- A importância de anotar tudo durante uma investigação
- Como começar a praticar investigação digital hoje
- Ferramentas Utilizadas Neste Aulão
- Perguntas Frequentes
- Como praticar investigação digital de graça?
- O que é CTF de OSINT e como funciona?
- Como investigar um site que não existe mais?
- Como descobrir quem registrou um domínio?
- Como ver o histórico de um site na internet?
- Como descobrir outros sites hospedados no mesmo servidor?
- Como fazer busca reversa de IP para investigação?
- Qual é o principal desafio na investigação de crimes virtuais?
- Como descobrir a tag do Google Analytics de um site?
- Referências e Recursos
O que você vai aprender neste aulão
Desafios práticos de investigação digital são a forma mais rápida de sair da teoria e realmente desenvolver habilidades de OSINT. Neste aulão — o 17º da série — eu demonstrei ao vivo como resolver desafios reais de investigação usando plataformas gratuitas, ferramentas de consulta de domínios, histórico de sites, análise de DNS e geolocalização de imagens.
Você vai aprender a investigar um site que não existe mais, descobrir quem registrou um domínio, acessar o conteúdo de páginas que foram apagadas há anos, identificar outros sites hospedados no mesmo servidor e até localizar onde uma foto foi tirada. Tudo na prática, com passo a passo detalhado, usando ferramentas que funcionam em 2026 e que não custam nada.
Eu gravei essa aula ao vivo com cerca de 700 pessoas acompanhando no chat. E o que eu mostrei não é teoria — é exatamente o que eu faço quando investigo casos reais. A diferença é que aqui usei ambientes de CTF (Capture the Flag) para que qualquer pessoa possa praticar sem risco. Se você quer saber como praticar OSINT de verdade, com desafios que simulam cenários reais, este artigo é o seu ponto de partida.
O que são CTFs de OSINT e por que você deveria praticar
CTF (Capture the Flag) é uma competição de cibersegurança onde participantes resolvem desafios práticos para encontrar respostas escondidas — as "flags". No contexto de OSINT, os desafios envolvem investigar domínios, pessoas, imagens e infraestrutura digital usando apenas fontes abertas.
A ideia é simples: você recebe um alvo (um domínio, uma foto, um cenário) e precisa responder perguntas sobre ele. Quem registrou esse site? Qual era o IP em 2016? Onde essa foto foi tirada? Qual o telefone da empresa responsável?
Eu já usei plataformas de CTF quando estudava hacking, porque precisava de sistemas para invadir de forma controlada. Mas com o crescimento da investigação digital, essas mesmas plataformas passaram a oferecer desafios focados em OSINT. E isso muda tudo para quem quer aprender na prática.
Não adianta só ler sobre ferramentas de investigação digital. Você precisa usar. Precisa errar. Precisa travar numa resposta e descobrir sozinho como resolver. É assim que se forma um investigador.
Por que desafios práticos superam cursos teóricos
Quando você está dentro de um desafio, a pressão de encontrar a resposta ativa um tipo de raciocínio que nenhuma videoaula passiva consegue gerar. Você começa a conectar ferramentas, a pensar em caminhos alternativos, a questionar cada dado que encontra.
E tem mais: a curiosidade é a sua maior arma. Eu repito isso em toda aula porque é verdade. Sem curiosidade, você olha para uma consulta WHOIS e vê só texto. Com curiosidade, você percebe que o telefone listado pode levar a uma empresa, que a empresa pode levar a uma pessoa, que a pessoa pode levar a outros domínios.
TryHackMe: como acessar desafios gratuitos de OSINT
O TryHackMe é uma plataforma gratuita de aprendizado em cibersegurança que oferece salas de desafio (rooms) sobre mais de 20 temas, incluindo OSINT. Você cria uma conta sem pagar nada e começa a praticar imediatamente.
Aqui está o passo a passo que eu mostrei ao vivo:
- Acesse tryhackme.com e clique em "Join Free"
- Insira seu e-mail, crie um username e confirme o e-mail
- Após o login, clique em Learn no menu superior
- Dentro de Learn, clique em Search
- Digite OSINT na barra de busca
- Escolha uma sala de desafio e clique em Join Room
Na aula, eu trabalhei com duas salas específicas: a WebOSINT (focada em investigação de domínios, DNS e histórico de sites) e a Searchlight - IMINT (focada em investigação de imagens e geolocalização). Ambas estão disponíveis gratuitamente e têm writeups publicados pela comunidade caso você trave em alguma questão.
Mas nem tudo é perfeito. O TryHackMe tem um problema chato: a formatação das respostas é muito rígida. Se a resposta esperada é "Namecheap" e você digita "Namecheap Inc", dá erro. Isso aconteceu comigo ao vivo — eu encontrei a resposta correta no terminal, mas o formato não batia com o que a plataforma esperava. Frustrante, mas faz parte.
E outro ponto: certos desafios ficam desatualizados. Os dados reais mudam (domínios expiram, IPs mudam, empresas trocam de nome), mas as respostas esperadas no desafio não são atualizadas. Eu encontrei isso no desafio WebOSINT — o número de mudanças de IP do domínio era muito maior do que a resposta cadastrada, porque o desafio foi criado anos atrás.
Como investigar um site que não existe mais
Um site fora do ar não significa fim da investigação. O registro do domínio continua existindo, o histórico de DNS permanece acessível e o conteúdo antigo pode estar arquivado. Existem pelo menos quatro camadas de informação que você pode extrair de um domínio "morto".
No aulão, o alvo era o domínio republiccoffee.com — um site completamente fora do ar, com domínio expirado. A primeira reação de muita gente seria desistir. Mas eu mostrei que dá para descobrir quem registrou, qual empresa hospedava, qual era o conteúdo, quem escrevia e até onde a pessoa morava.
Se você já leu meu artigo sobre como descobrir o dono de um site, sabe que o WHOIS é o primeiro passo. Mas aqui vamos além — combinando WHOIS com Wayback Machine, ViewDNS e análise de conteúdo arquivado.
As 4 camadas de investigação de um domínio inativo
- Camada 1 — Registro (WHOIS): Quem comprou o domínio, qual empresa registradora, telefone, name servers
- Camada 2 — Histórico de DNS: Para quais IPs o domínio apontou ao longo dos anos, quais empresas de hospedagem foram usadas
- Camada 3 — Conteúdo arquivado (Wayback Machine): O que estava publicado no site, quem escrevia, que informações pessoais vazavam no conteúdo
- Camada 4 — Conexões laterais: Outros sites no mesmo servidor, tags de rastreamento compartilhadas, links externos que conectam a outros domínios
Consulta WHOIS: como descobrir quem registrou um domínio
WHOIS é um protocolo de consulta que retorna dados públicos sobre o registro de um domínio — incluindo nome do registrante, empresa registradora, telefone de contato, name servers e datas de criação e expiração. É o primeiro passo de qualquer investigação de domínio.
Para consultar, eu uso o ICANN Lookup, que é o serviço oficial mantido pela ICANN (Internet Corporation for Assigned Names and Numbers). Você digita o domínio, clica em Lookup e recebe os dados disponíveis.
Passo a passo da consulta WHOIS que eu fiz ao vivo
No desafio, consultei o domínio republiccoffee.com no ICANN Lookup. Eis o que encontrei:
- Empresa registradora: Namecheap
- Privacidade WHOIS: Ativada (o nome real do proprietário estava oculto)
- Telefone de contato: Listado nos dados do registrante (aparecia melhor no terminal do que no site)
- Name servers: Dois name servers apontando para a infraestrutura de DNS do domínio
- País do registrante: Iceland (Islândia) — e aqui aconteceu algo engraçado na aula: alguém no chat sugeriu "Panamá" e eu acabei digitando Panamá sem verificar. Erro meu. A resposta correta era Iceland.
E tem um detalhe que vale ouro: no site do ICANN, nem todos os dados aparecem de cara. Você precisa rolar a página e clicar em "ver código geral do registro" para acessar informações como telefone. No terminal do Linux ou Mac, o comando whois republiccoffee.com retorna tudo de uma vez, sem essa fricção.
whois republiccoffee.com
Esse comando funciona nativamente no Linux e no macOS. No Windows, você precisa instalar uma ferramenta separada ou usar sites como o ICANN Lookup.
O que é privacidade WHOIS e por que isso importa
A Namecheap é uma empresa que oferece privacidade WHOIS gratuitamente quando você compra um domínio lá. Isso significa que, em vez do nome real do proprietário, aparece o nome de um serviço de privacidade.
Para investigadores, isso é uma barreira. Mas não é o fim. Autoridades podem solicitar judicialmente a quebra desse sigilo. E mesmo com privacidade ativa, outros dados — como name servers, histórico de DNS e conteúdo arquivado — continuam acessíveis.
O que são name servers e por que você deve prestar atenção neles
Name servers são servidores que traduzem nomes de domínio em endereços IP. Todo domínio tem pelo menos dois name servers configurados, e eles indicam onde o domínio está sendo gerenciado — qual empresa de hospedagem, qual provedor de DNS.
Na prática, quando eu vejo os name servers de um domínio, consigo identificar se o site está na HostGator, na DigitalOcean, no Google Cloud, na Cloudflare. E isso é uma pista investigativa. Se dois domínios aparentemente não relacionados compartilham os mesmos name servers, pode haver uma conexão entre eles.
Wayback Machine: como acessar o histórico de qualquer site
A Wayback Machine do Archive.org é um serviço que arquiva capturas (snapshots) de sites da internet ao longo dos anos. Mesmo que um site tenha sido completamente removido, é provável que a Wayback Machine tenha uma cópia dele.
No aulão, usei a Wayback Machine para acessar o conteúdo do blog republiccoffee.com que havia sido publicado em outubro de 2016. O site não existia mais, mas o conteúdo estava lá — posts, nomes, cidades, referências pessoais.
Como eu encontrei o autor do blog e onde ele morava
Ao acessar web.archive.org e digitar republiccoffee.com, apareceu um calendário com as datas em que o site foi capturado. Percorri diferentes anos até encontrar capturas com conteúdo real em outubro de 2016.
Dentro do blog arquivado, encontrei:
- Nome do autor: Steve (aparecia como nome de usuário no blog)
- Cidade onde morava: Gwangju, na Coreia do Sul (mencionada diretamente no texto de um post)
- Faculdade onde estudava: Identificada no conteúdo do blog, o que serviu de pista para a próxima descoberta
- Templo que frequentava: Identificado cruzando o nome da faculdade com uma busca no Google Maps por templos na região
Esse cruzamento de informações é o coração da investigação digital. Você lê um texto, identifica uma faculdade, joga no Google Maps, procura templos na região e confirma. Não é mágica — é método.
E isso funciona para qualquer site. Você pode colocar o endereço do Terra, do seu próprio site, de qualquer empresa. Vai estar lá. Eu mesmo mencionei na aula: "Você botar o Técnicas de Invasão aqui, vai tá o Técnicas de Invasão lá de 2015, como que era, o que que eu escrevia, quem que eram as pessoas, tudo."
Dicas práticas para usar a Wayback Machine
- Nem todas as datas têm capturas completas — certas datas mostram apenas erros ou páginas em branco
- Percorra diferentes anos para encontrar o período em que o site tinha conteúdo ativo
- Clique nos pontos do calendário (cada ponto é uma captura) para visualizar a versão do site naquela data
- Links internos dentro do site arquivado podem funcionar, permitindo transitar entre páginas como se o site ainda estivesse no ar
- Use a combinação Wayback Machine + Google Maps para confirmar localizações mencionadas no conteúdo
Como investigar IP e DNS de um domínio
O ViewDNS.info é um conjunto de ferramentas gratuitas para investigar DNS, histórico de IPs, busca reversa e muito mais. É uma das ferramentas que eu mais uso em investigações reais e que demonstrei extensivamente neste aulão.
A funcionalidade mais poderosa do ViewDNS para investigação é o IP History — que mostra todos os endereços IP para os quais um domínio já apontou ao longo do tempo. Isso revela quais empresas de hospedagem foram usadas, quando houve mudanças de servidor e, potencialmente, quem estava por trás da infraestrutura.
Como ver o histórico de IPs de um domínio
No ViewDNS, a ferramenta IP History funciona assim:
- Acesse viewdns.info
- Encontre a seção "IP History"
- Digite o domínio que você quer investigar
- Clique em buscar
Para o domínio republiccoffee.com, o resultado mostrou dezenas de IPs diferentes ao longo dos anos. Cada mudança de IP representa uma possível mudança de servidor, de empresa de hospedagem ou de configuração de infraestrutura.
Eu também demonstrei com o meu próprio site, tecnicasinvasao.com. No histórico apareciam IPs da Cloudflare, da Sucuri e de outras empresas de segurança e hospedagem que eu já utilizei. E aqui vem uma dica que vale ouro para quem trabalha com segurança.
Como descobrir o IP real por trás da Cloudflare
A Cloudflare funciona como um escudo entre o visitante e o servidor real. Quando um site usa Cloudflare, o IP que aparece na consulta DNS é o da Cloudflare, não o do servidor onde o site está hospedado.
Mas tem um truque: se o site não usava Cloudflare desde o início, o IP real do servidor aparece no histórico de DNS. No ViewDNS, você olha as datas anteriores à instalação da Cloudflare e encontra o IP original.
Na prática, funciona assim: o dono do site instala a Cloudflare em 2025, mas antes disso o IP do servidor aparecia direto. Se você consultar o histórico, vai ver o IP real lá em 2024, 2023, e por aí vai. E geralmente o servidor não muda — o IP real continua o mesmo.
Mas atenção: isso não funciona se o site sempre usou Cloudflare desde o primeiro dia. Nesse caso, o histórico só vai mostrar IPs da Cloudflare.
Busca reversa de IP: como encontrar outros sites no mesmo servidor
A busca reversa de IP (reverse IP lookup) é uma técnica que permite descobrir todos os domínios hospedados no mesmo endereço IP. Enquanto uma consulta DNS normal transforma domínio em IP, a busca reversa faz o caminho contrário — pega um IP e lista todos os domínios que apontam para ele.
Isso é devastador para investigação. Se você tem o IP de um site suspeito, pode descobrir outros sites do mesmo proprietário hospedados no mesmo servidor.
O caso real que eu contei na aula
Eu já peguei quadrilha usando essa técnica. O caso foi assim: eu estava investigando um site de golpe — era um aplicativo de telefone fraudulento. Suspeitava de um indivíduo específico, mas não tinha certeza de que ele era o responsável.
Fiz uma busca reversa de IP no servidor onde o site do golpe estava hospedado. E no mesmo servidor, encontrei um outro site — uma agência — com a foto do suspeito. O cara tinha um servidor compartilhado com os dois sites: o do golpe e o da agência pessoal dele.
Isso acontece mais do que você imagina. As pessoas compartilham servidores para economizar. E quando fazem isso, deixam rastros que conectam atividades aparentemente separadas.
Como fazer a busca reversa no ViewDNS
- Acesse viewdns.info
- Encontre a seção "Reverse IP Lookup"
- Digite o endereço IP que você quer investigar
- Veja a lista de todos os domínios hospedados naquele IP
No desafio, quando fiz a busca reversa no IP do domínio hit.net, encontrei outros 8 domínios compartilhando o mesmo servidor. Isso confirmou que era um servidor compartilhado (shared hosting), não dedicado.
Servidor compartilhado vs servidor dedicado — por que isso importa
Em um servidor compartilhado, sites de donos diferentes dividem a mesma máquina física e o mesmo IP. É o plano mais barato de hospedagem — o tipo que você encontra na HostGator, na Locaweb, na Hostinger.
Em um servidor dedicado, toda a máquina pertence a um único cliente. O IP é exclusivo.
Para investigação, a diferença é grande:
- Servidor compartilhado: A busca reversa pode retornar dezenas ou centenas de domínios, a maioria sem relação entre si. Mas se você encontrar dois sites do mesmo dono, a conexão fica evidente.
- Servidor dedicado: Se a busca reversa retorna poucos domínios (1 a 5), é provável que todos pertençam ao mesmo proprietário. Cada domínio ali é uma pista.
Como usar tags do Google Analytics para conectar sites ao mesmo dono
O código do Google Analytics (formato UA-XXXXXXX-Y, ou G-XXXXXXXX no GA4) é um identificador único vinculado a uma conta Google. Quando o mesmo código aparece em dois sites diferentes, significa que ambos pertencem ao mesmo proprietário — ou pelo menos são gerenciados pela mesma pessoa.
Eu demonstrei ao vivo como extrair essa tag usando a extensão NerdyData no browser. Instalei a extensão, acessei o site investigado e cliquei no ícone da extensão. Apareceu o código do Google Analytics, do Google AdSense e outras tags de rastreamento.
Por que isso é uma bomba investigativa
Pensa comigo: um golpista cria 5 sites diferentes para aplicar fraudes. Ele usa o mesmo Google Analytics em todos porque quer acompanhar as métricas de todos os sites em um único painel. Esse código UA é a impressão digital que conecta os 5 sites.
E vai além. O Google Analytics está registrado em um Gmail. O Google AdSense paga alguém — tem dados bancários vinculados. Quando uma autoridade solicita ao Google a quebra de sigilo daquele identificador, o Google coopera. Porque aquele Analytics, aquele AdSense, está registrado a uma pessoa real.
Eu já encontrei 4 ou 5 sites do mesmo dono que compartilhavam o mesmo código de rastreamento. E não é só o Analytics — o Facebook Pixel, o código do AdSense, qualquer tag de rastreamento pode ser o fio que conecta toda a operação.
Como extrair tags de rastreamento de um site
- Instale a extensão NerdyData no Chrome ou Firefox
- Acesse o site que você quer investigar
- Clique no ícone da extensão
- Procure por códigos que começam com "UA-" (Google Analytics Universal) ou "G-" (GA4)
- Anote o código e pesquise se outros sites usam o mesmo identificador
Mas tenho uma ressalva: o NerdyData piorou. Antes era totalmente gratuito, sem necessidade de criar conta. Agora exige registro. Eu tive que criar uma conta ao vivo durante a aula, o que me irritou um pouco. A alternativa é ler o código-fonte do site manualmente (Ctrl+U no browser) e buscar por "UA-" ou "gtag".
Conectando sites aparentemente distintos via DNS
No desafio do TryHackMe, eu precisei provar a conexão entre dois domínios: hit.net e purchase.org. A conexão foi encontrada através do histórico de DNS — ambos os domínios apontavam para servidores da mesma empresa: Liquid Web.
Quando verifiquei o histórico de IPs de hit.net no ViewDNS e comparei com o histórico de purchase.org, os dois tinham IPs pertencentes à Liquid Web. Mesmo servidor, mesma infraestrutura. Conexão confirmada.
Esse tipo de análise comparativa é o que separa um investigador iniciante de um intermediário. Não basta encontrar dados — você precisa cruzar dados de fontes diferentes para estabelecer conexões.
O passo a passo da conexão que eu demonstrei
- Identifiquei o link externo para purchase.org dentro do conteúdo arquivado de hit.net (via Wayback Machine)
- Consultei o histórico de IPs de hit.net no ViewDNS
- Consultei o histórico de IPs de purchase.org no ViewDNS
- Comparei os provedores de hospedagem — ambos usavam Liquid Web
- Conexão estabelecida: mesma infraestrutura, mesmo provedor, provavelmente mesmo proprietário
Investigação do domínio hit.net: um caso com histórico desde 1997
O domínio hit.net foi o segundo alvo do desafio. A Wayback Machine tinha capturas desse site desde 1º de junho de 1997. Quase 30 anos de história digital.
Ao percorrer as capturas ao longo dos anos, identifiquei que o site mudou de dono e de propósito em pelo menos duas ocasiões:
- Na versão original, era uma empresa de jogos multiplayer online
- Em 2001, aparecia uma mensagem de despedida: "After years of great gaming, it's time to say goodbye"
- Em 2007, o domínio estava estacionado sem conteúdo real
- Em 2010, tinha se tornado um site de aquecimento e refrigeração — empresa completamente diferente
Essa mudança de proprietários é comum em domínios antigos. Domínios curtos e memoráveis como hit.net têm valor comercial e são revendidos repetidamente.
O que esse caso ensina sobre investigação temporal
Quando você investiga um domínio, precisa considerar que o dono de hoje pode não ser o dono de 5 anos atrás. E o conteúdo de 2010 pode não ter nenhuma relação com o conteúdo de 2020. Cada período temporal é uma investigação separada.
No desafio, eu precisei identificar o segundo name server do domínio (via WHOIS), o IP em dezembro de 2011 (via ViewDNS IP History), a data da primeira captura no Archive.org (1º de junho de 1997), a primeira frase do último snapshot de 2001, a empresa responsável pela versão original do site, links internos vs links externos no conteúdo e a tag do Google Analytics. Cada pergunta exigia uma ferramenta diferente. E é isso que torna os desafios de CTF tão valiosos para o aprendizado — eles forçam você a alternar entre ferramentas e técnicas constantemente.
Investigação de imagens: como descobrir onde uma foto foi tirada
Investigação baseada em imagens (IMINT — Imagery Intelligence) é a arte de extrair informações de localização, contexto e identidade a partir de elementos visuais de uma fotografia. No TryHackMe, o desafio Searchlight - IMINT é um dos melhores para praticar isso.
Eu demonstrei ao vivo como analisar imagens para identificar locais. A técnica não é mágica — é observação sistemática.
Caso 1: Identificando a estação Piccadilly Circus em Londres
Recebi uma imagem de uma estação de metrô. Elementos que identifiquei:
- A palavra "Circus" visível em um letreiro
- Indicações de "Subway" e "Underground" (metrô de Londres)
- Arquitetura característica de estações londrinas
- Formato das placas de sinalização típico do Transport for London
Combinei esses elementos em uma busca no Google: "Subway Underground Circus London". O resultado: Piccadilly Circus tube station. Confirmei no Google Maps comparando a fachada dos prédios com a imagem original.
Caso 2: Aeroporto de Vancouver pelo código YVR
Outra imagem mostrava um ambiente de aeroporto com o texto "YVR Connect" visível. YVR é o código IATA do aeroporto de Vancouver, Canadá. Identificação instantânea para quem conhece códigos de aeroporto — e uma busca rápida no Google para quem não conhece.
Caso 3: Café turco em Edimburgo
Uma imagem de um café com comida que parecia ser um "Turkish breakfast". A investigação envolveu identificar o tipo de comida (café da manhã turco), buscar por cafés turcos na cidade indicada pelo desafio (Edimburgo) e comparar a fachada e o interior do café com imagens no Google Maps.
Chegou no local, qual é o telefone? Qual é o e-mail? Qual é o nome dos donos? Qual é o WhatsApp? É isso. Pensando de forma reversa — da imagem para a identidade.
Caso 4: Hotel em Singapura via Street View
No desafio Searchlight, uma das tarefas envolvia identificar um hotel em Singapura. O detalhe interessante (que aparece nos writeups da comunidade) é que o hotel já havia sido demolido — as imagens do Google Street View de 2024 mostravam o terreno vazio. Isso reforça uma lição: dados mudam, e o investigador precisa considerar a dimensão temporal de cada evidência.
Metodologia para investigação de imagens
- Leia a imagem inteira: Placas, letreiros, marcas, idiomas visíveis, tipo de vegetação, lado da rua em que os carros trafegam
- Identifique elementos únicos: Códigos de aeroporto, nomes de estações, números de telefone, logotipos
- Construa buscas combinando elementos: "Subway + Underground + Circus + London" é mais efetivo que buscar cada termo isoladamente
- Confirme no Google Maps / Street View: Compare a perspectiva da foto com a vista do Street View
- Use busca reversa de imagens: Arraste a imagem para o Google Imagens e veja se ela aparece em algum outro contexto
Eu mencionei na aula que hoje, automaticamente, quando vejo uma foto de qualquer pessoa, já começo a analisar. É um hábito que se desenvolve com prática. E os desafios de IMINT no TryHackMe são perfeitos para construir esse hábito.
Se você quer se aprofundar em técnicas de investigação de pessoas, a análise de imagens é uma habilidade que complementa perfeitamente a investigação textual.
A importância de anotar tudo durante uma investigação
Durante o aulão, eu criei um documento no Notion ao vivo e compartilhei o link com os participantes. Cada dado que eu encontrava — IP, nome, empresa, telefone — ia direto para o documento.
Isso não é frescura. Em uma investigação real, você pode passar horas coletando dados. Se não anotar de forma organizada, vai perder conexões que só aparecem quando você olha tudo junto.
Eu uso o Notion, mas pode ser qualquer ferramenta: Google Docs, Obsidian, até um bloco de notas. O que importa é registrar cada descoberta com a fonte e a data. Quando você precisa montar um relatório ou apresentar evidências, ter tudo documentado faz a diferença entre um trabalho profissional e um amador.
E confesso: investigar ao vivo com câmera é muito diferente de investigar normalmente. No meu dia a dia, fico no escuro, com 15 abas abertas, anotando de forma caótica. Na aula, preciso manter tudo organizado para que as pessoas acompanhem. É um desafio extra.
Como começar a praticar investigação digital hoje
Se você chegou até aqui, já tem conhecimento suficiente para começar. O caminho é direto:
- Crie sua conta gratuita no TryHackMe
- Comece pelo desafio WebOSINT — ele ensina WHOIS, Wayback Machine e ViewDNS na prática
- Depois faça o Searchlight - IMINT — ele desenvolve sua capacidade de análise de imagens
- Use o ICANN Lookup para consultar domínios reais que você encontra no dia a dia
- Explore o ViewDNS.info com domínios que você conhece — veja o histórico de IPs do seu próprio site
- Instale a extensão NerdyData e comece a observar as tags de rastreamento dos sites que você visita
Mas não fique só nos desafios. Aplique no seu contexto. Se você é policial, advogado, jornalista, investigador particular — cada técnica que eu mostrei aqui tem aplicação direta no seu trabalho. O ChatGPT também pode auxiliar na organização e análise dos dados que você coleta.
E se você está pensando em iniciar carreira como investigador digital, esses desafios são o melhor portfólio que você pode construir. Resolva os CTFs, documente seu processo, publique writeups. Isso mostra competência prática.
Ferramentas Utilizadas Neste Aulão
| Ferramenta | Finalidade | Link |
|---|---|---|
| TryHackMe | Plataforma de desafios práticos de OSINT e cibersegurança com salas gratuitas | TryHackMe |
| ICANN WHOIS Lookup | Consulta de dados de registro de domínios (proprietário, registradora, telefone, name servers) | ICANN Lookup |
| Wayback Machine (Archive.org) | Acesso a versões históricas de qualquer site da internet, mesmo que não exista mais | Wayback Machine |
| ViewDNS.info | Histórico de IPs de domínios, busca reversa de IP, ferramentas de investigação DNS | ViewDNS.info |
| NerdyData | Extensão de browser para identificar tags de rastreamento (Google Analytics, AdSense) em sites | NerdyData Extension |
| Google Maps | Geolocalização e confirmação visual de locais identificados durante investigação de imagens | Google Maps |
| Notion | Ferramenta de anotações para organizar dados coletados durante a investigação | Notion |
| Shodan | Buscador de dispositivos conectados à internet (câmeras, servidores, IoT) | Shodan |
Perguntas Frequentes
Como praticar investigação digital de graça?
A melhor forma é usar plataformas de CTF como o TryHackMe, que oferece salas gratuitas com desafios de OSINT. Você recebe um alvo (domínio, imagem, cenário) e precisa responder perguntas usando técnicas de investigação. Ferramentas como ICANN Lookup, Wayback Machine e ViewDNS.info também são gratuitas.
O que é CTF de OSINT e como funciona?
CTF (Capture the Flag) é uma competição de cibersegurança onde participantes resolvem desafios para encontrar "flags" (respostas). No contexto de OSINT, os desafios envolvem investigar domínios, imagens e infraestrutura digital usando fontes abertas. Você recebe um alvo, investiga com ferramentas reais e submete as respostas na plataforma.
Como investigar um site que não existe mais?
Use a Wayback Machine para acessar versões arquivadas do conteúdo, consulte o WHOIS via ICANN Lookup para ver dados de registro do domínio, e verifique o histórico de IPs no ViewDNS.info. Um site fora do ar ainda possui registros de domínio, histórico de DNS e conteúdo arquivado que podem ser investigados.
Como descobrir quem registrou um domínio?
Faça uma consulta WHOIS no ICANN Lookup ou diretamente no terminal com o comando whois nomedodominio.com. Os resultados mostram a empresa registradora, dados de contato, name servers e datas de registro. Se o proprietário ativou privacidade WHOIS, os dados pessoais estarão ocultos, mas autoridades podem solicitar a quebra judicial desse sigilo.
Como ver o histórico de um site na internet?
Acesse web.archive.org e digite a URL do site. A Wayback Machine mostra um calendário com todas as capturas feitas ao longo dos anos. Clique em uma data para ver como o site era naquele momento. No aulão, encontrei capturas do domínio hit.net desde 1º de junho de 1997.
Como descobrir outros sites hospedados no mesmo servidor?
Use a busca reversa de IP (reverse IP lookup) no ViewDNS.info. Digite o endereço IP do servidor e a ferramenta lista todos os domínios que apontam para aquele IP. Em servidores compartilhados, isso pode revelar dezenas de sites — incluindo outros domínios do mesmo proprietário.
Como fazer busca reversa de IP para investigação?
Acesse viewdns.info, encontre a seção "Reverse IP Lookup", digite o IP que você quer investigar e veja a lista de domínios. Essa técnica é especialmente útil em servidores compartilhados, onde sites dividem o mesmo IP. Eu já identifiquei quadrilhas inteiras usando essa técnica — encontrando sites pessoais do suspeito no mesmo servidor do site de golpe.
Qual é o principal desafio na investigação de crimes virtuais?
O maior desafio é a velocidade com que os crimes acontecem e a dificuldade de obtenção rápida de dados. Em minutos, valores são movimentados por dezenas de contas. Isso exige integração ágil entre investigadores, plataformas digitais e órgãos reguladores. Do lado técnico, a privacidade WHOIS, o uso de CDNs como Cloudflare e a hospedagem em jurisdições diferentes dificultam a identificação dos responsáveis. Se você quer entender mais sobre como desvendar golpes na prática, recomendo ler o artigo do aulão 003.
Como descobrir a tag do Google Analytics de um site?
Instale a extensão NerdyData no browser, acesse o site e clique no ícone da extensão. Ela mostra o código do Google Analytics (formato UA-XXXXXXX ou G-XXXXXXXX), AdSense e outras tags. Alternativamente, abra o código-fonte do site (Ctrl+U) e busque por "UA-" ou "gtag". Essa tag está vinculada a um Gmail e pode conectar sites aparentemente distintos ao mesmo proprietário.
Referências e Recursos
- TryHackMe — Plataforma de aprendizado em cibersegurança
- TryHackMe — OSINT Tools You Can Practise Safely
- ICANN Lookup — Consulta WHOIS oficial
- ICANN — WHOIS and Registration Data Directory Services
- Wayback Machine — Internet Archive Help Center
- ViewDNS.info — Ferramentas de investigação DNS
- ViewDNS.info — Reverse IP Lookup API
- NerdyData — Extensão gratuita para análise de tecnologias
- NerdyData — Search Engine for Source Code
- Capture the Flag (cybersecurity) — Wikipedia
- WHOIS — Wikipedia
- Reverse IP Lookup — Hacker Target
- Name Server — Wikipedia
- Piccadilly Circus tube station — Wikipedia
- Shodan — What is Shodan?
- TryHackMe WebOSINT Writeup — Carson Shaffer
- TryHackMe Searchlight IMINT Walkthrough — Jasper Alblas
Conteudo Relacionado
Shodan na Prática: Como Encontrar Dispositivos Vulneráveis Expostos na Internet
Transforme seu Android em um laboratório de investigação digital
Desmascarando E-mails Fraudulentos: Do Cabeçalho Suspeito ao Takedown do Site Falso
