Imersão Sherlock: O Poder do OSINT e da Espionagem Digital com Gadgets Reais

O que você vai aprender neste aulão

Espionagem digital OSINT é o que eu pratico toda semana com minha equipe — e neste aulão eu reuni o time inteiro para mostrar como funciona de verdade. Alonso, Diego, Gabriel e Luan vieram ao vivo apresentar os dispositivos, as técnicas e os cenários que usamos em investigações digitais profissionais.

Você vai entender como um Flipper Zero funciona na prática para espionagem, como ataques Evil Twin capturam credenciais de Wi-Fi sem acesso físico ao local, e como um simples pendrive pode extrair todas as senhas salvas no browser em segundos. Mas não para aí. Também vamos falar de pivotagem de dados — a arte de conectar um perfil a outro usando aplicativos comuns como Tinder, Duolingo e Wise de formas que ninguém imagina.

Tudo isso baseado em demonstrações ao vivo com equipamentos reais. Neste aulão eu mostro os bastidores de como funciona investigação digital de verdade — com casos que já aconteceram. E Alonso, Diego, Gabriel e Luan mostraram por que a mentalidade de bug bounty revolucionou a forma como fazemos OSINT no Brasil.

Como o hacking de bug bounty revoluciona a investigação OSINT

A pivotagem de dados entre plataformas usando técnicas de hacking é o que separa investigadores digitais comuns de quem realmente encontra informações ocultas. O Alonso, com 18 anos, já encontrou falhas de segurança no Facebook e na BMW — e trouxe essa mentalidade para dentro da nossa equipe de investigação.

O ponto que ele levantou na live é direto: investigadores tradicionais não exploram endpoints de API. Eles usam a interface gráfica de um site ou app, pegam o que está visível e param ali. Mas quem vem do bug bounty tem outro reflexo. Quando você clica num botão num site, o hacker quer saber: pra onde vai essa requisição? Que dados o servidor devolve? Tem algo exposto que não deveria?

E essa curiosidade muda tudo na investigação.

Endpoints de API expõem mais do que a interface mostra

Pensa no Duolingo. Na interface do app, aparece que um post foi publicado "na quinta-feira". Mas via API, nos metadados, aparece o timestamp completo — hora, minuto e segundo exatos. Para investigação, essa diferença é enorme. Você consegue cruzar horários de atividade em diferentes plataformas e construir um perfil comportamental do alvo.

O Alonso explicou isso com clareza: "na inteligência, qualquer dado já agrega. Qualquer informação que você consiga encontrar, já é possível fazer alguma coisa com aquilo." No bug bounty, ou você encontra a falha ou não. Na investigação digital, cada fragmento de dado se conecta a outro. Se você já estudou técnicas para investigar pessoas na internet, sabe que um email pode abrir dezenas de portas.

A funcionalidade "encontrar amigo" como vetor de investigação

Aplicativos como Wise (antiga TransferWise), jogos de piano, até apps de corrida — todos têm uma funcionalidade que existe para tornar a vida mais prática: adicionar amigos pelo email. Você passa seu email, a pessoa te encontra, pronto. Mas essa mesma funcionalidade vira uma máquina de investigação.

Se você tem um email sob investigação, pode testar em dezenas de plataformas. Cada app que retorna uma conta confirmada é um dado novo. E a pessoa que criou aquela conta no joguinho de piano usando aquele email? Nem imaginava que um dia alguém buscaria. O Alonso chamou isso de "usar aplicativos de formas que ninguém imagina."

Quem quiser se aprofundar nessa técnica pode conferir as ferramentas para investigar pessoas online com fontes abertas que já cobrimos em aulões anteriores.

Pivotagem de dados: como conectar perfis e informações em investigações

Pivotagem de dados é o processo de conectar um perfil a outro, um dado a outro, cruzando informações de diferentes fontes até formar um mapa completo do alvo. O Gabriel, que é especialista em big data para investigação, trouxe uma provocação interessante: às vezes você não precisa de nenhuma ferramenta.

"A pivotagem, ligar um dado ao outro, um perfil ao outro, informações em comentários, isso às vezes substitui até as ferramentas." Parece contraintuitivo, mas faz sentido. Antes de sair rodando scripts e APIs, um investigador experiente olha para os dados que já tem e procura conexões lógicas. Um comentário numa rede social pode revelar mais do que uma ferramenta automatizada.

O método na prática

O processo funciona assim: você começa com um dado — pode ser um email, um nome de usuário, um número de telefone. A partir dele, busca em quais plataformas aquele dado aparece. Cada plataforma devolve novos dados: foto de perfil, localização, amigos, atividades. E cada dado novo vira um ponto de partida para outra busca.

O FaceCheck ID, por exemplo, pega uma foto de perfil e busca onde mais aquele rosto aparece na internet. Um vídeo se quebra em frames, e cada frame pode ser submetido a busca reversa. O Alonso mencionou que essa técnica "está ficando bastante utilizada" em investigações reais.

Para investigações que envolvem engenharia social aplicada a investigações digitais, a pivotagem é o passo anterior — você primeiro mapeia o alvo, depois aplica a abordagem.

Usando o Tinder para investigação — sim, o Tinder

Vou mostrar o exemplo mais inusitado da live. Se você está investigando alguém em uma cidade específica, é possível emular a localização no Tinder e buscar por nome na área. O Tinder não permite busca por email, mas aceita por localização e nome. Então se você sabe que "Pedro Álvares Cabral" está em São Paulo, emula sua localização para lá e varre os perfis.

É uma ferramenta de relacionamento sendo usada de forma completamente diferente. E funciona porque a plataforma foi desenhada para encontrar pessoas perto de você — ela só não esperava que alguém usaria isso para investigação.

Quem quer praticar esse tipo de técnica pode conferir os desafios práticos de investigação OSINT que já abordamos com exercícios hands-on.

Gadgets de espionagem digital: do Flipper Zero ao pendrive de extração

O Flipper Zero não é brinquedo — eu mostro isso durante o aulão. E olha que o visual engana: parece um Tamagotchi com tela colorida e botões. Para espionagem digital, ele concentra em um único dispositivo funções que normalmente exigiriam meia dúzia de equipamentos diferentes. O Diego, especialista em telecom e segurança da informação, mostrou o aparelho ao vivo e detalhou cada capacidade.

Eu sei que muita gente acha o Flipper Zero um gadget de curiosidade. Mas quando você vê um investigador usando ele para adentrar um condomínio clonando NFC, interceptar Bluetooth de um dispositivo pareado, ou executar ataques bad USB — a perspectiva muda completamente.

O que o Flipper Zero faz na prática

O dispositivo integra múltiplas funcionalidades:

1. NFC e RFID — clonar crachás, chaves eletrônicas, cartões de acesso
2. Infravermelho — controle remoto universal para TVs, ar-condicionado, qualquer dispositivo IR
3. Bluetooth — ataques que se passam por dispositivos pareados (como uma caixa JBL conectada ao celular do alvo)
4. Bad USB — executa comandos no computador como se fosse um teclado
5. Wi-Fi (com placa adicional) — expande para ataques wireless

O problema no Brasil? A Anatel proibiu a importação. O dispositivo custa US$170 lá fora — seria uns mil e pouquinho convertidos. Mas no mercado paralelo brasileiro, o preço vai de R$3.600 a R$4.000. E quem consegue trazer "coloca o preço que quer", como o Diego disse na live. Se você quer entender mais sobre o Flipper Zero e como ele foi usado no nosso primeiro evento presencial, confira o Aulão #030 — Bug Bounty, Flipper Zero e os Bastidores da Equipe.

Pendrive de extração: plugou, copiou tudo

O Diego mostrou um pendrive com um botãozinho vermelho que faz extração de dados só de plugar. Duas funções programáveis: a primeira coleta todas as senhas salvas no browser, documentos e arquivos do computador e joga no micro SD interno. A segunda pode apagar os dados copiados, criptografar ou enviar para a nuvem.

Sem interface. Sem interação do usuário. Plugou no USB, o dispositivo faz o trabalho sozinho. E Diego confirmou ao vivo: impressiona. O tempo de operação depende da quantidade de dados, mas estamos falando de segundos para credenciais e minutos para dump completo.

E tem versão mais barata. Como o Diego fez questão de frisar: "não é só equipamento de alto custo. Tem equipamentinho barato que faz também as extrações."

Ataques Wi-Fi e Bluetooth para coleta de dados em investigação

O ataque Evil Twin é quando você cria uma cópia exata da rede Wi-Fi do alvo, derruba a rede original e espera ele reconectar — só que agora ele está conectado na sua rede falsa. O Diego contou um caso real: investigadores precisavam das credenciais de um alvo dentro da própria casa, mas não podiam entrar.

A solução? O dispositivo simulou o roteador do alvo. Derrubou o Wi-Fi legítimo. Quando o alvo tentou reconectar, digitou a senha no portal captivo falso — e a credencial foi capturada. "Ele nem imagina que é o Wi-Fi aqui e pega a credencial do cara." Com acesso ao Wi-Fi, teve acesso ao email. Com o email, toda a investigação avançou.

Bluetooth como vetor de ataque

O cenário é mais assustador do que parece. Seu celular está conectado a uma caixa JBL via Bluetooth. De repente, desconecta. Na tela, começam a aparecer dados estranhos. O que aconteceu? Um dispositivo se passou pela JBL, capturou a conexão Bluetooth e agora está extraindo dados do celular.

E esse tipo de ataque funciona porque dispositivos Bluetooth confiam em conexões que já foram pareadas. Se você consegue se passar por um dispositivo conhecido, o celular aceita a conexão sem pedir confirmação. É uma vulnerabilidade de design que demora para ser corrigida. E Bluetooth não é o único protocolo vulnerável — qualquer investigador atento explora isso para inteligência enquanto não for corrigido.

O alcance do remoto

Uma pergunta que surgiu durante a live: e se eu não consigo entrar no local do alvo? O Diego respondeu: "eu sei que o alvo está ali dentro. Então, mecanismo para conseguir acessar aquele dispositivo remoto, Wi-Fi, Bluetooth." O range depende do equipamento. Wi-Fi pode funcionar de fora do prédio. Bluetooth tem alcance menor, mas com antena direcional, chega mais longe.

A mesma lógica de investigação ativa contra golpistas se aplica aqui: você usa a tecnologia de forma ofensiva, mas com propósito investigativo e dentro dos limites legais.

Extração de dados com acesso físico: técnicas e dispositivos

Eu sempre digo que acesso físico ao dispositivo do alvo — mesmo que por poucos segundos — muda tudo numa investigação. O Diego mostrou ao vivo um arsenal de gadgets que cabem na palma da mão, cada um projetado para um tipo específico de extração.

Cabo de rede com interceptador

Eu peguei na mão e parece um cabo de rede comum. Mas dentro dele tem uma entrada USB que redireciona todo o tráfego de rede do alvo para você. Com ele instalado, você pode:

• Subir um site falso para coleta de credenciais
• Redirecionar o alvo para páginas controladas
• Capturar credenciais sem que o alvo perceba
• Executar comandos remotos depois de instalado

O alvo vai usar a internet normalmente. Vai digitar suas credenciais. Vai continuar usando o computador. Mas a primeira credencial que digitou já ficou registrada. É um dispositivo que opera de forma passiva — depois de instalado, não precisa de mais nada.

Ataque a teclado sem fio

Teclados que usam dongle USB (aquele receptorzinho sem fio) são vulneráveis. Com um dispositivo específico, é possível se passar pelo teclado e executar comandos remotamente no computador do alvo. O cara está usando o teclado sem fio dele e nem percebe que tem outro "teclado" conectado ao computador digitando comandos por baixo.

Isso não é ficção científica — eu vi funcionando ao vivo. São dispositivos que existem, funcionam, e custam relativamente pouco. Como o Diego reforçou na live, a intenção é "usar para investigar, rastrear pessoas, investigar pessoas, coletar dados de pessoas para análise."

Bad USB: o teclado invisível

Bad USB é uma técnica onde um dispositivo USB se apresenta ao computador como um teclado legítimo. Quando plugado, executa uma sequência de comandos pré-programados em alta velocidade — pode copiar senhas, instalar backdoors, exfiltrar documentos. O computador não questiona porque pensa que é apenas um teclado novo sendo conectado.

Na Imersão Sherlock, cada participante ganhou uma placa para construir seu próprio gadget de extração. "Vocês vão ter uma plaquinha dessa, todo mundo tem, para construírem um gadget que possibilita a extração de dados com acesso físico." É espionagem digital na prática, construída com as próprias mãos.

Como usar aplicativos do dia a dia para investigação OSINT

Aplicativos que usamos todos os dias — para pedir comida, aprender idiomas, fazer transferências — são minas de informação para quem sabe onde procurar. O ponto que o Alonso levantou é que investigadores tradicionais ignoram essas fontes porque não pensam como hackers.

A lógica é simples: todo app que tem funcionalidade de "encontrar amigo" é um vetor de investigação. Se você pode buscar um email no Wise para adicionar como contato, pode usar essa mesma funcionalidade para verificar se um email específico tem conta na plataforma. Multiplique isso por dezenas de apps e você tem um mapa de presença digital do alvo. E Alonso confirma: nessa varredura aparecem os dados mais surpreendentes — eu uso essa técnica constantemente.

Metadados que a interface esconde

Quando você usa um app pela interface normal, vê o que os designers decidiram mostrar. Mas a API por trás entrega mais. Muito mais. O Duolingo é o exemplo perfeito: na interface, "postado na quinta-feira". Na API, timestamp exato com hora, minuto e segundo.

Para investigação, isso significa que você pode:

• Cruzar horários de atividade entre plataformas
• Identificar padrões de comportamento (o alvo é mais ativo de madrugada? De manhã?)
• Confirmar se dois perfis pertencem à mesma pessoa pelo padrão temporal de uso
• Determinar fuso horário real do alvo com base nos timestamps de interação

E o FaceCheck ID vai além, usando reconhecimento facial por IA para encontrar onde mais um rosto aparece na internet. Upload de uma foto, e a ferramenta vasculha redes sociais, blogs, vídeos e sites de notícias.

Se você quer uma lista completa de ferramentas OSINT para complementar essas técnicas, confira o Aulão #038 — Melhores Ferramentas OSINT e o Aulão #039 — Ferramentas OSINT na Prática.

Capture: prints com validade jurídica e a descoberta no WhatsApp

O Luan revelou que está próximo do lançamento do Capture (Capture Get) — uma ferramenta para tirar prints com validade jurídica, mantendo toda a cadeia de custódia necessária para uso em processos legais. Mas o que surpreendeu na live foi outra coisa.

Durante o desenvolvimento da ferramenta, trabalhando com extrações de conversas do WhatsApp, a equipe descobriu algo que, segundo o Luan, "ninguém no mundo revelou até hoje. Literalmente." A descoberta foi guardada para o evento presencial, mas o impacto ficou claro na live.

O que eu posso dizer é que a descoberta veio da mentalidade que o Alonso descreveu: entrar mais fundo no sistema, investigar, fuçar. Às vezes durante o desenvolvimento de uma ferramenta você encontra algo que nem imaginava que poderia estar ali. E quando se trata do WhatsApp — uma plataforma usada por praticamente todo brasileiro — qualquer vulnerabilidade ou dado oculto tem impacto massivo para investigações.

Para quem trabalha com investigação de WhatsApp e técnicas de descobrir o dono de um número, o Capture promete ser um divisor de águas para formalizar evidências.

A visão de espionagem digital que poucas pessoas entendem

Eu demonstrei durante o aulão que espionagem digital não é algo distante, exclusivo de agências de inteligência com orçamento de bilhões. A tecnologia por si só é cheia de vulnerabilidades — como o ser humano também. E a espionagem inteligente explora essas vulnerabilidades para produzir inteligência acionável.

O Diego colocou de forma direta: "toda vulnerabilidade física demora para ser corrigida. E o fato dela demorar para ser corrigida pode ser usada para isso." Enquanto fabricantes de teclados sem fio não mudam o protocolo de comunicação, o ataque funciona. Enquanto redes Wi-Fi usarem o mesmo mecanismo de autenticação, Evil Twin captura credenciais. Enquanto dispositivos Bluetooth confiarem em conexões pareadas, o ataque por proximidade funciona.

Mas — e isso é importante — todo o conteúdo que mostramos é voltado para investigação legal. A diferença entre espionagem maliciosa e investigação digital está no propósito e na autorização. Investigadores digitais, peritos forenses e profissionais de segurança usam essas mesmas técnicas com respaldo legal para resolver casos. Se o tema de perícia te interessa, vale conferir o Aulão #037 — Perícia Forense na Prática.

Ferramentas Utilizadas Neste Aulão

Ferramenta	Finalidade	Link
Flipper Zero	Dispositivo multifuncional: NFC, RFID, Bluetooth, infravermelho, bad USB, Wi-Fi	Flipper Zero
FaceCheck ID	Busca reversa de imagens por reconhecimento facial com IA	FaceCheck ID
Wise (TransferWise)	Exemplo de plataforma com busca por email que expõe existência de contas	Wise
Duolingo	API expõe metadados detalhados (timestamps exatos) não visíveis na interface	Duolingo
Tinder	Busca por localização emulada para encontrar perfis de alvos	Tinder

Perguntas Frequentes

O que é espionagem digital?

Espionagem digital é o uso de tecnologia — software e hardware — para coletar, interceptar e analisar dados de um alvo. Inclui desde ataques Wi-Fi e Bluetooth até extração de dados com dispositivos físicos como pendrives e gadgets especializados. Quando aplicada em investigações legais, é uma ferramenta de inteligência.

Como funciona o Flipper Zero?

O Flipper Zero é um dispositivo portátil que integra antenas para NFC, RFID, infravermelho e Bluetooth. Com placa adicional, também faz ataques Wi-Fi. Ele pode clonar crachás, controlar dispositivos por infravermelho, se passar por teclado USB (bad USB) e interceptar conexões Bluetooth. Custa US$170 no exterior, mas no Brasil vai de R$3.600 a R$4.000 porque a Anatel proibiu a importação.

O que é pivotagem de dados em OSINT?

Pivotagem de dados é o processo de usar uma informação conhecida (email, nome de usuário, foto) como ponto de partida para descobrir outras informações conectadas em diferentes plataformas. Você começa com um dado e vai "pivotando" entre fontes até construir um perfil completo do alvo. Às vezes não precisa de ferramentas — a conexão lógica entre dados públicos já resolve.

O que é um ataque Evil Twin?

Evil Twin é quando um atacante cria uma cópia exata de uma rede Wi-Fi legítima, derruba a rede original e captura as credenciais quando o alvo tenta reconectar na rede falsa. O alvo nem percebe que está conectado em uma rede controlada pelo investigador. É usado em cenários onde não há acesso físico ao local do alvo.

Como um Bad USB funciona na extração de dados?

Um dispositivo Bad USB se apresenta ao computador como um teclado legítimo. Quando conectado, executa comandos pré-programados automaticamente — pode copiar senhas salvas no browser, extrair documentos, instalar backdoors. O computador não bloqueia porque reconhece o dispositivo como um teclado comum, não como uma ameaça.

É legal usar essas técnicas no Brasil?

O uso de técnicas de espionagem digital depende do contexto e da autorização. Profissionais de segurança em pentests autorizados, investigadores digitais com respaldo legal e peritos forenses podem aplicar essas técnicas dentro dos limites da lei. O uso sem autorização configura crime. O Flipper Zero especificamente tem importação proibida pela Anatel no Brasil.

Quais gadgets de espionagem custam menos que o Flipper Zero?

Existem pendrives de extração de dados, cabos de rede com interceptador, e dispositivos de ataque a teclado sem fio que custam significativamente menos que o Flipper Zero. Como o Diego mencionou no aulão, "tem equipamentinho barato que faz também as extrações." Placas programáveis para bad USB podem ser encontradas por menos de R$100.

Como começar a estudar bug bounty para aplicar em investigação?

O Alonso recomendou uma abordagem em duas fases. Se você está começando do zero, entenda primeiro como funcionam servidores, backend, frontend e requisições — "é quase desenvolvimento." Se já tem essa base, vá para a lista Bug Bounty Top Vulnerabilities e estude cada falha. A transição para investigação vem naturalmente: em vez de reportar a vulnerabilidade, você usa a informação exposta como dado investigativo.

Referências e Recursos

• Flipper Zero — Site Oficial
• FaceCheck ID — Busca Reversa por Reconhecimento Facial
• What is an Evil Twin Attack? — Kaspersky
• O que é um BadUSB e como criar um? — Solyd
• Flipper Zero: O que é, como funciona e por que é ilegal no Brasil? — Solyd
• Wise — Transferências Internacionais
• Duolingo — Plataforma de Idiomas