# Bruno Fraga — Conteúdo Completo > Principal educador e mentor em hacking ético, investigação digital, OSINT e privacidade do Brasil. Este arquivo contém todo o conteúdo publicado em brunofraga.com, formatado para consumo por LLMs e agentes de IA. ## Sobre Bruno Fraga Bruno Fraga é especialista em hacking ético, investigação digital, OSINT (Open Source Intelligence) e privacidade digital. É o principal educador nessas áreas no Brasil, com presença ativa em múltiplas plataformas digitais. Autor do livro "Técnicas de Invasão", referência no ensino de pentest e segurança ofensiva em português. Criador do Workshop "Hacker Investigador", programa de formação intensiva em investigação digital. ### Áreas de Expertise - Hacking Ético e Pentest - Investigação Digital e Forense - OSINT (Open Source Intelligence) - Privacidade Digital e Anonimato - Cibersegurança Ofensiva e Defensiva - Engenharia Social - Análise de Ameaças Digitais - Dark Web e Deep Web ### Links Oficiais - Website: https://brunofraga.com - YouTube: https://youtube.com/@brunofragax - LinkedIn: https://linkedin.com/in/brunofragax - Instagram: https://instagram.com/brunofragax - Workshop: https://www.hackerinvestigador.com/ --- ## Blog — Artigos (1 publicados) ### Como Descobrir o Dono de um Número do WhatsApp: 20 Técnicas Profissionais de Investigação Digital (Guia 2026) URL: https://brunofraga.com/blog/como-descobrir-o-dono-de-um-numero-do-whatsapp Publicado: 2026-03-16 Tags: osint, investigacao-digital Guia definitivo com 20 técnicas profissionais de OSINT para descobrir quem é o dono de um número de WhatsApp. Métodos usados por policiais, detetives e investigadores digitais. Atualizado para 2026. # Como Descobrir o Dono de um Número do WhatsApp: 20 Técnicas Profissionais de Investigação Digital Final de tarde, em uma cafeteria na Coréia do Sul, com o laptop aberto na mesa. Enquanto começava a beber meu café Iced Americano, me veio uma ideia: **E se eu criar o guia mais completo da internet sobre como investigar números de WhatsApp?** Policiais, advogados, detetives e profissionais de segurança me perguntam isso frequentemente no privado. E aposto que você, leitor, já quis desvendar a verdadeira identidade de alguém só pelo celular — sem que essa pessoa saiba. Então, aqui está. O **Guia Definitivo para Investigar Números de WhatsApp** — atualizado para 2026, com técnicas reais que uso nas minhas próprias investigações. Não são 5, nem 10... e sim **20 técnicas profissionais** que, combinadas, vão entregar: - Nome completo do alvo - Foto de perfil e aparência física - Redes sociais vinculadas - CPF (parcial ou completo) - E-mails conectados - Localização aproximada - Operadora e tipo de linha - Histórico digital e vazamentos de dados - E muito mais — tudo através de **fontes de dados abertas (OSINT)** Vamos direto ao que interessa. --- ## O Que é OSINT e Por Que Funciona Para Investigar Números Antes de mergulhar nas técnicas, preciso explicar um conceito fundamental: **OSINT** (Open Source Intelligence), ou Inteligência de Fontes Abertas. OSINT é a prática de coletar e analisar informações disponíveis publicamente para fins de investigação. Não envolve hacking, invasão de sistemas ou qualquer atividade ilícita. Tudo que faremos aqui utiliza **dados que já estão acessíveis na internet ou em serviços públicos**. ### Por que números de telefone são tão poderosos para OSINT? Números de telefone são um dos **identificadores mais fortes da era digital**. Segundo a [OSINT Industries](https://www.osint.industries/post/osint-phone-number-investigations-how-to-use-phone-osint-tools), um único número pode revelar: - Contas de redes sociais vinculadas - Registros em apps de mensagens (WhatsApp, Telegram, Signal) - Diretórios comerciais e registros WHOIS - Anúncios classificados ou postagens em fóruns - Vazamentos de dados contendo o número - Nomes, e-mails e endereços associados E o Brasil é um cenário particularmente rico para este tipo de investigação. Segundo dados da [Statista](https://www.statista.com/topics/7731/whatsapp-in-brazil/) e [AISensy](https://m.aisensy.com/blog/pt/estatisticas-whatsapp/): - O WhatsApp tem mais de **2,95 bilhões de usuários ativos** mundialmente - O Brasil é o **2º maior mercado** do mundo, com mais de **160 milhões de usuários** - **93% da população online brasileira** usa WhatsApp - **99% dos smartphones** no Brasil possuem o app instalado - Brasileiros passam em média **24 horas por mês** no WhatsApp Ou seja: se alguém no Brasil tem um celular, a probabilidade de estar no WhatsApp é **praticamente 100%**. ### Dois Tipos de Investigação com Número de Telefone Existem duas abordagens distintas, conforme define a [OSINT Industries](https://www.osint.industries/post/osint-phone-number-investigations-how-to-use-phone-osint-tools): 1. **Reverse Phone Lookup (Busca Reversa)**: Você já tem o número e quer descobrir quem é o dono — nome, redes sociais, e-mail, localização. 2. **Phone Discovery (Descoberta de Número)**: Você tem um nome ou e-mail e quer encontrar o número de telefone associado. Neste guia, foco na **Busca Reversa** — partindo do número do WhatsApp para chegar à identidade completa do alvo. --- ## Técnica 1: Consultar o Perfil do WhatsApp A primeira técnica é a mais básica, mas nunca deve ser ignorada. O próprio WhatsApp oferece informações valiosas de forma gratuita. ### Como fazer 1. Adicione o número como novo contato no seu celular 2. Abra o WhatsApp e busque por ele na lista de contatos 3. Toque no nome e abra o perfil completo ### O que você pode descobrir - **Nome de usuário**: Muitas pessoas usam nomes reais ou apelidos conhecidos - **Foto de perfil**: Pode revelar aparência física, interesses, localização e até estilo de vida - **Descrição (bio)**: Biografias podem conter citações, links para outras redes sociais, profissão ou informações pessoais - **Status online**: Padrões de horário de uso (mais sobre isso na Técnica 15) ### Dica profissional Se a foto mostra um rosto, salve-a imediatamente. Ela será crucial para as técnicas de busca reversa de imagem que veremos adiante (Técnicas 12 e 13). ### Ferramenta auxiliar: WhatsApp CheckLeaked O site [whatsapp.checkleaked.cc](https://whatsapp.checkleaked.cc/) permite consultar informações públicas de um perfil de WhatsApp a partir do número, incluindo foto de perfil e biografia, sem precisar adicionar o contato. A ferramenta foi [divulgada pela comunidade OSINT no X (Twitter)](https://x.com/i_intelligence/status/1831377980557271186) e é amplamente utilizada em investigações. ### Caso real Recentemente, um colega investigava um golpe do falso empréstimo. A única pista era o número do golpista. Ao consultar o WhatsApp, encontrou uma selfie clara na foto de perfil. Com uma busca reversa de imagem, chegou ao Instagram do suspeito, onde descobriu uma postagem marcando a localização de uma academia. Essa informação foi crucial para localizar o criminoso. --- ## Técnica 2: Consultando o Número via PIX Esta é uma das técnicas **mais eficazes e exclusivas do Brasil**. O sistema PIX, criado pelo Banco Central, permite descobrir rapidamente o nome completo e parte do CPF de qualquer pessoa — usando apenas o número de telefone. ### Passo a passo 1. Abra seu aplicativo bancário (Nubank, Itaú, Bradesco, Inter, etc.) 2. Acesse a área **PIX → Transferir** 3. Selecione **"Telefone"** ou **"Celular"** como chave 4. Digite o número completo (com DDD) 5. Simule o envio de **R$ 0,01** (o menor valor possível) 6. **Antes de confirmar**, o app mostrará o nome completo e parte do CPF 7. **Cancele a transferência** ### Resultado - **Nome completo** do titular da chave PIX - **CPF parcial** (geralmente 3 primeiros e 2 últimos dígitos) - **Banco** onde a chave está cadastrada ### Por que funciona O PIX é regulamentado pelo Banco Central do Brasil, e a exibição dos dados do recebedor antes da confirmação é uma medida de segurança para evitar transferências para pessoas erradas. Isso significa que os dados mostrados são **oficiais e verificados**. ### Limitações - A pessoa precisa ter cadastrado o número de telefone como chave PIX - Algumas pessoas usam chaves aleatórias (UUID) ao invés do telefone - Se houver portabilidade, o número pode estar cadastrado em nome de outra pessoa ### Dica avançada Se o PIX não retornar resultado pelo telefone, tente variações: - Com e sem o nono dígito (9) - Com diferentes DDDs (caso a pessoa tenha migrado de estado) --- ## Técnica 3: Google Dorking — Buscando o Número no Google **Google Dorking** (também chamado de Google Hacking) é uma das técnicas mais poderosas de OSINT. Consiste em usar operadores avançados de busca para extrair informações precisas que buscas comuns não revelam. Conforme explica a [OSINT Industries](https://www.osint.industries/post/osint-phone-number-investigations-how-to-use-phone-osint-tools), Google Dorking é a forma "bruta" de fazer reverse phone lookup — mas ainda extremamente eficaz. ### Busca básica com variações de formato Pessoas escrevem números de telefone de diferentes formas na internet. Por isso, use todas as variações possíveis: ``` "11987654321" OR "11 987654321" OR "11 98765-4321" OR "(11)987654321" OR "(11) 987654321" OR "(11) 98765-4321" OR "+5511987654321" OR "+55 11 98765-4321" ``` ### Buscas direcionadas por plataforma Combine o número com o operador `site:` para filtrar resultados em plataformas específicas: ``` # LinkedIn "11987654321" site:linkedin.com # Facebook "11987654321" site:facebook.com # Instagram "11987654321" site:instagram.com # Twitter/X "11987654321" site:twitter.com OR site:x.com # OLX e Mercado Livre "11987654321" site:olx.com.br OR site:mercadolivre.com.br # Reclame Aqui "11987654321" site:reclameaqui.com.br # Jusbrasil (processos judiciais) "11987654321" site:jusbrasil.com.br # Páginas governamentais "11987654321" site:gov.br ``` ### Busca por documentos O número pode aparecer em PDFs, planilhas e documentos publicados na internet: ``` "11987654321" filetype:pdf OR filetype:xlsx OR filetype:doc ``` ### Busca no corpo do texto de páginas ``` intext:"11987654321" OR intext:"(11) 98765-4321" ``` ### Tabela de operadores de busca avançada | Operador | O que faz | Google | Bing | DuckDuckGo | Yahoo | |---|---|---|---|---|---| | `site:` | Filtra por domínio | ✅ | ✅ | ✅ | ✅ | | `intitle:` | Busca no título da página | ✅ | ✅ | ✅ | ✅ | | `intext:` | Busca no corpo do texto | ✅ | ✅ | ✅ | ✅ | | `filetype:` | Filtra por tipo de arquivo | ✅ | ✅ | ✅ | ✅ | | `"aspas"` | Busca exata | ✅ | ✅ | ✅ | ✅ | | `OR` | Busca alternativa | ✅ | ✅ | ✅ | ✅ | | `cache:` | Versão em cache da página | ✅ | ❌ | ❌ | ❌ | | `related:` | Páginas similares | ✅ | ❌ | ❌ | ❌ | Fonte: [Exposing the Invisible — Kit de investigação](https://kit.exposingtheinvisible.org/es/google-dorking.html) ### Não pare no Google Cada buscador indexa conteúdos diferentes. Repita as buscas em: - **[Bing](https://www.bing.com)** — Indexa resultados que o Google ignora - **[Yandex](https://yandex.com)** — Motor de busca russo, excelente para busca reversa de imagens - **[DuckDuckGo](https://duckduckgo.com)** — Foco em privacidade, mas com o recurso de "Bangs" (`!g`, `!b`, `!w`) permite redirecionar buscas para outros motores - **[Yahoo](https://search.yahoo.com)** — Ainda mantém um índice próprio com resultados únicos --- ## Técnica 4: Identificadores de Chamada — Truecaller, GetContact e Sync.me Aplicativos de identificação de chamada funcionam com bancos de dados **crowdsourced** — ou seja, construídos a partir das agendas de milhões de usuários. Isso significa que, mesmo que o alvo nunca tenha instalado o app, seu número pode estar cadastrado na agenda de alguém que usa. ### Truecaller O [Truecaller](https://www.truecaller.com/) é o mais popular, com mais de 400 milhões de usuários globais. **Como usar:** 1. Baixe o app Truecaller (Android/iOS) 2. Crie conta gratuita (**atenção**: use um número secundário, não o seu principal) 3. Digite o número na barra de pesquisa 4. Veja: nome, cidade, estado e se foi marcado como spam/golpe **O que revela:** - Nome associado ao número (como está salvo nas agendas de outros usuários) - Localização aproximada - Marcações de spam ou fraude - Foto de perfil (quando disponível) ### GetContact O [GetContact](https://getcontact.com/en/) é semelhante ao Truecaller e possui mais de **700 milhões de usuários** mundialmente, conforme dados da [Google Play Store](https://play.google.com/store/apps/details?id=app.source.getcontact&hl=pt). Seu diferencial é mostrar **exatamente como o número está salvo** nas agendas de outras pessoas. **Como usar:** 1. Baixe o app GetContact 2. Cadastre-se (novamente, use um número secundário) 3. Pesquise o número alvo 4. Veja as **tags** — os nomes com os quais aquele número está salvo **Por que é útil:** Se o alvo se apresentou com um nome falso, o GetContact pode revelar o nome real (como está salvo nos contatos de amigos, familiares ou colegas). ### Sync.me O [Sync.me](https://sync.me) funciona como um **identificador de chamadas global** e ferramenta de busca reversa de telefone. **O que revela:** - Nome do proprietário - Fotos associadas (perfis de redes sociais conectados) - Localização - Histórico de spam ### Alerta de privacidade Ao instalar esses apps, você compartilha sua própria agenda de contatos com o serviço. Conforme [discussões no Reddit sobre privacidade](https://www.reddit.com/r/privacy/comments/4twq85/syncme_is_turning_your_contacts_into_a_massive/), esses apps transformam suas agendas em bancos de dados massivos de reverse lookup. Use sempre com um número descartável ou secundário. --- ## Técnica 5: Consulta PIX pelo CPF Parcial Se a Técnica 2 (PIX por telefone) revelou um CPF parcial, você pode usar essa informação para investigações complementares. ### Como expandir a busca com CPF parcial 1. **Google Dorking com CPF parcial**: Combine os dígitos conhecidos com o nome revelado: ``` "José da Silva" "123.***.**4-56" ``` 2. **Sites de consulta pública**: Existem serviços legais para consulta de CPF: - [Receita Federal — Consulta CPF](https://servicos.receita.fazenda.gov.br/servicos/cpf/consultasituacao/consultapublica.asp) — Verifica a situação cadastral - [Serasa](https://www.serasa.com.br) — Consulta de score (se você tiver os dados) 3. **Jusbrasil**: Uma busca pelo nome completo no [Jusbrasil](https://www.jusbrasil.com.br) pode revelar processos judiciais associados, o que frequentemente expõe o CPF completo em documentos públicos. ### Limitações legais A consulta de CPF para fins de investigação pessoal deve respeitar a **LGPD (Lei Geral de Proteção de Dados — Lei nº 13.709/2018)**, que dispõe sobre o tratamento de dados pessoais com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade ([Planalto](https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm)). --- ## Técnica 6: Sites de Telelistas e Catálogos Comerciais Para números comerciais ou fixos, os sites de listas telefônicas são uma fonte valiosa. Use Google Dorking combinado com telelistas: ``` # TeleListas site:telelistas.net "11987654321" OR "11 98765-4321" # Lista Mais site:listamais.com.br "11987654321" # Guia Mais site:guiamais.com.br "11987654321" # Página Amarela site:paginasamarelas.com.br "11987654321" ``` ### O que esperar - Nome da empresa/pessoa associada ao número - Endereço comercial - Ramo de atividade - Outros números de contato ### Dica extra Se o número for comercial, tente também buscar em: - **Google Maps**: Digite o número na busca do Google Maps — se for de uma empresa, pode aparecer no perfil do estabelecimento - **Reclame Aqui**: O número pode estar associado a reclamações de consumidores - **CNPJ.info**: Se identificar uma empresa, consulte o CNPJ para dados adicionais --- ## Técnica 7: Encontrando o Número em Outros Apps de Mensagens As pessoas usam diferentes aplicativos para diferentes contextos de comunicação. Verificar a presença do número em outras plataformas pode revelar informações adicionais — incluindo fotos de perfil, nomes de usuário e bios diferentes. ### Aplicativos para verificar | App | O que pode revelar | Como verificar | |---|---|---| | **Telegram** | Nome, username, foto, bio, grupos públicos | Adicione o contato e busque em "Nova conversa" | | **Signal** | Nome e foto de perfil | Adicione o contato e verifique | | **Viber** | Nome, foto e status | Adicione e verifique na lista de contatos | | **IMO** | Nome e foto | Adicione e verifique | | **Skype** | Nome, foto, localização | Busque pelo número na área de pesquisa | ### Passo a passo para Telegram 1. Salve o número como contato no celular 2. Abra o Telegram 3. Vá em **Configurações → Contatos → Sincronizar contatos** 4. Busque o contato na lista 5. Se encontrar, acesse o perfil para ver: nome, username (@), foto e bio ### Por que o Telegram é especialmente valioso - Muitas pessoas usam **usernames públicos** no Telegram - O username pode ser pesquisado no Google: `site:t.me "username"` - Se o alvo participa de **grupos públicos**, esses grupos e mensagens podem ser encontrados - A foto de perfil do Telegram é frequentemente **diferente** da do WhatsApp, oferecendo mais material para análise --- ## Técnica 8: Busca Avançada em Redes Sociais ### Facebook O Facebook é uma das maiores bases de dados pessoais do mundo. Existem várias formas de buscar um número: **Busca direta:** 1. Cole o número na barra de pesquisa do Facebook 2. Filtre por **"Pessoas"** e **"Publicações"** 3. Se o número estiver vinculado a uma conta, o perfil pode aparecer **Google Dorking para Facebook:** ``` site:facebook.com "11987654321" OR "(11) 98765-4321" ``` **Verificação via vazamento de dados:** Em 2021, dados de **533 milhões de contas do Facebook** foram vazados, incluindo números de telefone vinculados a perfis. Ferramentas de OSINT (como as mencionadas na Técnica 14) podem cruzar esses dados. ### Twitter/X Use a [busca avançada do Twitter](https://twitter.com/search-advanced): 1. Acesse `twitter.com/search-advanced` 2. No campo **"Estas palavras exatas"**, insira o número entre aspas 3. Clique em **"Pesquisar"** Ou via Google: ``` site:twitter.com OR site:x.com "11987654321" ``` ### Instagram O Instagram não possui busca por número, mas você pode usar Google Dorking: ``` site:instagram.com "11987654321" OR "11 98765-4321" OR "(11) 98765-4321" ``` ### LinkedIn Profissionais frequentemente publicam números de contato em seus perfis: ``` site:linkedin.com "11987654321" ``` ### TikTok Perfis comerciais e criadores de conteúdo às vezes incluem números na bio: ``` site:tiktok.com "11987654321" ``` --- ## Técnica 9: "Esqueci Minha Senha" — Engenharia Reversa do Facebook Esta técnica usa o sistema de recuperação de senha do Facebook de forma inversa para confirmar se um número está vinculado a uma conta. ### Passo a passo 1. Acesse a página de login do Facebook 2. Clique em **"Esqueceu a senha?"** 3. Insira o número do alvo (com código do país: +55...) 4. Se o número estiver vinculado a uma conta, o Facebook mostrará: - **Nome parcial** (com asteriscos) - **Foto de perfil** (miniatura) - **Opções de recuperação** (e-mail parcial associado) ### O que extrair - Confirmação de que o número está vinculado a uma conta - Nome parcial (que pode ser suficiente para complementar outras técnicas) - E-mail parcial (ex.: j***@gmail.com) — isso pode ser cruzado com outras buscas - Foto de perfil em miniatura ### Cuidado essencial **Nunca envie o código de recuperação.** Isso não apenas alertaria o alvo, como poderia configurar tentativa de invasão de conta — crime previsto na Lei 12.737/2012 (Lei Carolina Dieckmann). ### Outras plataformas com técnica similar - **Google (Gmail)**: A recuperação de conta pode revelar parte do número ou e-mail associado - **Apple ID**: Pode confirmar se o número está vinculado a uma conta iCloud - **Microsoft**: Recuperação de conta do Outlook --- ## Técnica 10: Ferramentas de OSINT Automatizado Existem plataformas profissionais que automatizam todas as técnicas anteriores e muito mais. Com um único número, elas consultam dezenas de bancos de dados simultaneamente. ### EPIEOS O [EPIEOS](https://epieos.com/) é uma ferramenta especializada em busca reversa de e-mails e telefones. Com um número, retorna: - Contas de redes sociais vinculadas - Serviços onde o número está registrado - Nome associado - Dados de registros públicos ### OSINT Industries O [OSINT Industries](https://osint.industries/) é uma plataforma premium que oferece o dashboard mais completo do mercado. Segundo a [Talkwalker](https://www.talkwalker.com/blog/best-osint-tools), é uma das melhores ferramentas para investigação de identidades online. **O que retorna:** - Redes sociais vinculadas ao número - Contas de e-mail associadas - Registros em aplicativos de mensagens (WhatsApp, Telegram, Signal, etc.) - Diretórios comerciais - Vazamentos de dados - Aliases e usernames conhecidos - **Visualização em timeline e mapa** da atividade online ### SEON O [SEON](https://seon.io/resources/comparisons/osint-software-tools/) oferece uma ferramenta gratuita de lookup que retorna sinais digitais e sociais associados a um número de telefone, incluindo perfis de redes sociais vinculados. ### Preços e quando usar Essas ferramentas são pagas e podem ter custo elevado. Use-as quando: - As técnicas gratuitas não geraram resultados suficientes - O caso é urgente e requer resultados rápidos - Você é um profissional de segurança ou investigação e precisa de relatórios documentados --- ## Técnica 11: PhoneInfoga — Investigação Open Source O [PhoneInfoga](https://github.com/sundowndev/phoneinfoga) é uma das ferramentas **open source mais poderosas** para investigação de números de telefone. Segundo a [SEON](https://seon.io/resources/comparisons/osint-software-tools/), é a melhor ferramenta de código aberto para OSINT focado em telefone. ### O que faz O PhoneInfoga coleta informações sobre um número de telefone a partir de múltiplas fontes: - **País de registro** e formato do número - **Operadora** e tipo de linha (móvel/fixo) - **Indicações de geolocalização** - **Footprints em motores de busca** (Google, Bing, etc.) - Links para possíveis perfis em redes sociais - Verificação em bases de vazamentos ### Como instalar e usar ```bash # Instalação (Linux/macOS) bash <(curl -sSL https://raw.githubusercontent.com/sundowndev/phoneinfoga/master/support/scripts/install) # Instalação global sudo install ./phoneinfoga /usr/local/bin/phoneinfoga # Verificar versão phoneinfoga version # Scan de um número (modo CLI) phoneinfoga scan -n +5511987654321 # Modo interface gráfica (abre no navegador em localhost:5000) phoneinfoga serve ``` ### Interface gráfica O modo `serve` abre uma interface web em `127.0.0.1:5000` onde você pode: - Digitar o número e clicar em **"Look up"** - Visualizar todas as informações coletadas - Acessar os links de Google Dorks gerados automaticamente - Integrar com APIs externas (como Numverify) para dados adicionais ### Dica profissional O PhoneInfoga gera automaticamente dorks de busca para Facebook, Twitter, LinkedIn e outras plataformas. Mesmo que os resultados diretos sejam limitados, os dorks sugeridos podem ser copiados e executados manualmente para encontrar mais informações. --- ## Técnica 12: Busca Reversa de Imagem com Fotos de Perfil Se você conseguiu a foto de perfil do alvo (WhatsApp, Telegram, ou outro app), a busca reversa de imagem pode conectar essa foto a outras contas e informações. ### FaceCheck.id O [FaceCheck.id](https://facecheck.id) é um mecanismo de busca especializado em **reconhecimento facial**. Diferente do Google Lens, que busca imagens similares, o FaceCheck.id identifica **o mesmo rosto** em diferentes contextos. **O que pode encontrar:** - Perfis em redes sociais com a mesma pessoa - Aparições em blogs, vídeos e notícias - Fotos em bancos de mugshots (registros criminais internacionais) - Outros contextos onde o rosto aparece na internet **Segundo o próprio [FaceCheck.id](https://facecheck.id/en/taxonomy/term/Osint/):** "Resultados de busca facial devem ser tratados como pistas investigativas que requerem verificação independente" — ou seja, use como ponto de partida, não como conclusão. ### PimEyes O [PimEyes](https://pimeyes.com/en) é outro motor de busca por reconhecimento facial avançado. Funciona como um "Google para rostos" e é amplamente utilizado por investigadores profissionais. ### Google Lens / Google Imagens 1. Acesse [images.google.com](https://images.google.com) 2. Clique no ícone da câmera 3. Faça upload da foto de perfil 4. Analise os resultados **Limitação:** O Google Lens desativou a funcionalidade de busca por rostos de pessoas para proteger privacidade. O FaceCheck.id e PimEyes são mais eficazes para este objetivo. ### Yandex Images O buscador russo **Yandex** possui um dos melhores sistemas de busca reversa de imagens, especialmente para reconhecimento facial: 1. Acesse [yandex.com/images](https://yandex.com/images) 2. Clique no ícone da câmera 3. Faça upload da foto 4. Analise os resultados — Yandex frequentemente encontra resultados que Google não indexa ### Workflow recomendado para busca de imagem 1. Salve a foto de perfil do WhatsApp/Telegram 2. Faça upload no **FaceCheck.id** (melhor para rostos) 3. Faça upload no **Yandex Images** (boa cobertura) 4. Faça upload no **Google Lens** (para contexto geral) 5. Se encontrar perfis, extraia mais fotos e repita o processo 6. Documente todas as conexões encontradas --- ## Técnica 13: Análise de Metadados de Arquivos Recebidos Se o alvo enviou fotos, vídeos ou documentos pelo WhatsApp, esses arquivos podem conter **metadados** (dados embutidos) que revelam informações valiosas. ### O que metadados podem revelar | Tipo de metadado | O que revela | |---|---| | **EXIF de fotos** | Modelo do dispositivo, data/hora da captura, coordenadas GPS (se não removidas) | | **Documentos (PDF, DOCX)** | Nome do autor, software utilizado, data de criação, empresa | | **Vídeos** | Modelo da câmera, software de edição, geolocalização | | **Áudio** | Software de gravação, codec utilizado | ### Como extrair metadados **Usando ExifTool (Linux/macOS):** ```bash # Instalar sudo apt install libimage-exiftool-perl # Extrair metadados de uma foto exiftool foto_recebida.jpg # Extrair GPS específico exiftool -gpslatitude -gpslongitude foto_recebida.jpg ``` **Usando ferramentas online:** - [Jeffrey's EXIF Viewer](http://exif.regex.info/exif.cgi) - [Metapicz](https://metapicz.com/) - [FotoForensics](https://fotoforensics.com/) ### Limitação importante O WhatsApp **comprime e remove a maioria dos metadados EXIF** de fotos e vídeos enviados pela plataforma. Para preservar metadados, o arquivo precisa ter sido enviado como **"Documento"** (não como foto/vídeo direto). Documentos PDF, DOCX e planilhas geralmente mantêm os metadados intactos. ### Dica avançada Se receber uma foto sem metadados, analise o conteúdo visual: - Placas de carro, nomes de rua, logos de estabelecimentos - Paisagem, clima e luminosidade (indicam hora e região) - Reflexos em superfícies (podem mostrar o fotógrafo ou ambiente) - Detalhes de fundo (quadros, documentos, telas de computador) --- ## Técnica 14: Plataformas de Investigação Avançada — Maltego e OSINT Framework Para investigações complexas, ferramentas profissionais de mapeamento de conexões são indispensáveis. ### Maltego O [Maltego](https://www.maltego.com) é considerado **a plataforma de referência** para investigações digitais complexas. Segundo a própria empresa, permite "minerar, fundir e mapear dados" para acelerar investigações. **O que o Maltego faz com um número de telefone:** - Cria **grafos visuais** mostrando conexões entre pessoas, empresas e dados - Cruza informações de mais de **58 fontes de dados** diferentes - Mapeia **redes sociais, dark web, registros públicos e dados de vazamentos** - Visualiza até **1 milhão de entidades** em um único grafo - Permite investigações anônimas **Exemplo prático:** Você insere o número de telefone no Maltego. A ferramenta automaticamente busca contas de redes sociais vinculadas, e-mails associados, empresas registradas, domínios na internet — e mostra tudo em um grafo visual de conexões. ### OSINT Framework O [OSINT Framework](https://osintframework.com/) não é uma ferramenta em si, mas um **diretório organizado** de centenas de ferramentas de OSINT, categorizadas por tipo de dado. Para investigação de números de telefone, navegue até a categoria **"Phone Numbers"** para encontrar subcategorias como: - Reverse lookup - Identificação de operadora - Rastreamento de VoIP - Lookup internacional - Ferramentas por país É o ponto de partida ideal para encontrar a ferramenta certa para cada tipo de investigação. ### Moriarty Project O [Moriarty Project](https://github.com/AzizKpln/Moriarty-Project) é uma ferramenta open source baseada em web que oferece 6 funcionalidades de investigação a partir de um número de telefone ([GitHub](https://github.com/AzizKpln/Moriarty-Project)): - Tenta **identificar o proprietário** do número - Verifica o **risco de spam** associado - Busca **links relacionados** na web - Encontra **comentários e reports** sobre o número - Identifica **plataformas de redes sociais** conectadas --- ## Técnica 15: Monitoramento de Status Online do WhatsApp Segundo o [OSINT Team Blog](https://osintteam.blog/whatsapp-osint-the-hidden-intelligence-behind-online-status-a3d7591cda3b), o status "online" do WhatsApp pode revelar muito mais do que parece. ### O que o status online revela - **Padrões de sono**: Horários em que a pessoa está consistentemente offline indicam quando ela dorme - **Fuso horário**: Se a pessoa fica online em horários incomuns para o Brasil, pode estar em outro país - **Rotina diária**: Padrões de uso revelam horários de trabalho, almoço e lazer - **Comportamento**: Mudanças repentinas nos padrões podem indicar viagens, mudanças de rotina ou eventos significativos ### Como monitorar 1. Adicione o número como contato 2. Registre manualmente os horários de "online/offline" 3. Após alguns dias, analise os padrões ### Ferramentas de monitoramento Existem ferramentas que automatizam o rastreamento de status online do WhatsApp. Porém, seu uso pode configurar **stalking** (Art. 147-A do Código Penal) se feito sem justificativa legal. Use com extrema cautela e apenas em contextos legítimos. --- ## Técnica 16: Descubra a Operadora do Número Saber qual operadora pertence o número é útil para: - Direcionar denúncias - Solicitar quebra de sigilo (em investigações oficiais) - Entender se o número é pré-pago ou pós-pago - Verificar portabilidade ### ABR Telecom — Consulta oficial A [ABR Telecom](https://consultanumero.abrtelecom.com.br/consultanumero) é a **Entidade Administradora da Portabilidade Numérica no Brasil**, conforme resolução da Anatel. **Passo a passo:** 1. Acesse [consultanumero.abrtelecom.com.br](https://consultanumero.abrtelecom.com.br/consultanumero) 2. Selecione o tipo de consulta 3. Digite o número completo (com DDD) 4. Clique em **"Consultar"** 5. Veja o resultado com o nome da operadora atual ### Análise do DDD O código de área (DDD) indica a **região de registro original** do número: | DDD | Região | |---|---| | 11 | São Paulo (capital e região metropolitana) | | 21 | Rio de Janeiro (capital) | | 31 | Belo Horizonte | | 41 | Curitiba | | 51 | Porto Alegre | | 61 | Brasília | | 71 | Salvador | | 81 | Recife | | 85 | Fortaleza | | 91 | Belém | | 92 | Manaus | ### Identificação do tipo de linha O **primeiro dígito após o DDD** revela o tipo de linha: - **2 a 5**: Números **fixos** (linha terrestre) - **6 a 9**: Números **móveis** (celular) Exemplo: `(11) 98765-4321` → DDD 11 (São Paulo) + dígito 9 = **número móvel**. ### Números internacionais Se o número começa com código de país diferente de +55 (Brasil), isso pode indicar: - O alvo está em outro país - Uso de número VoIP (virtual) - Possível tentativa de mascarar identidade Códigos suspeitos comuns em golpes: +234 (Nigéria), +44 (Reino Unido), +1 (EUA/Canadá), conforme alerta do [Aire de Santa Fe](https://www.airedesantafe.com.ar/tecnologia/como-detectar-un-numero-falso-whatsapp-y-evitar-caer-estafas-virtuales-n622156). --- ## Técnica 17: Social Searcher — Busca em Redes Sociais O [Social Searcher](https://www.social-searcher.com/) é uma ferramenta que permite buscar menções de um número de telefone em publicações públicas de múltiplas redes sociais simultaneamente. ### Como usar 1. Acesse [social-searcher.com](https://www.social-searcher.com/) 2. Digite o número no campo de busca 3. A ferramenta busca em: Facebook, Twitter, Instagram, YouTube, Reddit, Tumblr, e mais 4. Analise os resultados — posts, comentários e menções que contenham o número ### Quando é mais eficaz - Números comerciais (frequentemente divulgados em posts) - Números que foram expostos publicamente (em anúncios, reviews, reclamações) - Números associados a perfis profissionais --- ## Técnica 18: Verificação em Bases de Vazamento de Dados Vazamentos massivos de dados são uma realidade constante na internet. Números de telefone frequentemente aparecem em bancos de dados comprometidos junto com nomes, e-mails e senhas. ### Have I Been Pwned O [Have I Been Pwned](https://haveibeenpwned.com/) é o serviço mais confiável para verificar se um número (ou e-mail) aparece em vazamentos de dados. Criado pelo pesquisador de segurança Troy Hunt. ### CheckLeaked O [CheckLeaked.cc](https://checkleaked.cc/) é uma plataforma que permite verificar se e-mails, números de telefone ou senhas foram expostos em vazamentos. ### Vazamentos notáveis que incluem números de telefone | Vazamento | Dados expostos | Ano | |---|---|---| | **Facebook** | 533 milhões de contas, incluindo números | 2021 | | **LinkedIn** | 700 milhões de registros | 2021 | | **Clubhouse** | 3,8 bilhões de registros | 2021 | | **WhatsApp** | 487 milhões de números (alegado) | 2022 | ### Cuidado ético Utilizar dados de vazamentos para fins de investigação é uma **zona cinzenta legal**. A LGPD protege dados pessoais independentemente de como foram obtidos. Sempre documente a finalidade legítima da consulta. --- ## Técnica 19: Ligando para o Alvo — Investigação Ativa A técnica mais direta, mas que requer máximo cuidado e planejamento. ### Precauções obrigatórias - Use um **número descartável** (chip pré-pago comprado com dados que não levem a você) - Considere usar um **modificador de voz** (apps como Voice Changer) - Tenha uma **história de cobertura** preparada (ex.: confirmação de cadastro, pesquisa de mercado) - **Grave a ligação** (onde legalmente permitido) para análise posterior - Mantenha o **sigilo da investigação** em todos os momentos ### O que observar durante a ligação | Aspecto | O que revela | |---|---| | **Atende ou não** | Se o número está ativo | | **Saudação** | Nome ("Alô, aqui é o João") | | **Voz** | Gênero, idade aproximada | | **Sotaque** | Região de origem | | **Ruído de fundo** | Ambiente (casa, escritório, rua, trânsito) | | **Horário que atende** | Rotina e disponibilidade | | **Idioma** | Nacionalidade | ### Dica avançada: SpyDialer Para números americanos, o [SpyDialer](https://www.spydialer.com/) permite ouvir a caixa postal de um número sem que a ligação seja registrada como chamada. No Brasil, não há equivalente direto, mas ligar fora do horário comercial aumenta as chances de cair na caixa postal. ### Importante Esta técnica configura **investigação ativa** (diferente de OSINT passivo). Dependendo do contexto, pode configurar assédio ou perturbação. Use apenas quando estritamente necessário e com justificativa legal. --- ## Técnica 20: NumLookup e Ferramentas de Reverse Lookup Gratuitas Existem diversos serviços online gratuitos que oferecem reverse phone lookup. Embora a cobertura para números brasileiros seja limitada, vale a tentativa. ### Ferramentas recomendadas | Ferramenta | URL | Cobertura | Gratuito? | |---|---|---|---| | **NumLookup** | [numlookup.com](https://www.numlookup.com/) | Global (foco EUA) | Sim | | **Whitepages** | [whitepages.com](https://www.whitepages.com/) | EUA/Canadá | Parcial | | **Spokeo** | [spokeo.com](https://www.spokeo.com/) | EUA | Parcial | | **PhoneValidator** | [phonevalidator.com](https://www.phonevalidator.com/) | Global | Sim | | **NumVerify** | [numverify.com](https://numverify.com/) | Global | Sim (API) | | **Infobel** | [infobel.com](https://www.infobel.com/) | Global | Sim | | **Emobile Tracker** | [emobiletracker.com](https://www.emobiletracker.com/) | Índia/Global | Sim | ### Para números brasileiros especificamente - **Consulta Número (ABR Telecom)**: Operadora atual - **PIX (bancos)**: Nome e CPF parcial - **Truecaller/GetContact**: Nome como salvo em agendas - **Google Dorking com DDDs brasileiros**: Presença em sites nacionais --- ## Workflow Completo: Como Combinar Todas as Técnicas A verdadeira eficácia da investigação digital está em **combinar múltiplas técnicas de forma sistemática**. Segundo a [Ethos Risk](https://ethosrisk.com/blog/osint-investigations-emerging-trends-and-modern-tools/), as investigações modernas de OSINT não se tratam mais de buscas isoladas, mas de **entender relacionamentos dentro de um ecossistema mais amplo**. ### Fase 1: Coleta Rápida (5 minutos) 1. **Técnica 1**: Consultar perfil do WhatsApp (nome, foto, bio) 2. **Técnica 2**: Consultar via PIX (nome completo, CPF parcial) 3. **Técnica 16**: Verificar operadora (ABR Telecom) ### Fase 2: Busca Passiva (15-30 minutos) 4. **Técnica 3**: Google Dorking com todas as variações do número 5. **Técnica 4**: Truecaller + GetContact + Sync.me 6. **Técnica 7**: Verificar Telegram, Signal e outros apps 7. **Técnica 8**: Busca em redes sociais (Facebook, Twitter, Instagram, LinkedIn) 8. **Técnica 9**: Teste de "Esqueci minha senha" no Facebook ### Fase 3: Investigação Profunda (30-60 minutos) 9. **Técnica 12**: Busca reversa de imagem com foto de perfil 10. **Técnica 11**: PhoneInfoga (scan automatizado) 11. **Técnica 6**: Telelistas e catálogos comerciais 12. **Técnica 17**: Social Searcher 13. **Técnica 18**: Verificação em bases de vazamentos 14. **Técnica 5**: Expansão a partir do CPF parcial ### Fase 4: Análise Avançada (quando necessário) 15. **Técnica 10**: Ferramentas automatizadas (EPIEOS, OSINT Industries) 16. **Técnica 14**: Maltego para mapeamento de conexões 17. **Técnica 13**: Análise de metadados de arquivos recebidos 18. **Técnica 15**: Monitoramento de padrões de status online ### Fase 5: Investigação Ativa (último recurso) 19. **Técnica 19**: Ligação direta 20. **Técnica 20**: Ferramentas de reverse lookup complementares ### Documentação Em cada fase, **documente tudo**: - Screenshots de perfis e resultados - URLs das fontes - Data e hora da coleta - Conexões identificadas entre dados Essa documentação é essencial tanto para uso pessoal quanto para eventual apresentação em processos legais. --- ## Aspectos Legais e Éticos: O Que Você Precisa Saber A investigação digital no Brasil é regida por um conjunto de leis que devem ser rigorosamente respeitadas. ### LGPD — Lei Geral de Proteção de Dados (Lei 13.709/2018) A [LGPD](https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm) dispõe sobre o tratamento de dados pessoais com o objetivo de proteger direitos fundamentais de liberdade e privacidade. Seus princípios incluem: finalidade, adequação, necessidade, transparência, segurança e responsabilização. **Implicação prática:** A coleta de dados pessoais (mesmo públicos) deve ter uma finalidade legítima. Investigação de fraudes, defesa de direitos ou segurança pessoal são finalidades reconhecidas. ### Marco Civil da Internet (Lei 12.965/2014) O [Marco Civil](https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm) garante: - **Inviolabilidade da intimidade e vida privada** (Art. 7º, I) - **Sigilo do fluxo de comunicações** pela internet, salvo por ordem judicial (Art. 7º, II) - **Sigilo das comunicações privadas** armazenadas (Art. 7º, III) **Implicação prática:** Interceptação de comunicações ou acesso a contas privadas requer ordem judicial. As técnicas deste guia utilizam apenas dados publicamente acessíveis. ### Crime de Stalking (Art. 147-A do Código Penal) A [Lei 14.132/2021](https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2021/lei/l14132.htm) tipificou o crime de **perseguição (stalking)**, conforme análise da [Legale Educacional](https://legale.com.br/blog/o-crime-de-stalking-art-147-a-cp-guia-pratico/): > "Perseguir alguém, reiteradamente e por qualquer meio, ameaçando-lhe a integridade física ou psicológica, restringindo-lhe a capacidade de locomoção ou, de qualquer forma, invadindo ou perturbando sua esfera de liberdade ou privacidade." **Pena:** Reclusão de 6 meses a 2 anos, e multa. **Agravantes:** - Aumento de metade da pena se contra criança, adolescente, idoso ou mulher - Aplica-se a Lei Maria da Penha em contexto de violência doméstica **Implicação prática:** Monitoramento obsessivo e reiterado de alguém — mesmo usando técnicas legítimas de OSINT — pode configurar stalking se feito com intenção de intimidação ou perturbação. ### Lei Carolina Dieckmann (Lei 12.737/2012) Tipifica crimes de invasão de dispositivos informáticos. **Acessar contas alheias** (mesmo com recuperação de senha) é crime. ### Quando a investigação é legítima | Contexto | Legitimidade | |---|---| | Investigação policial (com mandado) | ✅ Plenamente legal | | Advogado investigando para processo | ✅ Legal (com base no direito de defesa) | | Detetive particular contratado | ✅ Legal (com registro no DPF) | | Jornalismo investigativo | ✅ Legal (interesse público) | | Empresa investigando fraude contra si | ✅ Legal (legítimo interesse) | | Pessoa investigando golpe que sofreu | ⚠️ Legal com cautela | | Curiosidade pessoal sobre terceiros | ⚠️ Zona cinzenta | | Monitorar ex-parceiro(a) | ❌ Pode configurar stalking | | Intimidação ou assédio | ❌ Crime | ### Regras de ouro 1. **Use apenas dados públicos** — nunca invada contas ou sistemas 2. **Tenha uma finalidade legítima** — documente o motivo da investigação 3. **Não perturbe o alvo** — OSINT deve ser passivo e discreto 4. **Confirme com múltiplas fontes** — evite conclusões precipitadas 5. **Documente tudo** — mantenha registros para fins legais 6. **Procure apoio profissional** quando necessário — delegacias especializadas em crimes cibernéticos podem ajudar --- ## Ferramentas Completas: Lista de Recursos para Investigação ### Ferramentas Gratuitas | Ferramenta | Tipo | URL | |---|---|---| | PhoneInfoga | Scan de número (open source) | [github.com/sundowndev/phoneinfoga](https://github.com/sundowndev/phoneinfoga) | | OSINT Framework | Diretório de ferramentas | [osintframework.com](https://osintframework.com/) | | Truecaller | Identificador de chamadas | [truecaller.com](https://www.truecaller.com/) | | GetContact | Identificador de chamadas | [getcontact.com](https://getcontact.com/en/) | | Sync.me | Reverse phone lookup | [sync.me](https://sync.me/) | | FaceCheck.id | Busca reversa facial | [facecheck.id](https://facecheck.id/) | | ABR Telecom | Consulta de operadora (Brasil) | [consultanumero.abrtelecom.com.br](https://consultanumero.abrtelecom.com.br/) | | Social Searcher | Busca em redes sociais | [social-searcher.com](https://www.social-searcher.com/) | | Have I Been Pwned | Verificação de vazamentos | [haveibeenpwned.com](https://haveibeenpwned.com/) | | CheckLeaked (WhatsApp) | Perfil público WhatsApp | [whatsapp.checkleaked.cc](https://whatsapp.checkleaked.cc/) | | ExifTool | Análise de metadados | [exiftool.org](https://exiftool.org/) | | NumLookup | Reverse phone lookup | [numlookup.com](https://www.numlookup.com/) | | Moriarty Project | Investigação de número | [github.com/AzizKpln/Moriarty-Project](https://github.com/AzizKpln/Moriarty-Project) | | Yandex Images | Busca reversa de imagem | [yandex.com/images](https://yandex.com/images/) | ### Ferramentas Pagas/Premium | Ferramenta | Tipo | URL | |---|---|---| | OSINT Industries | Plataforma completa de investigação | [osint.industries](https://osint.industries/) | | EPIEOS | Busca reversa de e-mail e telefone | [epieos.com](https://epieos.com/) | | Maltego | Mapeamento de conexões | [maltego.com](https://www.maltego.com/) | | PimEyes | Reconhecimento facial avançado | [pimeyes.com](https://pimeyes.com/en/) | | SEON | Sinais digitais e sociais | [seon.io](https://seon.io/) | | SpiderFoot | OSINT automatizado | [spiderfoot.net](https://www.spiderfoot.net/) | --- ## Perguntas Frequentes (FAQ) ### É crime descobrir o dono de um número de WhatsApp? Não, desde que você utilize apenas dados publicamente acessíveis e tenha uma finalidade legítima (defesa contra golpes, segurança pessoal, investigação profissional). O uso de técnicas de OSINT com dados públicos é legal. O que pode ser crime é o **uso indevido** das informações obtidas (stalking, assédio, intimidação). ### Qual a técnica mais eficaz no Brasil? A **consulta via PIX** (Técnica 2) é exclusiva do Brasil e extremamente eficaz, pois retorna o nome completo e CPF parcial diretamente de fontes oficiais do sistema bancário. ### Consigo descobrir a localização exata de alguém pelo WhatsApp? Não diretamente. As técnicas de OSINT podem indicar a **região de registro** do número (pelo DDD), **padrões de horário** que sugerem fuso horário, e informações de localização que a pessoa publicou voluntariamente. Localização em tempo real requer mandado judicial. ### Os apps de identificação (Truecaller, GetContact) são confiáveis? Os dados são baseados nas agendas de outros usuários, então o nome exibido é **como a pessoa está salva nos contatos de terceiros** — o que pode ser o nome real, um apelido, ou informação incorreta. Use como pista, não como prova. ### O que fazer se fui vítima de golpe pelo WhatsApp? 1. **Não delete as mensagens** — são prova 2. **Faça screenshots** de tudo (perfil, mensagens, número) 3. **Registre um Boletim de Ocorrência** na delegacia (pode ser online em muitos estados) 4. **Use as técnicas deste guia** para coletar informações sobre o golpista 5. **Denuncie no WhatsApp**: Perfil do contato → Denunciar 6. **Procure uma delegacia especializada** em crimes cibernéticos ### As técnicas funcionam para números internacionais? Sim, a maioria funciona globalmente. As exceções são técnicas específicas do Brasil: PIX (Técnica 2), ABR Telecom (Técnica 16) e telelistas nacionais (Técnica 6). Para números internacionais, foque nas técnicas universais: Google Dorking, apps de identificação, busca reversa de imagem e plataformas de OSINT automatizado. ### O alvo pode saber que estou investigando? Se você seguir **apenas técnicas de OSINT passivo** (buscas em motores de busca, consultas públicas, análise de dados já disponíveis), **não**. O alvo não será notificado. Técnicas ativas (como ligar para o número ou enviar mensagem) obviamente alertam o investigado. --- ## Considerações Finais Estas 20 técnicas, quando usadas em conjunto e de forma metódica, formam o arsenal mais completo disponível para investigação de números de WhatsApp. A investigação digital moderna, segundo a [Ethos Risk](https://ethosrisk.com/blog/osint-investigations-emerging-trends-and-modern-tools/), não é mais sobre buscas isoladas — é sobre **resolução de entidades**: correlacionar automaticamente aliases, números compartilhados, e-mails vinculados, endereços sobrepostos e afiliações comerciais para construir um retrato completo de uma identidade digital. Cada caso é único. Nem sempre todas as técnicas funcionarão. O segredo está em ser **persistente, metódico e ético**. **A investigação digital é uma arte que combina técnica, paciência e responsabilidade.** Use esse conhecimento para se proteger, proteger os seus e contribuir para um ambiente digital mais seguro. --- **Quer aprender mais técnicas avançadas de investigação digital?** Compartilho regularmente métodos que uso nas minhas próprias investigações e com meus clientes. Essas são técnicas testadas no mundo real, não apenas teoria acadêmica. **[Siga Bruno Fraga](https://brunofraga.com)** para conteúdos exclusivos sobre OSINT, cibersegurança e investigação digital. --- ## Aulão Semanal — Aulas ao Vivo (19 publicados) ### Aulão #020 — Shodan na Prática: Como Encontrar Dispositivos Vulneráveis Expostos na Internet URL: https://brunofraga.com/aulao-semanal/shodan-como-usar-identificar-vulnerabilidades-internet Publicado: 2024-08-27 Tags: hacking, osint, ciberseguranca, investigacao-digital, tutoriais, tecnicas-de-invasao YouTube: https://www.youtube.com/watch?v=GQf77sbZwis Neste aulão em vídeo com demonstração prática, Bruno Fraga ensina como usar o Shodan para identificar dispositivos IoT vulneráveis, câmeras abertas e serviços expostos na internet. Aprenda dorks, filtros avançados e integração com OpenVAS para análise de vulnerabilidades. ## O que você vai aprender neste aulão Neste artigo eu mostro como usar o Shodan — o buscador que encontra dispositivos conectados à internet em vez de páginas web. Câmeras, roteadores, bombas de combustível, babás eletrônicas e qualquer coisa que tenha um IP público. Saber operar o Shodan significa entender como milhões de dispositivos estão expostos agora mesmo, sem proteção alguma, e como você pode usar isso tanto para investigação digital quanto para proteger sua própria rede. Nesse aulão número 20, que eu dei ao vivo com a participação do Diego Andreto, eu demonstrei na prática como fazer buscas no Shodan, como aplicar filtros e dorks para encontrar dispositivos específicos, como visualizar câmeras ao vivo e como usar geolocalização para mapear equipamentos na sua região. E no final, mostrei o OpenVAS instalado no Kali Linux — uma alternativa local para escanear vulnerabilidades na sua própria rede. Depois de ler este artigo, você vai conseguir criar sua conta no [Shodan](https://www.shodan.io/), fazer buscas filtradas por país, porta, sistema operacional e produto, identificar dispositivos vulneráveis e entender por que mudar a porta do seu serviço não te protege de nada. Se você já acompanha meus aulões sobre [ferramentas de investigação digital](https://brunofraga.com/aulao-semanal/ferramentas-de-investigacao-digital) ou [técnicas OSINT para investigar pessoas](https://brunofraga.com/aulao-semanal/como-investigar-pessoas-na-internet-tecnicas-osint), o Shodan é a próxima peça do quebra-cabeça. ## O que é o Shodan: o buscador de dispositivos da internet O Shodan é um mecanismo de busca que indexa dispositivos conectados diretamente à internet, em vez de páginas web. Enquanto o Google busca informações e conteúdo, o Shodan busca IPs — e tudo que está por trás deles. O resumo é simples: tudo que se comunica pela internet, o Shodan busca. Câmeras de segurança, roteadores, servidores, babás eletrônicas, termômetros de piscina, cafeteiras inteligentes, geladeiras, bombas de combustível. Se o dispositivo tem um IP público e responde a uma conexão, o Shodan indexa. A ferramenta foi criada originalmente para documentar dispositivos na internet — uma espécie de benchmark de mercado. A ideia inicial era responder perguntas como "quantos roteadores da Cisco existem no mundo?" ou "quantos dispositivos Huawei estão ativos?". Mas ela tomou uma forma diferente. Hoje, o Shodan revela se um dispositivo está inseguro. E a maioria está. Eu sempre falo isso nas minhas aulas: o dispositivo não aparece no Shodan à toa. Ele aparece porque está totalmente inseguro. A configuração que fizeram nele é uma configuração insegura, ou o equipamento já está ultrapassado e não recebe mais atualização de firmware. ### O que o Shodan indexa: banners e metadados Segundo a [documentação oficial do Shodan](https://help.shodan.io/the-basics/what-is-shodan), a maior parte dos dados vem de banners — metadados sobre o software que está rodando em um dispositivo. Isso pode incluir informações sobre o servidor web, certificados SSL, versão do sistema operacional, portas abertas e serviços ativos. Quando o Shodan se conecta a um dispositivo, ele coleta essas informações públicas e as armazena em seu banco de dados. É como uma SQL gigante que você pode filtrar. E os filtros são poderosos: país, cidade, porta, sistema operacional, produto, versão de firmware, [CVE](https://www.fortinet.com/resources/cyberglossary/cve) (Common Vulnerabilities and Exposures) e até geolocalização por latitude e longitude. ## Como o Shodan funciona: de onde vêm os dados dos dispositivos O Shodan varre a internet inteira semanalmente, conectando-se a dispositivos e coletando os banners de resposta. Mas existe uma segunda fonte de dados que pouca gente conhece — e que eu fiz questão de alertar no aulão. Todo profissional de TI quer ir lá no site para testar se a porta está aberta. Todo cara que instala uma câmera vai lá no site para ver se a porta está aberta. E eu pergunto: qual é o modelo de negócio de um site que testa se a porta está aberta? Vender essa base de informação de IP e porta para quem precisa. Isso mesmo. Sites de teste de porta online criam bases de dados com IP + porta e revendem essas informações para ferramentas como o Shodan. Então toda vez que um profissional de TI vai testar se a porta do DVR está aberta usando um site desses, ele está alimentando o Shodan com informações sobre aquele dispositivo. Minha recomendação é clara: quando forem fazer escaneamento de porta, façam com [Nmap](https://nmap.org/), com um produto local, com as técnicas de vocês. Não usem um website que vai marcar esse IP, essa porta para ferramentas como o Shodan. ### Por que mudar a porta NÃO protege seu dispositivo Eu preciso bater nessa tecla porque no dia do aulão tivemos uma discussão sobre isso. Profissionais de TI que trabalham com LAN ficam teimando que basta mudar a porta para estarem protegidos. "Ah, vou deixar a porta do SQL Server exposta na internet, mas vou mudar a porta padrão, então estou protegido." Não funciona assim. Primeiro, o Shodan escaneia todas as portas — não só as padrões. Segundo, se você testou sua porta em um site online, o Shodan já tem essa informação sem precisar gastar processamento para encontrar. E no aulão eu mostrei isso na prática: bombas de combustível com porta alterada de 80 para 4433, completamente visíveis no Shodan. Mas o problema vai além. Eu mostrei painéis de roteadores MikroTik na porta 8008 — uma porta não padrão — com dados de clientes de provedores de internet completamente expostos. Nomes, logins, e-mails, consumo de velocidade. Tudo visível. Mudar a porta não fez diferença alguma. ## Como criar conta e começar a usar o Shodan (gratuito vs pago) A conta gratuita do Shodan é suficiente para quem está começando a estudar. Você consegue fazer buscas, visualizar dispositivos e monitorar pelo menos 1 IP. O limite está no número de páginas de resultados e em algumas funcionalidades como imagens e mapas. Para quem trabalha na área, o plano Membership custa $49 (pagamento único, vitalício) e libera 100 query credits por mês, 100 scan credits e monitoramento de até 16 IPs. Segundo a [página de preços do Shodan](https://account.shodan.io/billing), os planos sobem para $69/mês (Freelancer), $359/mês (Small Business) e $1.099/mês (Corporate). | Plano | Preço | Query Credits/mês | Scan Credits/mês | IPs Monitorados | |---|---|---|---|---| | Gratuito | $0 | Limitado | Limitado | 1 | | Membership | $49 (único) | 100 | 100 | 16 | | Freelancer | $69/mês | 10.000 | 5.120 | 5.120 | | Small Business | $359/mês | 200.000 | 65.536 | 65.536 | | Corporate | $1.099/mês | Ilimitado | 327.680 | 327.680 | Para começar, acesse [shodan.io](https://www.shodan.io/), crie uma conta gratuita e acompanhe os exemplos que vou mostrar a seguir. E uma dica: o Shodan entra em promoção com frequência, às vezes o Membership cai para $4. Fique atento. ## Principais dorks e filtros do Shodan para iniciantes Dorks no Shodan funcionam como filtros de banco de dados. Você está consultando uma base gigantesca de dispositivos e usando comandos para retornar exatamente o que precisa. É como uma consulta SQL, só que na interface de busca. Aqui estão os filtros que eu mais uso e que demonstrei no aulão: | Filtro | O que faz | Exemplo | |---|---|---| | `country:` | Filtra por país | `country:BR` | | `city:` | Filtra por cidade | `city:"São Paulo"` | | `port:` | Filtra por porta | `port:3389` | | `os:` | Filtra por sistema operacional | `os:"Windows XP"` | | `product:` | Filtra por produto/software | `product:"Raspberry Pi"` | | `geo:` | Filtra por latitude,longitude | `geo:-23.56,-46.65` | | `has_screenshot:` | Mostra só resultados com screenshot | `has_screenshot:true` | | `title:` | Filtra pelo título da página | `title:camera` | | `server:` | Filtra pelo servidor | `server:"webcam 7"` | Você combina esses filtros para refinar a busca. Por exemplo: `os:"Windows XP" country:BR` retorna todos os dispositivos com Windows XP no Brasil. No dia do aulão, essa busca retornou 31 dispositivos, sendo 23 em São Paulo. Para uma lista completa de dorks, recomendo o [repositório no GitHub do nullfuzz-pentest](https://github.com/nullfuzz-pentest/shodan-dorks) e também [este repositório com dorks categorizadas](https://github.com/mr-exo/shodan-dorks). São centenas de filtros organizados por tipo: câmeras, servidores, bancos de dados, dispositivos industriais, jogos e mais. ## Como buscar dispositivos por país, porta e sistema operacional no Shodan A busca mais básica no Shodan é filtrar por país. Digitando `country:BR` na barra de busca, você recebe todos os dispositivos indexados no Brasil. No Internet Observatory do Shodan, o Brasil aparece com 15 milhões de portas abertas mapeadas. Cada resultado mostra o IP do dispositivo, as portas abertas, os serviços rodando, a localização aproximada e o banner com metadados. Clicando em um IP específico, você vê detalhes como operadora, cidade, todas as portas abertas e as CVEs (vulnerabilidades conhecidas) associadas. ### Caso real: Windows XP com SQL Server 2000 em São Paulo Quando digitei `os:"Windows XP" country:BR` no aulão, o Shodan retornou 31 dispositivos. Um deles chamou atenção: um Windows XP com Service Pack 2 rodando SQL Server 2000, localizado em São Paulo, operadora Claro. Clicando no IP, vi as portas 83 e 84 abertas com painéis de login acessíveis. E na lateral, as CVEs — falhas de segurança conhecidas com [exploits](https://www.bitdefender.com.br/consumer/support/answer/27646/) disponíveis publicamente. É assim que funciona a lógica de invasão em massa: o atacante não escolhe um alvo e depois procura a falha. Ele encontra a falha primeiro e depois ataca todos os alvos vulneráveis. A lógica é "falha → alvos", não "alvo → falha". E o Shodan permite exatamente esse mapeamento em escala. ### Caso real: 4 milhões de dispositivos com Remote Desktop aberto na pandemia Em 2020 — há 6 anos — durante a pandemia de COVID-19, eu lembro exatamente dessa época porque foi extremamente conturbada. Todo mundo colocou a porta 3389 ([Remote Desktop Protocol](https://scanitex.com/en/resources/ports/tcp/3389)) aberta para trabalhar remotamente. Uma busca simples por `port:3389` no Shodan retornava 4 milhões de dispositivos. Existia um exploit que fazia bypass de autenticação no RDS da Microsoft — não precisava de usuário nem senha. O script passava direto. Qualquer pessoa que fizesse essa busca no Shodan conseguia executar o script e entrar em qualquer servidor. E foi exatamente o que aconteceu: ataques massivos de ransomware. Criminosos invadiam servidores, criptografavam dados e pediam Bitcoin. Não era ataque direcionado — era varredura em massa. ## Filtrando câmeras de segurança e webcams no Shodan Câmeras são o tipo de dispositivo que mais impacta visualmente quando você mostra no Shodan, porque é tangível — a pessoa vê a imagem da sua rua, do seu bairro. Mas como eu disse no aulão, não é necessariamente o maior impacto real. Ver os clientes de uma operadora com nome e e-mail expostos é pior. Mas câmeras chamam atenção. Para buscar câmeras, existem várias abordagens: 1. **Por porta**: `port:554 country:BR` — a [porta 554 é usada pelo protocolo RTSP](https://www.pentestpad.com/port-exploit/port-554-rtsp-real-time-streaming-protocol) (Real Time Streaming Protocol), padrão de câmeras IP e DVRs 2. **Por título**: `title:camera` — busca páginas que tenham "camera" no título 4. **Por servidor**: `server:"webcam 7"` — busca por um software específico de webcam 5. **Por screenshot**: `port:554 country:BR has_screenshot:true` — mostra apenas resultados que têm captura de tela A seção de [Imagens do Shodan](https://www.shodan.io/about/products) é um recurso pago que mostra screenshots capturados de dispositivos. No dia do aulão, havia 940.850 dispositivos com imagens capturadas. Mas eu dei uma dica gratuita: use `has_screenshot:true` na busca padrão para ver screenshots sem precisar da conta paga. ### O que eu encontrei ao vivo no aulão Ao buscar câmeras durante a transmissão, encontrei de tudo. Uma câmera de atendimento ao vivo — dava para ver a pessoa trabalhando em tempo real. Uma webcam de garagem com um botão escrito "Abrir Portão" — sim, qualquer pessoa poderia abrir o portão eletrônico remotamente. Uma câmera de guarita de segurança exposta sem senha — ela está ali para proteger as pessoas, mas está completamente vulnerável. Paradoxo. E encontrei câmeras dentro de casas. Quartos, salas. Webcams baratas geralmente não têm senha. A pessoa compra, instala, conecta na internet e pronto — está no Shodan para qualquer um acessar. ### O caso das babás eletrônicas hackeadas Eu falei de babás eletrônicas no aulão por um motivo específico. Teve uma onda de criminosos que acessavam babás eletrônicas expostas na internet e conversavam com as crianças. Isso aconteceu dezenas de vezes documentadas. A [CNN Brasil reportou](https://www.cnnbrasil.com.br/entretenimento/americana-afirma-que-teve-baba-eletronica-hackeada-falavam-com-meu-filho/) o caso de uma mãe americana que descobriu que alguém falava com seu filho à noite pela babá eletrônica hackeada. O [Globo noticiou](https://oglobo.globo.com/economia/estranho-hackeia-baba-eletronica-noite-grita-acorda-nenem-12329990) um caso onde um estranho gritava "Acorda, neném!" pela babá eletrônica. E a [Record registrou](https://record.r7.com/balanco-geral/invasao-de-hackers-em-babas-eletronicas-gera-preocupacao-nos-pais-12052023/) que a Polícia Federal investiga 141 casos de tentativas de invasão a babás eletrônicas e câmeras de segurança no Brasil. Essas babás eletrônicas chinesas baratas usam a porta 554 e não recebem mais atualizações de firmware. Todos aqueles gadgets que você compra no AliExpress em promoção, em desconto, muito provável estão no Shodan. A empresa produz, não vai ficar atualizando porque é um custo, e vai produzir novos para vender novos. ## Como usar geolocalização para encontrar dispositivos na sua região O Shodan permite filtrar dispositivos por coordenadas geográficas usando o filtro `geo:`. No aulão, eu demonstrei como capturar latitude e longitude diretamente do Google Maps e usar no Shodan. O passo a passo é direto: 1. Abra o [Google Maps](https://maps.google.com) e vá até a região que você quer investigar 2. Copie a latitude e longitude da URL do browser (aparecem como números separados por vírgula, tipo `-23.5615,-46.6559`) 4. Combine com outros filtros: `geo:-23.5615,-46.6559 port:554 has_screenshot:true` No aulão, filtrei dispositivos na região da Avenida Paulista em São Paulo e os resultados mostraram equipamentos naquela área específica. Também tentamos uma busca em Porto Alegre a pedido de um espectador, mas a localização estava específica demais (rua exata) e não retornou resultados — é preciso usar uma área mais ampla na geolocalização. Mas cuidado: a geolocalização do Shodan é aproximada, baseada em dados de registro do IP. Não espere precisão de GPS. Para investigações que exigem localização precisa, eu combino o Shodan com outras ferramentas — como fiz no caso que vou contar agora. ## Shodan para investigação digital e OSINT: casos reais O Shodan não serve só para encontrar câmeras desprotegidas. Ele é uma ferramenta de OSINT poderosa que eu uso em investigações reais. Se você está [começando como investigador digital](https://brunofraga.com/aulao-semanal/como-iniciar-carreira-investigador-digital), precisa conhecer essa ferramenta. ### Caso real: rastreando um golpista de Instagram com H-Spy + Shodan Esse caso eu contei no aulão porque ilustra bem o poder da combinação de ferramentas. Um golpista de Instagram foi rastreado usando o H-Spy (minha ferramenta de rastreamento e geolocalização) combinado com o Shodan. A geolocalização capturada pelo H-Spy foi inserida no Shodan usando o filtro `geo:`. E tinha câmeras naquela região. Uma delas era de uma oficina de moto que mostrava um painel de propaganda com telefone de contato. Através desse telefone, conseguimos rastrear e identificar o golpista. Isso mostra como ferramentas OSINT se complementam. A geolocalização do GPS deu a coordenada exata do momento em que o golpista estava naquele local. O Shodan encontrou câmeras na região. E a câmera forneceu a evidência visual com um dado de contato rastreável. Se você quer se aprofundar em [técnicas para investigar pessoas usando a internet](https://brunofraga.com/aulao-semanal/como-investigar-pessoas-na-internet-tecnicas-osint), esse tipo de combinação é o que separa amadores de profissionais. ### Caso real: provedores de internet com dados de clientes expostos Esse foi um dos achados mais graves do aulão. Eu sabia que a porta 8008 estava sendo usada por uma configuração específica no Brasil. Quando busquei `port:8008 os:routerOS PPPoE country:BR`, encontrei painéis MikroTik de roteadores de borda de provedores de internet. E o que tinha nesses painéis? Nomes de usuários, logins, e-mails de clientes e consumo de velocidade de internet. Tudo exposto. Sem autenticação. Qualquer pessoa com acesso ao Shodan poderia ver esses dados. Mas o pior: todas as configurações eram idênticas. Mesmo padrão de porta, mesmo layout, mesma estrutura. Isso indica que uma única empresa de consultoria — ou um único profissional — configurou todos esses provedores da mesma forma insegura. O nível de engenharia social que isso permite é assustador. Eu posso descobrir quem é o profissional que faz essa configuração e me passar por ele para entrar em contato com as empresas. É uma violação grave da [LGPD](https://www.gov.br/esporte/pt-br/acesso-a-informacao/lgpd) — dados pessoais de clientes expostos publicamente na internet. ### Caso real: bombas de combustível visíveis no Shodan Quando o Diego digitou `country:BR tanque` no Shodan, apareceram bombas de combustível com painéis de gerenciamento acessíveis pela internet. Um deles era o Posto Triângulo, na Avenida Anhanguera, em Goiânia — o banner revelava nome do posto, endereço completo e informações dos tanques. E no mapa do Shodan, filtrando por "tanque" no Brasil, apareceram 189 resultados. Pontos espalhados por Rio de Janeiro, Goiás, Cachoeiro de Itapemirim. Bombas de combustível com software de gerenciamento exposto na internet. Se um software desse tem uma falha, todos os que usam o mesmo software também têm. ## Dispositivos IoT vulneráveis: por que isso acontece em escala A maioria dos dispositivos IoT que aparecem no Shodan está lá por uma combinação de fatores. Não é um problema isolado — é sistêmico. Babás eletrônicas chinesas são vendidas baratas porque a empresa já não investe em atualização de firmware. Elas usam IPv4, não têm suporte a [IPv6](https://aws.amazon.com/pt/compare/the-difference-between-ipv4-and-ipv6/), e são "dissolvidas" no mercado — produtos que a empresa quer se livrar porque já não são mais viáveis de manter. O valor é barato, não tem mais atualização, e quem colocar sem um firewall na frente pode ficar vulnerável. Vocês podem notar nas manchetes de invasão que geralmente o que invadiu determinada empresa gigantesca foi um dispositivo de IoT que não estava atualizado. Nunca é o servidor principal. É sempre um dispositivo paralelo — uma câmera, um sensor, uma impressora de rede. E os profissionais de TI que configuram esses dispositivos nem sempre compreendem os riscos. Trabalham com LAN, entendem de rede local, mas não entendem o que significa expor um serviço na internet. Insistem que mudar a porta é suficiente. Não é. ## Alternativas ao Shodan: Censys, ZoomEye e outras opções O Shodan não é monopólio. Existem outras ferramentas que fazem trabalho similar, e vale conhecer para cruzar informações. ### Censys Search O [Censys](https://censys.com/solutions/censys-search/) é o segundo maior buscador de dispositivos após o Shodan. Possui 3,5 bilhões de registros e uma versão gratuita um pouco mais generosa em termos de resultados. A sintaxe de filtros é diferente do Shodan. Para buscar por país, por exemplo, você usa `location.country:"Brasil"` em vez de `country:BR`. No aulão, o Diego tentou fazer buscas ao vivo no Censys e teve dificuldade com a sintaxe — é menos intuitivo que o Shodan, mas funciona. ### ZoomEye O [ZoomEye](https://www.zoomeye.ai/) é uma alternativa chinesa com foco em descoberta de ativos na internet. A interface é em chinês por padrão (precisa traduzir), mas oferece funcionalidades similares ao Shodan, incluindo busca por componentes, CVEs e dispositivos IoT. | Ferramenta | Registros | Versão Gratuita | Sintaxe | |---|---|---|---| | [Shodan](https://www.shodan.io/) | 15M+ (só Brasil) | Limitada (poucas páginas) | `country:BR port:80` | | [Censys](https://censys.com/solutions/censys-search/) | 3,5 bilhões | Mais generosa | `location.country:"Brasil"` | | [ZoomEye](https://www.zoomeye.ai/) | Não divulgado | Disponível | Interface em chinês | ## OpenVAS no Kali Linux: como ter seu próprio scanner de vulnerabilidades O [OpenVAS](https://www.greenbone.net/en/blog/openvas-the-new-name-for-proven-greenbone-security/) (agora operando sob a marca OPENVAS da Greenbone) é uma ferramenta de scan de vulnerabilidades que você instala no [Kali Linux](https://www.kali.org/). Para vocês entenderem, é como se fosse o Shodan rodando dentro do Kali Linux — só que em vez de consultar uma base de dados já pronta, você define os IPs e redes que quer escanear. A ferramenta nasceu como um fork do Nessus em 2005, quando o Nessus mudou para licença closed-source. Desde 2008, é a Greenbone Networks que desenvolve e mantém o OpenVAS. Eu e o Diego costumávamos chamá-lo de "antigo Nexus" — o nome mudou, mas a função é a mesma. ### Como funciona na prática Depois de instalar o OpenVAS no Kali Linux, ele cria uma interface web. Você acessa pelo browser digitando o IP e a porta, faz login, e cai em um dashboard onde pode criar tarefas de scan. No aulão, eu fiz login no meu OpenVAS real (tomando cuidado para não expor IPs de clientes) e mostrei: 1. **Dashboard com gráficos em pizza** mostrando a gravidade das vulnerabilidades encontradas na rede 2. **Classificação de risco de 1 a 10** — onde 10 significa que é possível invadir a máquina com um simples exploit 4. **CVEs associadas** a cada vulnerabilidade, com links para os relatórios técnicos 5. **Grafos de ataque** mostrando como escalar de um dispositivo comprometido para outro na mesma rede O risco 10 é praticamente eu conseguir entrar nessa máquina com um simples exploit. No scan que mostrei, havia 3 IPs com falhas graves — e o gráfico de ataque mostrava os caminhos possíveis de escalação entre dispositivos. ### Limitação importante Se você usar o OpenVAS para escanear IPs na internet (não na sua rede local), seu IP será banido rapidamente por firewalls. O Shodan tem mecanismos especiais para não ser banido — scan manual direto não tem essa proteção. Para sua rede local, é uma ferramenta excelente. Para a internet, use o Shodan. Se você já usa o [Android como laboratório de investigação digital](https://brunofraga.com/aulao-semanal/ferramentas-de-investigacao-digital-para-celular-android), o OpenVAS no Kali é o próximo passo para levar suas análises a outro nível. E se você combinar isso com [ChatGPT para investigação digital](https://brunofraga.com/aulao-semanal/chatgpt-para-investigacao-digital), consegue automatizar a análise das CVEs encontradas. ## Como proteger seus dispositivos para não aparecer no Shodan Eu não tive tempo de cobrir proteção em profundidade no aulão (foram quase 2 horas e ainda assim faltou tempo), mas aqui vão os pontos que considero fundamentais: 1. **Atualize o firmware de todos os seus dispositivos IoT** — câmeras, roteadores, babás eletrônicas, qualquer coisa conectada. Se o fabricante não oferece mais atualizações, considere trocar o dispositivo 2. **Não exponha serviços desnecessariamente na internet** — se você não precisa acessar sua câmera remotamente, não abra a porta no roteador 3. **Use firewall** — coloque um firewall entre seus dispositivos IoT e a internet. Sem firewall, qualquer dispositivo com IP público está exposto 4. **Nunca use sites de teste de porta online** — use [Nmap](https://nmap.org/) localmente. Sites de teste vendem seus dados 5. **Troque senhas padrão** — a maioria dos dispositivos vêm com senhas de fábrica que nunca são alteradas 6. **Use o próprio Shodan para verificar sua exposição** — a conta gratuita permite monitorar 1 IP. Use para verificar se seus dispositivos estão aparecendo Mas o básico é o mais importante: atualizar firmware e não expor serviços desnecessariamente. Se todo mundo fizesse só isso, o Shodan teria bem menos dispositivos para indexar. ## Ferramentas Utilizadas Neste Aulão | Ferramenta | Finalidade | Link | |---|---|---| | Shodan | Buscador de dispositivos conectados à internet (IoT, câmeras, roteadores, servidores) com filtros por país, porta, OS, produto e geolocalização | [Shodan](https://www.shodan.io/) | | Shodan Images | Visualização de screenshots capturados de dispositivos (câmeras, desktops remotos, webcams) | [Shodan Products](https://www.shodan.io/about/products) | | Censys Search | Alternativa ao Shodan com 3,5 bilhões de registros e versão gratuita mais generosa | [Censys](https://censys.com/solutions/censys-search/) | | ZoomEye | Alternativa chinesa para busca e descoberta de ativos na internet | [ZoomEye](https://www.zoomeye.ai/) | | OpenVAS (Greenbone) | Scanner de vulnerabilidades instalável no Kali Linux — funciona como um Shodan local para redes específicas | [Greenbone OpenVAS](https://www.greenbone.net/en/blog/openvas-the-new-name-for-proven-greenbone-security/) | | Kali Linux | Distribuição Linux para segurança ofensiva, plataforma para instalar o OpenVAS | [Kali Linux](https://www.kali.org/) | | Nmap | Escaneamento de portas local — alternativa segura aos sites de teste de porta online | [Nmap](https://nmap.org/) | | Google Maps | Captura de latitude e longitude para usar no filtro geo: do Shodan | [Google Maps](https://maps.google.com) | | Shodan Dorks (GitHub) | Repositório com centenas de dorks organizadas por categoria | [GitHub - Shodan Dorks](https://github.com/nullfuzz-pentest/shodan-dorks) | ## Perguntas Frequentes ### O que é o Shodan e para que serve? O Shodan é um mecanismo de busca que indexa dispositivos conectados diretamente à internet — câmeras, roteadores, servidores, dispositivos IoT e qualquer equipamento com IP público. Ele serve para identificar dispositivos vulneráveis, fazer investigação digital, análise de segurança e mapeamento de infraestrutura exposta. Diferente do Google que busca páginas web, o Shodan busca IPs e os metadados (banners) dos serviços que rodam neles. ### Quanto custa o Shodan? O Shodan tem uma versão gratuita com funcionalidades limitadas (poucas páginas de resultados e sem acesso a imagens). O plano Membership custa $49 em pagamento único vitalício. Os planos por assinatura começam em $69/mês (Freelancer) e vão até $1.099/mês (Corporate). Para quem está começando a estudar, a versão gratuita é suficiente. ### É legal usar o Shodan? Usar o Shodan para buscar e visualizar informações de dispositivos é legal — ele indexa dados publicamente acessíveis. O que é ilegal é acessar, invadir ou manipular dispositivos sem autorização. O Shodan é uma ferramenta de pesquisa. O que você faz com a informação é sua responsabilidade. ### Como o Shodan encontra dispositivos na internet? O Shodan varre a internet semanalmente, conectando-se a IPs em diversas portas e coletando os banners de resposta — metadados sobre o software rodando no dispositivo. Além disso, recebe dados de sites de teste de porta online que revendem suas bases de IP+porta. É por isso que eu recomendo nunca usar sites de teste de porta e preferir ferramentas locais como o Nmap. ### Quais são as principais dorks do Shodan? As dorks mais usadas incluem `country:` (filtrar por país), `port:` (filtrar por porta), `os:` (sistema operacional), `product:` (produto/software), `city:` (cidade), `geo:` (latitude,longitude), `has_screenshot:true` (resultados com screenshot) e `title:` (título da página). Você combina esses filtros para refinar a busca — por exemplo, `os:"Windows XP" country:BR port:3389`. ### Qual a diferença entre Shodan e Censys? Ambos são buscadores de dispositivos na internet, mas o Shodan tem uma base de dados maior e mais consolidada, enquanto o Censys possui 3,5 bilhões de registros e uma versão gratuita mais generosa em termos de resultados. A sintaxe de filtros é diferente: no Shodan você usa `country:BR`, no Censys é `location.country:"Brasil"`. O Shodan é mais intuitivo para iniciantes. ### O que é OpenVAS e como funciona? O OpenVAS (agora marca da Greenbone) é um scanner de vulnerabilidades open-source que você instala no Kali Linux. Funciona como um Shodan local: você define os IPs ou redes que quer escanear, ele verifica falhas de segurança e retorna um relatório com classificação de risco de 1 a 10, CVEs associadas e grafos de ataque. É ideal para auditar sua rede interna, não para escanear a internet (seu IP seria banido rapidamente). ### Mudar a porta protege meu dispositivo de aparecer no Shodan? Não. O Shodan escaneia todas as portas, não apenas as padrões. E se você testou sua porta em um site online de teste, essa informação já foi vendida para o Shodan. No aulão, eu mostrei bombas de combustível com porta alterada de 80 para 4433 completamente visíveis, e painéis MikroTik na porta 8008 com dados de clientes expostos. Segurança por obscuridade não funciona. ## Referências e Recursos - [Shodan Search Engine — Página oficial](https://www.shodan.io/) - [Shodan — Planos e Preços](https://account.shodan.io/billing) - [What is Shodan? — Documentação oficial](https://help.shodan.io/the-basics/what-is-shodan) - [Censys Search — Internet Visibility & Cybersecurity](https://censys.com/solutions/censys-search/) - [ZoomEye — Search Engine for Internet Asset Discovery](https://www.zoomeye.ai/) - [Greenbone OpenVAS — Nova marca para segurança comprovada](https://www.greenbone.net/en/blog/openvas-the-new-name-for-proven-greenbone-security/) - [Kali Linux — Distribuição para segurança ofensiva](https://www.kali.org/) - [Nmap — Network Scanner](https://nmap.org/) - [Shodan Dorks — Repositório GitHub nullfuzz-pentest](https://github.com/nullfuzz-pentest/shodan-dorks) - [Shodan Dorks — Repositório GitHub mr-exo](https://github.com/mr-exo/shodan-dorks) - [O que é CVE — Fortinet](https://www.fortinet.com/resources/cyberglossary/cve) - [O que é um Exploit — Bitdefender](https://www.bitdefender.com.br/consumer/support/answer/27646/) - [Porta 554 — RTSP (Real-Time Streaming Protocol)](https://www.pentestpad.com/port-exploit/port-554-rtsp-real-time-streaming-protocol) - [Porta 3389 — RDP Vulnerabilities](https://scanitex.com/en/resources/ports/tcp/3389) - [MikroTik RouterOS — Vulnerabilidades conhecidas (CVE-2023-30799)](https://vulncheck.com/blog/mikrotik-foisted-revisited) - [Babá eletrônica hackeada — CNN Brasil](https://www.cnnbrasil.com.br/entretenimento/americana-afirma-que-teve-baba-eletronica-hackeada-falavam-com-meu-filho/) - [Estranho hackeia babá eletrônica — O Globo](https://oglobo.globo.com/economia/estranho-hackeia-baba-eletronica-noite-grita-acorda-nenem-12329990) - [Invasão de hackers em babás eletrônicas — Record](https://record.r7.com/balanco-geral/invasao-de-hackers-em-babas-eletronicas-gera-preocupacao-nos-pais-12052023/) - [LGPD — Lei Geral de Proteção de Dados Pessoais](https://www.gov.br/esporte/pt-br/acesso-a-informacao/lgpd) - [IPv4 vs IPv6 — AWS](https://aws.amazon.com/pt/compare/the-difference-between-ipv4-and-ipv6/) --- ### Aulão #019 — A Nova Era dos Crimes Digitais: Como se Proteger e Investigar Golpes na Internet URL: https://brunofraga.com/aulao-semanal/crimes-digitais-golpes-internet-como-se-proteger-investigar Publicado: 2024-08-26 Tags: ciberseguranca, investigacao-digital, osint, privacidade, tutoriais YouTube: https://www.youtube.com/watch?v=9ySMIvKWauo Neste aulão ao vivo, Bruno Fraga mergulha no universo dos crimes digitais e golpes na internet com demonstrações práticas de técnicas como SIM swap, spoofing de e-mail e engenharia social. Aprenda a identificar, investigar e se proteger das fraudes que explodiram no pós-pandemia. ## O que você vai aprender neste aulão Crimes digitais e golpes na internet mudaram completamente depois da pandemia — e a maioria das pessoas (incluindo profissionais de segurança) não acompanhou essa evolução. Neste aulão 19, eu trouxe o Delegado Emanuel ao vivo para destrinchar os golpes que mais chegam nas delegacias no pós-pandemia, mostrar como os criminosos operam por dentro e, principalmente, como você pode usar técnicas de OSINT e investigação digital para se proteger, investigar e até ganhar dinheiro ajudando advogados e delegados. Eu demonstrei ao vivo como funciona um spoofing de e-mail (sim, enviei um e-mail falso de uma "delegacia" para minha própria caixa de entrada). Mostrei como verificar se um e-mail é autêntico usando SPF, DKIM e DMARC. E o Delegado Emanuel trouxe casos reais de vítimas que perderam R$1.700.000 no golpe do nudes, uma senhora que transferiu R$250 mil para um "astronauta", e sequestros originados no Tinder em São Paulo. Depois de ler este artigo, você vai saber identificar os golpes mais comuns que circulam no Brasil em 2026, entender como investigar cada um deles com ferramentas acessíveis, e descobrir como transformar esse conhecimento em atuação profissional — seja auxiliando a polícia, empresas ou escritórios de advocacia. Se você já acompanha os [fundamentos de OSINT que eu ensino desde o aulão 01](https://brunofraga.com/aulao-semanal/investigacao-digital-em-fontes-abertas-osint-segredos), vai perceber como tudo se conecta aqui. ## O que mudou nos crimes digitais após a pandemia: os 5 fatores que fizeram os golpes explodirem Os crimes digitais no Brasil mais que quadruplicaram em cinco anos. Segundo o [Anuário Brasileiro de Segurança Pública](https://g1.globo.com/sp/sao-paulo/noticia/2023/07/20/estelionatos-no-brasil-mais-que-triplicam-em-cinco-anos-e-golpes-virtuais-disparam-apos-pandemia-revela-anuario.ghtml), em 2022 foram registrados mais de 1 milhão e 800 mil casos de estelionatos — 151,6 mil por mês, ou 208 golpes por hora. E esses são só os registrados. Existe uma cifra negra enorme de vítimas que nunca fizeram boletim de ocorrência. O Delegado Emanuel foi categórico nesse aulão: 2019 foi um marco. Mudou o modo de investigar e mudou o modo de abordagem dos criminosos. E eu concordo — acompanho isso de perto nos casos que atendo. ### Os 5 fatores que explodiram os golpes digitais pós-pandemia 1. **Falta de educação digital** — As pessoas não sabem como funcionam os aplicativos que usam. Não sabem o que é dupla autenticação. Não sabem verificar se um e-mail é legítimo. E foram forçadas a usar tudo isso de uma hora para outra. 2. **Confiança cega nos aplicativos** — Se a pessoa está usando um app de conversa, ela acredita que aquele app é totalmente seguro. Imagina que alguém vai se passar pela filha dela e pedir dinheiro? Pois é. Acontece todo dia. 3. **Inclusão digital forçada** — A pandemia empurrou milhões de pessoas para o digital sem preparo nenhum. Idosos, pessoas sem letramento tecnológico, todos precisaram usar Pix, apps bancários, plataformas de compra. 4. **Engenharia social em escala** — As maiores falhas não estão nos dispositivos. Os dispositivos são até seguros. As maiores falhas estão nos usuários. Eu repito isso em toda aula porque é a realidade. Todo dia milhares de contas do Instagram são hackeadas — não por força bruta, mas por engenharia social. 5. **Legislação inadequada** — A pena para um golpe do bilhete premiado (1 a 5 anos) era a mesma de um ataque de ransomware contra um banco. Um absurdo. Houve mudanças legislativas depois, mas as penas continuam baixas. A [Lei Carolina Dieckmann](https://www.projuris.com.br/blog/lei-carolina-dieckman-tudo-o-que-voce-precisa-saber-sobre/) e o [Marco Civil da Internet](https://www.camara.leg.br/noticias/398277-marco-civil-da-internet-complementara-leis-de-crimes-virtuais-dizem-especialistas/) foram avanços, mas ainda não cobrem toda a complexidade dos crimes digitais atuais. Dados do [Senado Federal](https://www12.senado.leg.br/noticias/infomaterias/2025/04/golpes-virtuais-aumentam-e-nao-fazem-distincao-de-idade) mostram aumento de 13,6% nos estelionatos digitais entre 2022 e 2023, enquanto roubos físicos a bancos caíram quase 30%. A migração é clara: o crime saiu da rua e entrou no celular. ## Como funcionavam os golpes antes da internet: de Victor Lustig a Frank Abagnale Engenharia social não nasceu com a internet. O modus operandi é o mesmo desde 1910 — só o meio mudou. E entender isso é o que separa um investigador competente de alguém que só reage a golpes. ### Victor Lustig: o homem que vendeu a Torre Eiffel [Victor Lustig](https://en.wikipedia.org/wiki/Victor_Lustig) era um europeu que em 1910 falsificou crachás do governo francês. Paris estava com falta de ferro, e ele chamou os maiores sucateiros da cidade para uma reunião oficial. Vendeu a Torre Eiffel para esses empresários. Usou engenharia social pura, falsificação de documentos, e conseguiu um dinheiro alto com isso. Depois fugiu para os Estados Unidos, onde [virou contador de mafiosos](https://allthatsinteresting.com/victor-lustig). Quando eu conto essa história nas aulas, o pessoal fala: "ninguém cairia nisso hoje." Mas cairia sim. Pessoas tentaram comprar o Cristo Redentor. Tentaram comprar terrenos públicos. O modus operandi é o mesmo. ### Frank Abagnale Jr.: o golpista sem tecnologia [Frank Abagnale Jr.](https://en.wikipedia.org/wiki/Frank_Abagnale) — aquele do filme [Catch Me If You Can](https://en.wikipedia.org/wiki/Catch_Me_If_You_Can_(book)) com Leonardo DiCaprio — se passou por piloto de avião, médico, advogado e professor de sociologia em uma faculdade. Tudo usando engenharia social. Sem computador, sem internet, sem nada. Falsificava traveler's checks de companhia aérea e [ludibriou centenas de pessoas](https://allthatsinteresting.com/frank-abagnale). A lição aqui é direta: não é necessário tecnologia sofisticada para aplicar golpes. Persuasão e confiança são as principais armas. E isso não mudou em 2026. ### O que mudou de verdade Antes da pandemia, os crimes lucrativos eram sequestros físicos. O celular valia pelo hardware. Há 10 anos, os iPhones estavam sendo criados e o aparelho em si tinha valor. Hoje? O hardware não vale nada. O que vale é a informação dentro — Pix, dados bancários, acessos. O maior ativo financeiro do mundo hoje é informação. E os criminosos sabem disso. Eles usam o [Google Trends](https://trends.google.com) para identificar temas quentes e criar [phishing](https://www.fortinet.com/br/resources/cyberglossary/phishing) contextualizado. Quando aconteceu o ataque em Joinville, criminosos usaram o tema para aplicar phishing no WhatsApp. Quando chega uma mensagem de SMS oferecendo emprego de 4-5 horas por dia ganhando R$10 mil — isso é [smishing](https://www.fortinet.com/resources/cyberglossary/smishing), SMS phishing para captar dados. ## Golpe de compra e venda na internet: como identificar e-mails falsos com SPF, DKIM e DMARC O golpe de compra e venda é um dos que mais chegam nas delegacias no pós-pandemia. O criminoso encontra você vendendo um produto na OLX ou Mercado Livre, obtém seu e-mail (usando técnicas de [Google Hacking com DORKs](https://brunofraga.com/aulao-semanal/google-hacking-buscas-perigosas-dorks)), e envia um e-mail falso da plataforma dizendo que o pagamento foi feito. Você entrega o produto para um motoboy ou Uber. Perdeu. Eu quase fui vítima desse golpe. Ano passado, quando estava no Brasil, publiquei produtos para vender e alguém me contactou querendo pagar pelo Mercado Pago fora da plataforma. E olha — eu trabalho com investigação, sou desconfiado por natureza, tenho ferramentas. Mas na hora que você quer vender, não pensa em filtrar golpe. Conecta com a urgência de vender, o cara contactou, pronto. A engenharia social funciona assim. ### Como funciona o spoofing de e-mail na prática Nesse aulão eu demonstrei ao vivo usando o MK Mailer como é possível enviar um e-mail com remetente falso. Criei um e-mail de "delegacia do Brasil" com domínio @policiabr.com e enviei para minha própria caixa de entrada. Chegou na caixa principal, não no spam. Poderia ter colocado @mercadolivre.com.br, @fbi.gov, qualquer coisa. A ferramenta simula o spoofing para demonstrar a vulnerabilidade. E o e-mail chega com o remetente que você escolher. Mas calma. Existe como verificar. ### Como verificar se um e-mail é autêntico Quando você abre a mensagem original de um e-mail (no Gmail: três pontos > "Mostrar original"), você consegue verificar três protocolos de autenticação que funcionam como uma assinatura digital do servidor: | Protocolo | O que verifica | O que significa quando falha | |---|---|---| | **SPF** (Sender Policy Framework) | Se o servidor que enviou tem permissão para enviar em nome daquele domínio | O servidor remetente não é autorizado — possível spoofing | | **DKIM** (DomainKeys Identified Mail) | Se o e-mail tem assinatura digital criptografada válida | A mensagem pode ter sido alterada ou forjada | | **DMARC** (Domain-based Message Authentication) | Se SPF e DKIM estão alinhados com a política do domínio | O domínio não autenticou aquela mensagem | No e-mail spoofado que eu enviei ao vivo, nenhuma dessas autenticações existia. Zero. Já no meu e-mail legítimo do brunofraga.com, o SPF aparecia como aprovado e o DKIM mostrava que o domínio brunofraga.com autorizou aquele envio. A diferença é gritante quando você sabe onde olhar. Se você participou do [aulão 17 sobre investigação de e-mails](https://brunofraga.com/aulao-semanal/google-hacking-buscas-perigosas-dorks), já conhece esse processo. Para quem está chegando agora: aprenda a ler cabeçalhos de e-mail. Isso sozinho já te protege de 80% dos golpes por e-mail. A [Cloudflare tem um guia técnico excelente](https://www.cloudflare.com/learning/email-security/dmarc-dkim-spf/) sobre como esses protocolos funcionam juntos. ### O que fazer se você já foi vítima O Delegado Emanuel trouxe um ponto que eu acho que todo investigador precisa saber: a própria plataforma tem dados do acesso do criminoso. Endereços de IP, logs de login, dados de conta. Você, como profissional, pode sugerir ao delegado que solicite ao Mercado Livre todos os acessos de IP daquele login. A maioria dos delegados não sabe que pode pedir isso. E tem gente que chega na delegacia querendo processar a plataforma, sendo que toda negociação foi feita por fora. O criminoso começou a conversar pelo WhatsApp. Mandou um e-mail que não era da plataforma. A vítima entregou o bem e agora quer culpar o Mercado Livre. Entender esse fluxo é parte do trabalho de inteligência que você pode entregar. ## Estelionato amoroso e golpe do nudes: como criminosos mapeiam suas vítimas Estelionato amoroso é um guarda-chuva que abriga golpes com valores absurdos. E a sofisticação da engenharia social envolvida surpreende até profissionais experientes. ### Golpe do nudes: R$1.700.000 em uma única vítima O modus operandi é assim: um perfil de uma pessoa atraente aborda um homem mais velho no Facebook. Migram para WhatsApp. Trocam fotos íntimas. Em determinado momento, o criminoso diz que a pessoa é menor de idade — "eu sou o pai dela, você é um pedófilo." Começa a extorsão. Na delegacia do Delegado Emanuel, uma vítima transferiu R$1.700.000 para os criminosos. Um milhão e setecentos mil reais. E antes de extorquir, o criminoso faz um mapeamento completo: esposa, filhos, onde trabalha, se tem filhos menores. Monta um arsenal para pressionar. Eu já atendi casos assim. Não com valores tão expressivos, mas o padrão é sempre o mesmo. E a investigação começa por onde? ### Como investigar perfis fakes envolvidos em golpes Cinco passos que eu uso e que funcionam: 1. **Verificar engajamento real** — Perfil com 1 milhão de seguidores mas sem curtidas e comentários proporcionais? Red flag imediata. 2. **Buscar nome de usuário em outras plataformas** — Se você achar um perfil no Tinder que não tem nenhum rastro na internet, nenhuma conta em outro lugar com aquele nome ou usuário, é red flag. Eu tenho um [vídeo no canal sobre investigação por nome de usuário](https://brunofraga.com/aulao-semanal/como-investigar-pessoas-na-internet-tecnicas-osint) que detalha isso. 3. **Busca reversa por imagem** — Pegar a foto do perfil e colocar no Google para ver outros perfis que usam a mesma foto. Funciona em 2026 e vai continuar funcionando. 4. **Verificar o WhatsApp** — A ferramenta Dono do Zap (que eu criei e está temporariamente desativada enquanto discutimos questões sobre fontes abertas) consumia dados públicos — Google, Bing, API do WhatsApp — para mostrar o nome vinculado a um telefone. Se a "Giovanna" que te ameaça tem o WhatsApp no nome do "Jorge", algo não faz sentido. 5. **Monitorar atividade do perfil fake** — Eu tive um caso com o Diego Andretta onde estávamos investigando uma conta fake que sempre tinha 6 seguidores. Às 2h da manhã no Brasil (eu estava na Coreia), atualizei o Instagram e vi que tinha passado para 7. O perfil tinha seguido uma casa noturna — provavelmente para fazer check-in. Em 15 minutos, desfez o follow. Mas eu já tinha tirado o print. A partir daquela balada, daquela cidade, começamos a mapear a localização do criminoso. Criminosos cometem erros usando perfis fakes. Um like, um follow, uma curtida em uma lanchonete que frequentam. E monitoramento constante captura esses deslizes. ### A senhora que transferiu R$250 mil para um "astronauta" Esse caso eu preciso contar com detalhes porque ilustra o poder da engenharia social. Uma senhora idosa no interior de São Paulo estava conversando com alguém que dizia ser astronauta. Ele falou que precisava do dinheiro para voltar da estação espacial para a Terra. Ela transferiu mais de R$250 mil. Parece absurdo? Parece. Mas tem gente que acredita que fala com Brad Pitt, com Johnny Depp. Não subestime a capacidade de manipulação dos criminosos quando a vítima é vulnerável. ### Sequestros via Tinder em São Paulo Em São Paulo está acontecendo uma modalidade que começa como estelionato e vira sequestro. A pessoa cria perfil no Tinder, marca encontro, e quando a vítima aparece, é levada para cárcere privado. Fazem transferências via Pix até drenar as contas. Acontece com homens e mulheres. Investigar o perfil antes do encontro presencial não é paranoia. É sobrevivência digital em 2026. ## SIM Swap: como criminosos clonam seu chip e invadem todas as suas contas [SIM swap](https://www.proofpoint.com/us/threat-reference/sim-swapping) é quando o criminoso convence a operadora a transferir seu número de telefone para um chip que ele controla. Com isso, recebe seus SMS, seus códigos de verificação, e acessa todas as contas vinculadas ao seu número. O Delegado Emanuel confirmou: algumas operadoras permitem fazer a portabilidade do chip para outro aparelho por telefone. O criminoso tem dados da vítima (obtidos por fontes abertas), confirma para a operadora, e às 23:50 da noite fazem o SIM swap. Tiveram casos com pessoas de 500 mil seguidores. ### Minha experiência pessoal com a falha das operadoras Eu vou contar uma coisa que aconteceu comigo no Brasil. Fui na loja da Claro trocar meu chip. Não levei RG. Estava com minha filha bebê no colo, chorando. A vendedora não pediu documento. Dei meus dados verbalmente e ela fez a troca. Isso não foi engenharia social intencional da minha parte — era uma situação real. Mas demonstra a vulnerabilidade do processo. Se eu consegui trocar um chip sem RG porque tinha um bebê chorando, imagine o que um criminoso treinado em [vishing](https://www.proofpoint.com/us/threat-reference/vishing) (phishing por voz) consegue. Eles colocam áudios de criança, usam mulheres com boa oratória, criam urgência. E funcionam. ### Como se proteger de SIM swap - Use aplicativo de autenticação ([Google Authenticator](https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2) ou [Microsoft Authenticator](https://www.microsoft.com/pt-br/security/mobile-authenticator-app)) em vez de SMS para dois fatores - Não vincule recuperação de senha a e-mail com senha fraca — quando fazem SIM swap, já sabem sua senha porque você usa a mesma em tudo - Use gerenciador de senhas como [LastPass](https://www.lastpass.com) para ter senhas diferentes em cada serviço - Se possível, use chave de segurança física — meus dois fatores dependem de um pendrive com biometria que eu mostrei ao vivo no aulão. Sem meu dedo plugado naquele dispositivo, ninguém acessa Ter Google Authenticator ou Microsoft Authenticator é o mínimo hoje em dia. Eu não recomendo SMS para dois fatores em nenhuma circunstância, porque é exatamente o que o SIM swap explora. ### Clonagem de WhatsApp: o golpe do código de 6 dígitos O criminoso encontra seu telefone em um anúncio (OLX, Mercado Livre), tenta instalar o WhatsApp no próprio aparelho com seu número, e liga para você se passando pela plataforma: "por questões de segurança, você vai receber um código de 6 dígitos. Precisamos confirmar que você é você mesmo." A vítima envia o código. O criminoso acessa todas as conversas (geralmente em nuvem) e todos os contatos. Começa a aplicar engenharia social nos seus contatos pedindo dinheiro. Dois fatores já ajudam porque o criminoso precisaria pedir também o PIN de verificação em duas etapas. Mas as vítimas passam isso também. É manipulação. ## Golpe da mão fantasma: como funciona o acesso remoto usado por criminosos O golpe da mão fantasma funciona assim: o criminoso liga dizendo que você tem gastos exorbitantes no cartão. Convence você a instalar uma "atualização de segurança" que é na verdade um Trojan de acesso remoto. Com isso, veem sua tela, suas senhas, seus apps bancários. Fazem transferências enquanto você assiste. Mas aqui vai um detalhe técnico que eu acho fascinante: esse tipo de golpe com conexão remota é o mais fácil de investigar. O software de conexão remota cria um túnel bidirecional. No momento da conexão, ele entrega em tempo real o IP de onde está vindo. Você consegue até fazer uma conexão reversa — hackear a webcam do criminoso enquanto ele está te "hackeando." O canal [Scammer Payback](https://www.youtube.com/@ScammerPayback) no YouTube faz exatamente isso. O cara se passa por vítima, e enquanto o golpista acha que está no controle, ele vai em outro computador, faz a conexão reversa, hackeia a câmera do criminoso e mostra a foto dele ao vivo. O golpista desliga a chamada correndo. Esse canal inclusive [ajudou a derrubar um esquema golpista de R$350 milhões](https://www.otempo.com.br/mundo/2025/12/18/youtubers-ajudam-a-derrubar-esquema-golpista-de-r-350-milhoes) em parceria com a polícia da Califórnia. Eu quero criar conteúdo assim no Brasil. Só preciso que alguém me aplique esse golpe primeiro. Existe uma variante onde mandam um motoboy buscar o cartão físico na residência da vítima. A pessoa entrega o cartão com código de segurança e o criminoso faz compras online ou usa maquininhas para compras físicas. ## Golpes com deepfake e inteligência artificial: a nova fronteira dos crimes digitais Deepfake não é futuro. Já está acontecendo. E as pessoas não estão preparadas para investigar isso. Um colega meu foi vítima de deepfake — fizeram um vídeo dele vendendo um empréstimo falso. Era um influenciador com bastante credibilidade, e o vídeo era convincente o suficiente para que pessoas comprassem um produto que não existia, de um link fraudulento. E eu tive minha própria experiência. Apareceu no YouTube um vídeo do Elon Musk falando sobre computação quântica. "Aqui é o Elon Musk, eu tenho uma oportunidade de retorno 10 vezes para você usando a computação quântica, este é o link." O deepfake ficou perfeito. Eu fiquei olhando e demorei para entender que não era o Elon Musk real. Eu, que trabalho com isso. Imagine as pessoas que veem uma oportunidade do Elon Musk falando diretamente para elas. Deepfake, clonagem de voz e IA — os três juntos — são ameaças para as quais a população não está preparada. E por isso precisamos de profissionais capacitados em investigação digital. Se você quer entender como a IA já está sendo usada em investigação (para o bem), eu recomendo assistir o [aulão sobre ChatGPT para investigação digital](https://brunofraga.com/aulao-semanal/chatgpt-para-investigacao-digital). ## Jogos de aposta online (Tigrinho): como funciona o golpe por trás dos aplicativos O [Jogo do Tigrinho](https://www.bbc.com/portuguese/articles/c78deer89gjo) (Fortune Tiger) virou febre no Brasil e está no centro de dezenas de investigações. Mas preciso ser direto aqui: não é um cassino. É um golpe com template PHP. Tem fóruns hoje que você paga R$300 e recebe o template PHP para replicar o joguinho. Você sobe em um domínio, configura o Pix, e pronto. O dinheiro vai direto para a conta do golpista. Quem ganha dinheiro é quem hospeda o site e o influencer que divulga. Quando eu estava investigando, percebi que influencers divulgam o jogo do Tigrinho todo dia, mas sempre de um domínio diferente. Tigrinho 10X, Tigrinho Cassino, Tigre ponto BR, Tigre ponto com. Porque cada domínio fica 24 horas no ar e cai. É um novo golpe a cada dia, com um novo endereço. As vítimas fazem boletim de ocorrência, e a investigação envolve chegar nos provedores (frequentemente fora do Brasil, em jurisdições blindadas como Bahamas) e nos influencers. É aí que entra o OSINT: rastreamento de rede social de influencer para descobrir localização usando [Google Hacking](https://brunofraga.com/aulao-semanal/google-hacking-buscas-perigosas-dorks) e técnicas de investigação digital. Mas nem tudo é simples. Provedores em offshores dificultam cooperação policial internacional. E os estelionatários brasileiros, como o Delegado Emanuel apontou, não usam técnicas sofisticadas de lavagem — é "meu Pix, vai para cá, vem para lá." O que torna mais rápido o rastreamento financeiro quando a investigação tem apoio técnico adequado. ## Como usar OSINT e Google Hacking para investigar golpes e auxiliar a polícia O [ciclo de inteligência](https://www.cia.gov/spy-kids/static/59d238b4b5f69e0497325e49f0769acf/Briefing-intelligence-cycle.pdf) é o mesmo que a CIA usa: definir a direção, definir a base de dados, processar os dados, gerar inteligência e gerar conclusões. Eu estava lendo ontem o documento público da CIA sobre a Intelligence Cycle. Está lá, código aberto, explicando como funciona. E é exatamente o que fazemos com OSINT. O Delegado Emanuel confirmou algo que eu sempre digo: a gente entra na escola da polícia, tem noções básicas de fontes abertas e entende os sistemas fechados. Mas o curso de Google Hacking com DORKs não existe na academia policial. Dezenas de policiais que assistem meus aulões fazem cursos externos para se aprimorar. E aqui está o ponto que muda tudo: você, como profissional privado, tem acesso às mesmas ferramentas que a CIA e a polícia usam. A internet democratizou o acesso a fontes de dados. Open source é a mesma open source que os investigadores da polícia usam e que eu ensino nos [treinamentos de investigação digital](https://brunofraga.com/aulao-semanal/ferramentas-de-investigacao-digital). ### Caso real: relatório de inteligência que acelerou investigação policial Eu tive um caso onde entreguei um relatório final que mapeava tudo: zona frequentada pela pessoa investigada, IP, dados completos, padrões de comportamento. Esse relatório fez com que o caso fosse direto para a delegacia especializada de crimes cibernéticos em São Paulo. Sem esse trabalho de inteligência, provavelmente teria ficado em uma delegacia comum sem recursos para investigar. O Delegado Emanuel confirmou: isso faz com que acelere a investigação e que a equipe tenha um norte para seguir. Nem toda delegacia é especializada, e casos simples podem não receber atenção adequada sem apoio de inteligência. ### Engenharia social reversa: investigando o criminoso Uma técnica que eu uso bastante é a engenharia social reversa. No golpe de compra e venda, por exemplo, o criminoso também está vulnerável. Ele quer ver comprovante de pagamento. Então eu crio um link — pode ser um Google Drive, pode ser usando ferramentas como o H-SPY para capturar câmera, IP, localização, hardware. Mando: "Tá aqui a foto do comprovante do Pix." O criminoso clica para confirmar a informação. E eu capturo os dados dele. Funciona? Sim, mas com ressalvas. Dados telemáticos como geolocalização e IP, como regra, dependem de autorização judicial para uso em inquérito. O que eu entrego é relatório de inteligência. O advogado decide o que usar juridicamente. Algumas ferramentas são discutíveis no âmbito jurídico mas válidas no âmbito de inteligência — e essa distinção é importante para quem quer atuar profissionalmente. Se você quer aprender a [descobrir quem está por trás de um site](https://brunofraga.com/aulao-semanal/como-descobrir-o-dono-de-um-site) ou [investigar golpes reais passo a passo](https://brunofraga.com/aulao-semanal/investigacao-digital-casos-reais-golpe-olx), eu já cobri isso em aulões anteriores. ## Defesa ativa: como investigadores digitais podem ajudar advogados e delegados Defesa ativa é um conceito jurídico moderno no processo penal brasileiro. A defesa pode buscar provas — inclusive para absolver a pessoa. Às vezes o advogado procura você para mostrar que o cliente não é o autor daquele fato. Usando técnicas de OSINT e Google Hacking, você consegue provar que a pessoa estava em outro local, buscando uma câmera de estacionamento, por exemplo. O Delegado Emanuel foi enfático: auxiliar advogados é um nicho que não é explorado ainda no Brasil. Escritórios de advocacia em Curitiba já estão usando investigação privada para auxiliar casos. Mas são poucos. Se todo escritório tivesse alguém — ou um terceirizado fazendo freelancer — as investigações seriam melhores. ### Como funciona na prática 1. O advogado recebe um caso de estelionato digital 2. Você, como investigador, faz o levantamento de inteligência: análise de e-mails, rastreamento de perfis, mapeamento de IPs, verificação de autenticidade de comunicações 3. Entrega um relatório de inteligência com todas as evidências documentadas 4. O advogado decide o que usar juridicamente — pode sugerir ao delegado que solicite dados da plataforma, pode usar as evidências na defesa ativa 5. O caso chega na delegacia com fundamentação, o que direciona para delegacia especializada e acelera a investigação Eu sempre falo: a gente como investigadores entrega o relatório de inteligência, faz o trabalho de inteligência. O advogado é o responsável por tocar aquilo, por escolher o que usar. Essa separação de responsabilidades é o que torna a atuação profissional viável e ética. Se você está pensando em [iniciar carreira como investigador digital](https://brunofraga.com/aulao-semanal/como-iniciar-carreira-investigador-digital), esse é o caminho com mais demanda em 2026. ## Engenharia social física: os testes de invasão que provam que nada mudou Eu trouxe dois casos de pen-test físico no Brasil que amigos próximos realizaram, porque ilustram que segurança digital sem segurança física não existe. **Caso 1 — Tailgating no elevador:** O profissional chegou no elevador de uma empresa grande. Precisava de crachá para acessar o andar. Chegou cheio de pastas e disse: "segura a porta pra mim." Entrou junto. Acessou a sala dos programadores onde informações sensíveis eram faladas em voz alta. Isso se chama [tailgating](https://www.checkpoint.com/pt/cyber-hub/cyber-security/what-is-cyber-attack/what-is-a-tailgating-attack/) — uma técnica de engenharia social física que explora a cortesia humana. **Caso 2 — USB na recepção:** O profissional chegou na recepção dizendo que tinha entrevista de emprego e precisava imprimir o currículo. "Esqueci de imprimir, meu Deus, tá aqui meu pen drive, imprime pra mim." A recepcionista plugou o pen drive no computador. Acesso total à rede da empresa. A política de não plugar dispositivos externos existe por motivo — mas engenharia social explora empatia. Esses casos mostram que o modus operandi é o mesmo de [Victor Lustig em 1910](https://en.wikipedia.org/wiki/Victor_Lustig). Muda o cenário, muda a tecnologia, mas a vulnerabilidade humana permanece. ## O mercado de investigação digital: oportunidades para profissionais de OSINT no Brasil em 2026 O conhecimento pelo conhecimento não tem valor nenhum. Estudar técnicas de OSINT, de Google Hacking, para ficar provando que você é bom, que consegue chegar num cara, que consegue invadir um site — tem valor, mas é muito melhor utilizar isso ganhando dinheiro e auxiliando o próximo. Esse é um mercado que está gerando renda alta no pós-pandemia. E as oportunidades são concretas: - **Auxiliar delegacias** — Entregar relatórios de inteligência que aceleram investigações e direcionam para delegacias especializadas - **Auxiliar escritórios de advocacia** — Defesa ativa, busca de provas, mapeamento de autores de golpes - **Auxiliar empresas privadas** — Testes de segurança, investigação de fraudes internas, due diligence digital - **Criar soluções e ferramentas** — Extensões que verificam autenticidade de e-mails, chatbots que analisam se uma comunicação é confiável - **Educação e treinamento** — Ensinar pessoas e empresas a se protegerem O profissional privado tem acesso às mesmas ferramentas. Não existe informação mais privilegiada quando falamos de open source intelligence. A mesma open source que os investigadores da polícia usam é a que você aprende aqui. Para quem quer se aprofundar nas [ferramentas que todo investigador digital precisa conhecer](https://brunofraga.com/aulao-semanal/ferramentas-de-investigacao-digital), eu já detalhei isso em aulão anterior. ## Ferramentas Utilizadas Neste Aulão | Ferramenta | Finalidade | Link | |---|---|---| | Google Hacking (DORKs) | Busca avançada no Google para encontrar e-mails, dados, fotos e informações específicas | [Google](https://www.google.com) | | Google Trends | Identificar temas quentes — criminosos usam para criar phishing contextualizado | [Google Trends](https://trends.google.com) | | Google Authenticator | Autenticação de dois fatores para proteger contas contra SIM swap | [Google Authenticator](https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2) | | Microsoft Authenticator | Autenticação de dois fatores como alternativa ao Google Authenticator | [Microsoft Authenticator](https://www.microsoft.com/pt-br/security/mobile-authenticator-app) | | LastPass | Gerenciamento e criptografia de senhas para evitar reutilização | [LastPass](https://www.lastpass.com) | | mSpy | Ferramenta de monitoramento mencionada pelo Delegado como recurso de inteligência | [mSpy](https://www.mspy.com/pt/) | | Scammer Payback | Canal do YouTube que investiga golpistas de acesso remoto ao vivo | [Scammer Payback](https://www.youtube.com/@ScammerPayback) | | OLX | Plataforma de compra e venda onde criminosos encontram dados de vítimas | [OLX](https://www.olx.com.br) | | Mercado Livre | Plataforma de compra e venda — criminosos forjam e-mails da plataforma | [Mercado Livre](https://www.mercadolivre.com.br) | ## Perguntas Frequentes ### Quais são os golpes digitais mais comuns no Brasil em 2026? Os golpes que mais chegam nas delegacias são: golpe de compra e venda com e-mail falso, estelionato amoroso (incluindo golpe do nudes), clonagem de WhatsApp, SIM swap, golpe da mão fantasma (acesso remoto), e golpes com aplicativos de aposta como o Tigrinho. Segundo o Anuário Brasileiro de Segurança Pública, foram mais de 1 milhão e 800 mil estelionatos registrados em 2022, com aumento de 13,6% nos anos seguintes. ### Como identificar um e-mail falso de spoofing? Abra a mensagem original do e-mail e verifique três protocolos: SPF (se o servidor tem permissão para enviar), DKIM (se existe assinatura digital válida) e DMARC (se as autenticações estão alinhadas). Um e-mail spoofado não terá nenhuma dessas autenticações aprovadas. No Gmail, acesse "Mostrar original" nos três pontos do e-mail para ver esses dados. ### O que é SIM swap e como se proteger? SIM swap é quando o criminoso convence a operadora a transferir seu número de telefone para um chip sob controle dele. Com isso, recebe seus SMS e códigos de verificação. Para se proteger, use aplicativo de autenticação (Google Authenticator ou Microsoft Authenticator) em vez de SMS para dois fatores, use senhas diferentes em cada serviço com gerenciador como LastPass, e se possível utilize chave de segurança física com biometria. ### Posso ajudar a polícia com investigação digital mesmo sem ser policial? Sim. O conceito de defesa ativa no processo penal permite que profissionais auxiliem advogados na busca de provas. Você pode entregar relatórios de inteligência com levantamento de IPs, mapeamento de perfis, verificação de e-mails e análise de fontes abertas. Escritórios de advocacia em Curitiba já utilizam investigação privada para auxiliar casos, e delegacias especializadas recebem bem casos que chegam com fundamentação técnica. ### Qual a diferença entre phishing, smishing e vishing? [Phishing](https://www.proofpoint.com/br/threat-reference/phishing) é o ataque por e-mail que tenta enganar a vítima para clicar em links maliciosos ou fornecer dados. [Smishing](https://www.fortinet.com/resources/cyberglossary/smishing) é a mesma técnica aplicada via SMS — como aquelas mensagens oferecendo emprego de 4-5 horas ganhando R$10 mil. [Vishing](https://www.proofpoint.com/us/threat-reference/vishing) é phishing por voz, onde o criminoso liga se passando por banco ou operadora para extrair dados. Os três exploram engenharia social, apenas o canal muda. ### Como investigar um perfil fake nas redes sociais? Verifique o engajamento real (seguidores vs curtidas/comentários), busque o nome de usuário em outras plataformas, faça busca reversa por imagem no Google, verifique se o WhatsApp está no nome de quem diz ser, e monitore a atividade do perfil ao longo do tempo. Perfis fakes geralmente têm histórico curto (menos de 6 meses), pouco engajamento e nenhum rastro digital consistente em outras plataformas. ### O que é engenharia social e como os criminosos usam? Engenharia social é a técnica de manipulação psicológica para obter uma ação da vítima — clicar em um link, enviar um código, transferir dinheiro, entregar um produto. Os criminosos usam urgência, medo, ganância e empatia como gatilhos. Funciona desde 1910, quando Victor Lustig vendeu a Torre Eiffel, até 2026, quando golpistas usam deepfake do Elon Musk para vender investimentos falsos. A tecnologia muda, a vulnerabilidade humana permanece. ### Quais são os 7 golpes cibernéticos mais comuns? Os mais recorrentes nas delegacias brasileiras são: golpe de compra e venda com e-mail falso, golpe do nudes/extorsão sexual, clonagem de WhatsApp via código de 6 dígitos, SIM swap para invasão de contas, golpe da mão fantasma com acesso remoto, estelionato amoroso com perfis fakes, e golpes com aplicativos de aposta fraudulentos (Tigrinho). Cada um tem modus operandi específico e pode ser investigado com técnicas de OSINT. ## Referências e Recursos - [Anuário Brasileiro de Segurança Pública 2023 — Estelionatos no Brasil (G1)](https://g1.globo.com/sp/sao-paulo/noticia/2023/07/20/estelionatos-no-brasil-mais-que-triplicam-em-cinco-anos-e-golpes-virtuais-disparam-apos-pandemia-revela-anuario.ghtml) - [Golpes virtuais aumentam e não fazem distinção de idade (Senado Federal)](https://www12.senado.leg.br/noticias/infomaterias/2025/04/golpes-virtuais-aumentam-e-nao-fazem-distincao-de-idade) - [Victor Lustig — Wikipedia](https://en.wikipedia.org/wiki/Victor_Lustig) - [Frank Abagnale Jr. — Wikipedia](https://en.wikipedia.org/wiki/Frank_Abagnale) - [O que são DMARC, DKIM e SPF — Cloudflare](https://www.cloudflare.com/learning/email-security/dmarc-dkim-spf/) - [Protocolos de autenticação de e-mail — Email on Acid](https://www.emailonacid.com/blog/article/email-deliverability/email-authentication-protocols/) - [O que é SIM Swapping — Proofpoint](https://www.proofpoint.com/us/threat-reference/sim-swapping) - [O que é Phishing — Proofpoint BR](https://www.proofpoint.com/br/threat-reference/phishing) - [O que é Smishing — Fortinet](https://www.fortinet.com/resources/cyberglossary/smishing) - [O que é Vishing — Proofpoint](https://www.proofpoint.com/us/threat-reference/vishing) - [O que é um Tailgating Attack — Check Point](https://www.checkpoint.com/pt/cyber-hub/cyber-security/what-is-cyber-attack/what-is-a-tailgating-attack/) - [Lei Carolina Dieckmann — ProJuris](https://www.projuris.com.br/blog/lei-carolina-dieckman-tudo-o-que-voce-precisa-saber-sobre/) - [Marco Civil da Internet — Câmara dos Deputados](https://www.camara.leg.br/noticias/398277-marco-civil-da-internet-complementara-leis-de-crimes-virtuais-dizem-especialistas/) - [The Intelligence Cycle — CIA](https://www.cia.gov/spy-kids/static/59d238b4b5f69e0497325e49f0769acf/Briefing-intelligence-cycle.pdf) - [A misteriosa empresa por trás do Jogo do Tigrinho — BBC](https://www.bbc.com/portuguese/articles/c78deer89gjo) - [YouTubers ajudam a derrubar esquema golpista de R$350 milhões](https://www.otempo.com.br/mundo/2025/12/18/youtubers-ajudam-a-derrubar-esquema-golpista-de-r-350-milhoes) - [Canal Scammer Payback — YouTube](https://www.youtube.com/@ScammerPayback) --- ### Aulão #018 — Transforme seu Android em um laboratório de investigação digital URL: https://brunofraga.com/aulao-semanal/ferramentas-de-investigacao-digital-para-celular-android Publicado: 2024-08-23 Tags: osint, investigacao-digital, hacking, tutoriais, ciberseguranca YouTube: https://www.youtube.com/watch?v=pHvLzOUSnw0 Neste aulão em vídeo com demonstração prática, Bruno Fraga apresenta as melhores ferramentas de investigação digital que rodam direto no celular Android. Aprenda a rastrear redes Wi-Fi, extrair metadados de arquivos, fazer reconhecimento facial por foto e muito mais usando apenas o seu smartphone. ## O que você vai aprender neste aulão Ferramentas de investigação digital para celular Android existem, funcionam e eu demonstrei todas ao vivo no Aulão 018. Nesse artigo, você vai ver exatamente como transformar qualquer Android — sem root, sem configuração complicada — numa ferramenta de investigação que cabe no bolso. Eu mostrei na prática como rastrear a localização de uma pessoa pelo nome da rede Wi-Fi dela, como tirar uma foto de alguém na rua e encontrar todas as redes sociais dessa pessoa por reconhecimento facial, e como extrair metadados de arquivos recebidos pelo Telegram para descobrir de onde vieram, com que dispositivo foram criados e até as coordenadas GPS de onde a foto foi tirada. O Alonso — que é meu parceiro no treinamento Android Hacking Pro e já encontrou falhas de segurança no Instagram e na BMW — fez as demonstrações ao vivo direto do celular Android dele. E o que a gente mostrou não é teoria. São técnicas que advogados, policiais e investigadores usam na rua, quando não dá para abrir um notebook e digitar comandos. Se você quer começar a investigar pelo celular hoje, este artigo é o seu ponto de partida. Vou detalhar cada ferramenta, cada passo e cada cuidado que você precisa ter. Se você já acompanha os [aulões semanais sobre investigação digital em fontes abertas](https://brunofraga.com/aulao-semanal/investigacao-digital-em-fontes-abertas-osint-segredos), sabe que aqui a gente mostra na tela — não fica só listando nome de app. ## Por que o Android é a plataforma ideal para investigação digital no celular O Android roda Linux por baixo. O mesmo sistema operacional que hackers e investigadores usam em computadores para rodar ferramentas de pentest, OSINT e análise forense. Isso significa que boa parte do que você faz num terminal Linux também funciona no Android. E não, você não precisa de root para fazer investigação digital pelo celular. Root é um acesso privilegiado ao sistema — você desbloqueia o kernel, mexe em coisas internas. Certas ferramentas ganham funcionalidades extras com root, mas tudo que eu demonstrei nesse aulão funciona em qualquer Android, sem root, sem gambiarra. O Alonso resumiu bem: "O computador é tipo uma bazuca. Você tem que estar preparado. O celular é tipo uma pistolinha. Você encontra uma informação, tira ele. Pronto, acabou." E é exatamente isso. O celular não substitui o computador — ele complementa. Quando você está na rua, num escritório, numa cafeteria, e precisa verificar uma informação rápido, o celular é o que você tem. ### Quem se beneficia de investigar pelo celular Pensa nos seguintes cenários: - Um advogado que está em audiência e precisa verificar rapidamente se uma foto apresentada como prova foi editada no Photoshop - Um policial que vê uma placa de carro suspeita e quer cruzar informações ali mesmo, na rua - Um investigador particular que precisa confirmar se o perfil de Instagram de alguém é fake - Um jornalista que recebe um arquivo anônimo pelo Telegram e quer saber de onde veio antes de publicar - Um profissional de segurança que quer verificar se tem câmeras expostas na rede de um cliente Nenhuma dessas pessoas vai parar, abrir um notebook, esperar bootar, conectar numa rede. O celular resolve. E como eu já mostrei no [guia de ferramentas de investigação digital](https://brunofraga.com/aulao-semanal/ferramentas-de-investigacao-digital), ter as ferramentas certas instaladas e prontas para uso faz toda a diferença entre pegar uma informação a tempo ou perder ela. ### O que o Android Hacking Pro provou No treinamento que eu criei com o Alonso, a gente hackeou um painel de aeroporto, encontrou um IP numa rede usando SQL Injection e invadiu o modem de uma cafeteria — tudo com um celular Android. Sem computador. Sem notebook. Só o celular na mão. Mas calma. O objetivo deste artigo não é ensinar a hackear coisas. É mostrar o lado da investigação: como usar o celular para coletar informações, rastrear origens e analisar dados. As ferramentas que vou detalhar agora são legais, gratuitas (ou com versão gratuita) e acessíveis para qualquer pessoa com um Android. ## Como rastrear redes Wi-Fi com o WiGLE: tutorial passo a passo O [WiGLE](https://wigle.net/faq) é um projeto colaborativo que mapeia redes Wi-Fi, Bluetooth e celular no mundo todo desde setembro de 2001. Funciona assim: pessoas instalam o aplicativo, andam pela rua, e o app coleta automaticamente os nomes e localizações de todas as redes Wi-Fi ao redor. Esses dados vão para uma base de dados global que qualquer pessoa cadastrada pode pesquisar. E a parte que interessa para investigação: se você sabe o nome de uma rede Wi-Fi (o SSID), pode pesquisar no WiGLE e encontrar a localização geográfica exata de onde essa rede foi detectada. ### Como instalar e configurar o WiGLE no Android 1. Abra a Play Store no seu Android 2. Pesquise por "WiGLE WiFi Wardriving" — o desenvolvedor é [WiGLE.net](https://wigle.net/tools) e o app está disponível gratuitamente 3. Instale o aplicativo 4. Acesse o site [wigle.net](https://wigle.net/faq) pelo browser e crie uma conta gratuita — você vai precisar de um usuário e senha para fazer buscas na base global 5. No aplicativo, vá nas configurações e insira seu ID de usuário e senha do site 6. Pronto — agora você pode pesquisar na base global de redes Wi-Fi Mas atenção a um detalhe que pega muita gente: quando você abre a busca no WiGLE, existem duas opções. "Procurar no banco de dados local" pesquisa apenas as redes que o SEU celular já capturou enquanto andava pela rua. "Buscar no WiGLE" pesquisa na base global, com dados de milhares de contribuidores do mundo todo. Para investigação, você quer a segunda opção. ### Como encontrar a localização de alguém pelo nome da rede Wi-Fi Eu demonstrei isso ao vivo e o resultado impressionou até quem já conhecia a ferramenta. Vou dar os exemplos reais que a gente testou: **Exemplo 1 — Pesquisa por "padaria":** Pesquisamos o termo "padaria" no campo SSID do WiGLE. Resultado: dezenas de redes Wi-Fi de padarias apareceram no mapa, concentradas em São Paulo. Uma padaria no São Caetano do Sul, por exemplo, apareceu com segurança fraca na rede. Dá para ver a localização exata no mapa e até o tipo de criptografia que a rede usa. **Exemplo 2 — "Troca senha por cerveja":** Sabe aqueles prints que o pessoal posta no Instagram mostrando nomes engraçados de redes Wi-Fi dos vizinhos? Pesquisamos "troca senha por cerveja" no WiGLE e encontramos a localização exata da pessoa em São Paulo. O dono da rede provavelmente nunca imaginou que aquele nome engraçado funcionaria como um endereço público. **Exemplo 3 — Rede de um espectador ao vivo:** Um espectador da live pediu para pesquisarmos sua rede "Vivo-Internet-C6C7". O Alonso digitou o SSID, pesquisou na base global, e encontrou a localização geográfica da rede — próxima a referências como Banco do Brasil e Dudalina. O cara confirmou no chat. E aqui vai um detalhe técnico que muita gente ignora: o WiGLE não guarda apenas o SSID (nome da rede). Ele também registra o BSSID, que é como se fosse o "RG" do roteador — um identificador fixo baseado no [MAC Address do access point](https://www.itgoat.com/blog/bssid-vs-ssid-understanding-the-basic-differences/). Mesmo que a pessoa mude o nome da rede Wi-Fi, o BSSID permanece o mesmo. Então dá para rastrear o histórico de movimentação de um roteador ou hotspot ao longo do tempo. ### O caso do hotspot do iPhone Essa é uma técnica que eu já usei e que vale ouro. Quando você liga o hotspot do iPhone, o nome padrão da rede é "iPhone de [Seu Nome]". Se em algum momento o seu iPhone com hotspot ligado foi captado por alguém com o WiGLE rodando — ou por qualquer sistema de War Driving — a localização fica registrada. Então se o cara se chama "iPhone de João Silva" e ligou o hotspot numa cafeteria, num hotel, num aeroporto... tem chance de aparecer no WiGLE. E como eu disse, mesmo que ele mude o nome depois, o BSSID continua o mesmo. ### O que é War Driving e por que isso importa [War Driving](https://home.sophos.com/en-us/security-news/2021/what-is-wardriving) é a prática de andar de carro (ou a pé, de bicicleta, de qualquer jeito) com equipamentos que capturam informações de redes Wi-Fi ao redor. O WiGLE nasceu dessa prática. Desde 2001, contribuidores do projeto saem com antenas e celulares mapeando redes. E tem um caso famoso que ilustra a escala disso: entre 2008 e 2010, os carros do Google Street View — aqueles que tiravam fotos das ruas para o Google Maps — também capturavam informações de todas as redes Wi-Fi das casas por onde passavam. Segundo [reportagem da BBC](https://www.bbc.com/news/technology-24047235), o Google coletou e-mails, nomes de usuário, senhas e documentos de redes Wi-Fi desprotegidas em 30 países. A empresa disse que foi "inadvertido", mas [investigações da FCC](https://g1.globo.com/tecnologia/noticia/2012/05/relatorio-mostra-que-coleta-de-dados-pelo-street-view-nao-foi-acidental.html) mostraram que a coleta não foi acidental — um engenheiro do Google incluiu código específico para capturar esses dados. A lição aqui é direta: suas redes Wi-Fi estão sendo mapeadas constantemente, por múltiplos serviços e projetos, mesmo sem seu consentimento. E qualquer pessoa com acesso ao WiGLE pode pesquisar o nome da sua rede e potencialmente encontrar onde você mora. ### Limitações do WiGLE que você precisa conhecer Nem tudo funciona perfeitamente. Durante o aulão, testamos uma rede de Portugal (MEO-96AAF0) e não encontramos resultado. A rede simplesmente não havia sido mapeada por nenhum contribuidor do WiGLE naquela região. Outro ponto: quando a busca é muito ampla — tipo pesquisar um termo genérico no Brasil todo — o WiGLE não carrega todos os resultados. Apareceram 200 redes, mas havia muito mais. A ferramenta funciona melhor quando você pesquisa um nome específico ou foca numa região geográfica delimitada. ## Como encontrar pessoas pela foto com reconhecimento facial usando o PimEyes O [PimEyes](https://pimeyes.com/pt) é um motor de busca por reconhecimento facial. Você faz upload de uma foto de rosto e ele varre a internet procurando aparições daquele rosto em sites, redes sociais, vídeos e matérias de imprensa. Não é busca reversa de imagem comum — é reconhecimento facial real. A diferença para o Google Lens é brutal. Eu mostrei isso ao vivo: apontei o Google Lens para uma pessoa e ele retornou "homem andando na rua". Apontei para um mouse e ele encontrou o produto exato. O Google Lens identifica objetos, não pessoas. O PimEyes identifica rostos. ### Demonstração ao vivo: como funciona na prática O Alonso tirou uma foto aleatória de si mesmo com a câmera do celular — não era uma foto que já existia na internet, era uma foto nova, tirada naquele momento. Fez upload no PimEyes pelo browser do celular. E o resultado: - Encontrou postagens dele em Reels que ele nem lembrava que existiam - Encontrou vídeos do YouTube onde ele aparecia - Encontrou fotos em sites que ele não sabia que tinham publicado Depois testamos comigo. O Alonso tirou uma foto minha (meio pelo reflexo da tela, nem era uma foto boa) e o PimEyes encontrou meu LinkedIn, matérias de imprensa onde eu aparecia e mais de dez outras aparições online. Como ele mesmo disse: "Se você visse o Bruno na rua, tirasse uma foto dele, já encontrava várias coisas." ### Passo a passo para usar o PimEyes no celular 1. Abra o browser do seu celular (funciona em Android e iPhone) 2. Acesse [pimeyes.com](https://pimeyes.com/pt) 3. Clique para fazer upload de uma foto 4. Selecione "Nova foto da câmera" para tirar uma foto na hora, ou escolha uma foto da galeria 5. Você pode fazer upload de múltiplas fotos de diferentes ângulos — isso melhora a precisão do reconhecimento 6. Clique em "Iniciar busca" 7. O sistema processa a imagem e retorna as aparições encontradas na internet Mas aqui vai uma limitação importante: para ver informações completas — como o site de origem de cada resultado, detalhes e links diretos — você precisa de um [plano pago](https://pimeyes.com/pt/premium). O PimEyes cobra a partir de US$ 29,99 por mês. A busca gratuita mostra os resultados com as imagens borradas e sem link de origem. ### Casos de uso reais para o PimEyes - **Verificar perfis fake:** Alguém te adicionou no Instagram com uma foto bonita demais? Salva a foto, joga no PimEyes. Se o rosto aparecer associado a outra pessoa, outro nome, outro país — é fake. - **Encontrar pessoas desaparecidas:** Tem uma foto da pessoa mas não sabe onde ela está? O PimEyes pode encontrar aparições recentes em redes sociais, sites de notícias ou qualquer página pública. - **Investigar identidades:** Um fugitivo cuja única evidência é uma imagem de câmera de segurança ou olho mágico de porta. O PimEyes pode cruzar esse rosto com aparições em Facebook, Instagram ou qualquer site indexado. - **Confirmar identidade de contatos:** Recebeu uma proposta de negócio de alguém que você não conhece? Tire uma foto do perfil dele e verifique se as informações batem. Se você já conhece [técnicas para investigar pessoas na internet](https://brunofraga.com/aulao-semanal/como-investigar-pessoas-na-internet-tecnicas-osint), o PimEyes adiciona uma camada poderosa: a busca pelo rosto, não pelo nome. ## Como analisar metadados de arquivos e fotos pelo celular com ExifTool Metadados são informações invisíveis embutidas em todo arquivo digital. Quando você tira uma foto, o celular grava automaticamente: modelo do dispositivo, data e hora, coordenadas GPS de onde a foto foi tirada, resolução, nível de brilho, software usado para edição e dezenas de outros campos. Essa "ficha técnica silenciosa" é o que investigadores chamam de [dados EXIF](https://tecnoblog.net/responde/o-que-sao-dados-exif-de-fotos-e-como-encontra-los-ou-esconde-los/). O [ExifTool](https://exiftool.org/) é a ferramenta padrão para ler esses metadados. A versão original é uma biblioteca Perl criada por Phil Harvey que roda em qualquer plataforma. Para Android, existe o app [ExifTool Android – Editor EXIF](https://play.google.com/store/apps/details?id=com.exiftool.free&hl=pt), disponível na Play Store com mais de 100 mil downloads. ### Demonstração ao vivo: extraindo dados de um ZIP recebido pelo Telegram Nesse aulão, o Alonso abriu um arquivo ZIP que havia sido compartilhado pelo Telegram. Dentro do ZIP havia fotos tiradas durante a gravação do treinamento Android Hacking Pro em Porto Alegre. Veja o que o ExifTool extraiu de uma única foto: - **Dispositivo:** iPhone 13 mini - **Data de modificação:** registrada com precisão - **Resolução:** completa - **Nível de brilho:** salvo automaticamente pelo iOS - **Coordenadas GPS:** latitude e longitude exatas de Porto Alegre, onde a foto foi tirada - **Informações de edição:** dados sobre correções de lente e processamento do software E quando o Alonso clicou em "update location" dentro do app, o mapa abriu mostrando o ponto exato onde a foto havia sido tirada. Até pela galeria nativa do Android, ao abrir a foto extraída do ZIP, a localização apareceu automaticamente. ### Passo a passo para analisar metadados no Android 1. Baixe o [ExifTool Android](https://play.google.com/store/apps/details?id=com.exiftool.free&hl=pt) na Play Store 2. Se recebeu um arquivo ZIP, extraia ele primeiro usando o gerenciador de arquivos do Android 3. Abra o ExifTool e selecione o arquivo que deseja analisar (foto, documento, vídeo) 4. O app exibe todos os metadados organizados por categoria: informações do dispositivo, GPS, software, edição 5. Você pode exportar os metadados para uma planilha para análise posterior 6. Para ver a localização no mapa, clique nas coordenadas GPS ou use a função "update location" ### Quais plataformas removem metadados e quais mantêm Essa informação é fundamental para qualquer investigação. Nem todo arquivo que você recebe tem metadados — depende de como foi enviado. | Plataforma/Método | Mantém metadados? | Observação | |---|---|---| | WhatsApp (foto como imagem) | ❌ Não | Compacta e remove metadados | | Instagram (post/story) | ❌ Não | Compacta e remove metadados | | Telegram (foto como imagem) | ❌ Não | Compacta e remove metadados | | Telegram (enviado como arquivo/documento) | ✅ Sim | Mantém metadados originais | | WhatsApp (enviado como documento) | ✅ Sim | Mantém metadados originais | | Google Drive | ✅ Sim | Mantém metadados originais | | Torrent | ✅ Sim | Mantém tudo — inclusive nome de usuário do computador e pasta de origem | | E-mail (anexo) | ✅ Sim | Mantém metadados originais | | ZIP compartilhado | ✅ Sim | Fotos dentro do ZIP mantêm metadados individuais | E aqui vai um ponto que eu fiz questão de destacar no aulão: redes torrent mantêm TUDO. Nome de usuário do computador, pasta de origem do arquivo, metadados completos. Então se alguém edita um vídeo no computador, salva e compartilha via torrent, o nome de usuário do Windows fica gravado nos metadados. Em uma investigação policial, isso é evidência. ### Casos de uso investigativo para análise de metadados **Caso 1 — Arquivos ilegais compartilhados em ZIP pelo Telegram:** Imagine um grupo no Telegram compartilhando material ilegal compactado em ZIP. As fotos dentro do ZIP, se foram tiradas diretamente do celular do criminoso, mantêm as coordenadas GPS, o modelo do dispositivo e a data exata. Isso é o tipo de evidência que coloca alguém num lugar específico, num momento específico. **Caso 2 — Verificar se uma imagem foi editada:** Quando alguém edita uma foto no Photoshop e salva, os metadados registram que o software Adobe Photoshop foi usado. Então se alguém te mostra uma "prova" em foto e você suspeita de manipulação, os metadados podem confirmar ou descartar a edição. **Caso 3 — Vídeo editado que revela o autor:** Uma pessoa edita um vídeo usando um editor de vídeo. Quando salva, o arquivo grava o nome de usuário do computador nos metadados. Se esse vídeo é enviado por um canal que mantém metadados (torrent, Drive, e-mail), o investigador consegue identificar o autor pela informação do sistema operacional. **Caso 4 — Boleto ou documento suspeito:** Recebeu um boleto por e-mail de origem duvidosa? Baixe e analise os metadados. Pode revelar o software que gerou o documento, a data real de criação (que pode ser diferente da data impressa) e até informações do autor. Se você quer se aprofundar em como [descobrir informações escondidas em sites e documentos](https://brunofraga.com/aulao-semanal/como-descobrir-o-dono-de-um-site), metadados são uma das técnicas mais poderosas do arsenal. ## Como usar o Shodan para encontrar câmeras e dispositivos expostos O [Shodan](https://www.shodan.io/) é um motor de busca que mapeia dispositivos conectados à internet no mundo todo. Não sites — dispositivos. Câmeras de segurança, roteadores, webcams, sistemas de controle industrial, servidores, impressoras. Tudo que tem um IP público e está acessível, o Shodan encontra. Eu tentei demonstrar o Shodan ao vivo no aulão e o site caiu. Isso acontece — o Shodan tem momentos de instabilidade, especialmente quando muita gente acessa ao mesmo tempo. Mas vou explicar como funciona e o que você pode fazer com ele. ### Como funciona o Shodan na prática Você acessa pelo browser do celular (o app Android existe, mas só funciona bem em versões anteriores do Android — pelo browser é mais confiável). Depois de criar uma conta, pode pesquisar por: - **Tags populares:** webcam, câmera, servidor - **Tipo de dispositivo:** câmeras de segurança, roteadores, sistemas SCADA - **Localização:** filtrar por país, cidade ou coordenadas - **Portas abertas:** encontrar serviços específicos rodando em IPs públicos O Shodan tem um [modelo de preços](https://account.shodan.io/billing) que começa com uma membership de US$ 49 (pagamento único) que dá 100 créditos de consulta por mês. Para uso mais intenso, os planos vão de US$ 69/mês (Freelancer) até planos corporativos customizados. Mas para uma busca rápida, a conta gratuita já permite ver resultados básicos. E quando combinado com as técnicas de [Google Hacking que eu já ensinei](https://brunofraga.com/aulao-semanal/google-hacking-buscas-perigosas-dorks), você consegue encontrar dispositivos expostos sem pagar nada. ## Google Hacking Database: alternativa gratuita ao Shodan para encontrar dispositivos expostos O [Google Hacking Database (GHDB)](https://www.exploit-db.com/google-hacking-database) é um índice categorizado de termos de pesquisa do Google projetados para encontrar informações sensíveis que foram expostas publicamente na internet. Mantido pela Exploit-DB (da OffSec), o GHDB contém milhares de "dorks" — strings de busca que revelam câmeras, arquivos, servidores e dispositivos que não deveriam estar acessíveis. Quando o Shodan caiu durante o aulão, o Alonso mostrou o GHDB como alternativa. Funciona assim: 1. Acesse [exploit-db.com/google-hacking-database](https://www.exploit-db.com/google-hacking-database) 2. Filtre por categoria: arquivos vulneráveis, servidores, dispositivos, páginas com login 3. Escolha um dork (termo de pesquisa) 4. Cole no Google e pesquise 5. Os resultados mostram dispositivos e arquivos expostos que correspondem àquele padrão A vantagem sobre o Shodan: funciona direto no Google, de graça, sem conta. A desvantagem: é mais manual e menos organizado. Mas para quem está começando e quer entender como dispositivos ficam expostos na internet, é um ponto de partida excelente. E se você quer ir mais fundo nesse tipo de pesquisa avançada no Google, eu já cobri isso em detalhes no aulão sobre [buscas perigosas com Google Dorks](https://brunofraga.com/aulao-semanal/google-hacking-buscas-perigosas-dorks). ## Cuidados e limitações ao investigar pelo celular Android Eu não recomendo que ninguém saia usando essas ferramentas sem entender os limites. Investigação digital tem poder — e com poder vem responsabilidade (e consequências legais se usado de forma errada). ### Limitações técnicas - **Tela e teclado:** O processador do celular aguenta. Mas digitar comandos longos num teclado virtual é sofrido. Para análises rápidas, funciona. Para trabalho pesado e prolongado, o computador continua sendo a bazuca. - **Ferramentas como Termux dão erro:** Eu avisei no aulão e repito aqui — se você instalar o [Termux](https://github.com/termux/termux-app/discussions/4000) para rodar ferramentas de linha de comando no Android, vai dar erro. Python não atualiza, dependências quebram, pacotes conflitam. Android é isso. A versão da Play Store está depreciada; a versão oficial atualizada está no F-Droid e no GitHub. - **Shodan no celular:** O app Android do Shodan só funciona bem em versões anteriores do sistema. Use pelo browser. - **WiGLE não tem tudo:** Nem todas as redes Wi-Fi do mundo estão mapeadas. Regiões com menos contribuidores (como Portugal, no nosso teste) podem não ter resultados. ### Limitações de dados - **WhatsApp e Instagram limpam metadados:** Fotos enviadas como imagem perdem toda informação EXIF. Só mantêm metadados se enviadas como documento/arquivo. - **PimEyes tem paywall:** A busca gratuita mostra resultados borrados. Para ver links de origem e detalhes, precisa pagar a partir de US$ 29,99/mês. - **Resultados dependem de exposição pública:** O PimEyes só encontra rostos em páginas públicas da internet. Se a pessoa não tem nenhuma foto pública, não vai aparecer resultado. - **GHDB exige trabalho manual:** Diferente do Shodan que organiza tudo automaticamente, o Google Hacking Database depende de você testar dork por dork no Google — funciona, mas leva mais tempo. ### Cuidados legais e éticos Investigação digital em fontes abertas (OSINT) trabalha com informações públicas. Mas "público" não significa "vale tudo". Usar reconhecimento facial para perseguir alguém é crime. Acessar redes Wi-Fi alheias sem autorização é crime. Invadir câmeras de segurança é crime. As ferramentas que eu mostrei servem para investigação legítima — verificar identidades, analisar evidências, proteger-se. Se você está começando nessa área, eu recomendo fortemente que leia sobre o [caminho para se tornar investigador digital](https://brunofraga.com/aulao-semanal/como-iniciar-carreira-investigador-digital) e entenda os limites legais antes de sair usando qualquer ferramenta. ## Conceitos técnicos que aparecem nessas ferramentas Para tirar o máximo dessas ferramentas de investigação digital no celular Android, vale entender dois conceitos que apareceram repetidamente no aulão. ### SSID, BSSID e MAC Address — qual a diferença prática O SSID (Service Set Identifier) é o nome da rede Wi-Fi — aquele que aparece quando você procura redes disponíveis, tipo "Vivo-Internet-C6C7". Pode ser alterado a qualquer momento pelo dono do roteador. Já o BSSID (Basic Service Set Identifier) é o [identificador único do access point](https://7signal.com/blog/bssid-basic-service-set-identifier/), representado como um MAC Address (exemplo: 00:1A:2B:3C:4D:5E). Diferente do SSID, o BSSID é fixo — mesmo que o nome da rede mude, o BSSID permanece o mesmo. Para investigação, o BSSID é mais confiável que o SSID. O MAC Address (Media Access Control) é o endereço físico de 48 bits que identifica unicamente cada interface de rede. Todo dispositivo Wi-Fi tem um. Na maioria dos casos, o BSSID é exatamente o MAC Address do roteador, embora em roteadores com múltiplas interfaces possa haver pequenas variações. ### O que fica gravado nos metadados EXIF O padrão [EXIF (Exchangeable Image File Format)](https://exiftool.org/) grava automaticamente nos arquivos de imagem: marca e modelo da câmera/celular, data e hora exatas da captura, coordenadas GPS, resolução, abertura, ISO, software usado para edição posterior e nível de brilho da tela no momento da captura (em iPhones). Esses dados são encontrados em formatos JPEG, TIFF e em formatos de vídeo como MP4 e áudio como WAV. E como eu mostrei no aulão, eles sobrevivem dentro de arquivos ZIP — compactar fotos num ZIP e enviar pelo Telegram como documento preserva todos os metadados. ## Como IA pode acelerar a análise dos dados coletados Se você já viu o aulão onde eu mostrei como usar o [ChatGPT para investigação digital](https://brunofraga.com/aulao-semanal/chatgpt-para-investigacao-digital), sabe que IA generativa pode acelerar a análise. Exemplo prático: você extrai metadados de 50 arquivos com o ExifTool, exporta para planilha e pede para o ChatGPT identificar padrões — dispositivos repetidos, localizações próximas, horários suspeitos. Mas a IA não substitui a coleta. Primeiro você precisa das ferramentas certas para obter os dados. ## Ferramentas Utilizadas Neste Aulão | Ferramenta | Finalidade | Link | |---|---|---| | WiGLE | Mapear e rastrear redes Wi-Fi no mundo todo por nome (SSID) ou identificador (BSSID), encontrando localização geográfica | [WiGLE](https://wigle.net/faq) | | PimEyes | Busca reversa por reconhecimento facial — encontra aparições de um rosto em redes sociais, sites e matérias na internet | [PimEyes](https://pimeyes.com/pt) | | ExifTool Android | Analisar metadados de fotos, documentos e vídeos no celular — extrai GPS, modelo do dispositivo, software de edição | [ExifTool Android](https://play.google.com/store/apps/details?id=com.exiftool.free&hl=pt) | | Shodan | Motor de busca para dispositivos conectados à internet: câmeras, roteadores, webcams, sistemas industriais | [Shodan](https://www.shodan.io/) | | Google Hacking Database | Índice de termos de pesquisa para encontrar dispositivos e arquivos expostos via Google | [GHDB](https://www.exploit-db.com/google-hacking-database) | | Google Lens | Busca reversa de imagem para identificar objetos e produtos (limitado para reconhecimento facial) | [Google Lens](https://lens.google.com) | ## Perguntas Frequentes ### Como rastrear uma rede Wi-Fi pela localização? Use o WiGLE (wigle.net). Crie uma conta gratuita no site, instale o app no Android pela Play Store, e pesquise o nome da rede (SSID) na base global. Se a rede foi captada por algum contribuidor do projeto, a localização geográfica exata aparece no mapa. O WiGLE tem dados desde 2001 e cobre boa parte do mundo, com maior concentração nos EUA e Brasil. ### Como encontrar uma pessoa apenas com uma foto? O PimEyes (pimeyes.com) faz reconhecimento facial a partir de uma foto de rosto. Você tira a foto com a câmera do celular, faz upload no site pelo browser, e o sistema varre a internet buscando aparições daquele rosto em redes sociais, vídeos, matérias e sites públicos. A busca básica é gratuita, mas para ver links de origem e detalhes completos é necessário um plano pago a partir de US$ 29,99/mês. ### O que são metadados de arquivos e como usá-los em investigação? Metadados são informações invisíveis gravadas automaticamente em todo arquivo digital — fotos, documentos, vídeos. Incluem modelo do dispositivo, data de criação, coordenadas GPS, software de edição e nome de usuário do computador. Em investigação, metadados podem revelar quem criou um arquivo, onde e quando, mesmo que o conteúdo visível não dê pistas. Use o ExifTool no Android para extrair essas informações. ### É possível investigar com celular Android sem root? Sim. Todas as ferramentas demonstradas neste aulão — WiGLE, PimEyes, ExifTool e Shodan — funcionam em qualquer Android sem root. Root é um acesso privilegiado ao sistema operacional que desbloqueia funcionalidades extras em certas ferramentas, mas não é necessário para investigação digital básica e intermediária. ### Como saber se uma foto foi editada no Photoshop? Abra a foto no ExifTool e procure nos metadados referências ao software Adobe Photoshop. Quando uma imagem é editada no Photoshop e salva, os metadados registram o nome do software, a versão e às vezes até o histórico de edições. Se os metadados mostram "Adobe Photoshop" no campo de software, a imagem foi processada por esse programa. ### O WhatsApp remove metadados das fotos enviadas? Sim. Quando você envia uma foto como imagem pelo WhatsApp, ela é compactada e todos os metadados EXIF são removidos — incluindo localização GPS, modelo do dispositivo e data original. O mesmo acontece no Instagram e no Telegram (quando enviado como foto). Para preservar metadados, envie o arquivo como documento, não como foto. Arquivos enviados como documento pelo WhatsApp e Telegram mantêm os metadados originais. ### Como usar o Shodan para encontrar câmeras de segurança? Acesse shodan.io pelo browser, crie uma conta e pesquise por tags como "webcam", "camera" ou "IP cam". O Shodan retorna uma lista de dispositivos encontrados com seus IPs, localização aproximada e informações do serviço. A conta gratuita permite buscas básicas; planos pagos começam em US$ 49 (pagamento único) para 100 créditos mensais. Quando o Shodan estiver fora do ar, use o Google Hacking Database como alternativa. ### Qual a diferença entre o PimEyes e o Google Lens para busca de imagem? O Google Lens identifica objetos — aponta para um mouse e ele encontra o produto, aponta para uma pessoa e ele retorna "homem andando na rua". O PimEyes faz reconhecimento facial real: a partir de um rosto, encontra todas as aparições daquela pessoa específica na internet. Para investigação de identidade, o PimEyes é incomparavelmente mais preciso. Para identificar produtos e objetos, o Google Lens resolve. ## Próximos passos práticos Se você leu até aqui e quer colocar em prática hoje: 1. Instale o WiGLE no seu Android e pesquise o nome da sua própria rede Wi-Fi — veja se sua localização aparece 2. Acesse o PimEyes pelo browser e faça uma busca com sua própria foto — descubra onde seu rosto aparece na internet 3. Baixe o ExifTool e analise os metadados de uma foto da sua galeria — veja quanta informação está gravada sem você saber 4. Acesse o Google Hacking Database e explore as categorias para entender que tipo de informação fica exposta na internet E se você quer ir além do que mostrei aqui, os [aulões semanais](https://brunofraga.com/aulao-semanal/investigacao-digital-em-fontes-abertas-osint-segredos) acontecem toda semana com demonstrações ao vivo — desde [desvendar golpes reais](https://brunofraga.com/aulao-semanal/investigacao-digital-casos-reais-golpe-olx) até [investigar qualquer pessoa usando apenas a internet](https://brunofraga.com/aulao-semanal/como-investigar-pessoas-na-internet-tecnicas-osint). > **Veja também:** [Shodan na Prática: Como Encontrar Dispositivos Vulneráveis Expostos na Internet — Aulão #020](/aulao-semanal/shodan-como-usar-identificar-vulnerabilidades-internet) ## Referências e Recursos - [WiGLE — FAQ e documentação oficial](https://wigle.net/faq) - [WiGLE — Downloads e ferramentas](https://wigle.net/tools) - [WiGLE na Wikipedia](https://en.wikipedia.org/wiki/WiGLE) - [PimEyes — Buscador de rostos](https://pimeyes.com/pt) - [PimEyes — Planos e preços](https://pimeyes.com/pt/premium) - [ExifTool — Site oficial por Phil Harvey](https://exiftool.org/) - [ExifTool Android na Play Store](https://play.google.com/store/apps/details?id=com.exiftool.free&hl=pt) - [Shodan — Search Engine for IoT](https://www.shodan.io/) - [Shodan — Planos de preços](https://account.shodan.io/billing) - [Google Hacking Database (GHDB)](https://www.exploit-db.com/google-hacking-database) - [O que é Wardriving — Sophos](https://home.sophos.com/en-us/security-news/2021/what-is-wardriving) - [Google Street View e captura de Wi-Fi — BBC](https://www.bbc.com/news/technology-24047235) - [Coleta de dados pelo Street View — G1](https://g1.globo.com/tecnologia/noticia/2012/05/relatorio-mostra-que-coleta-de-dados-pelo-street-view-nao-foi-acidental.html) - [Investigações sobre Google Street View — EPIC](https://epic.org/documents/investigations-of-google-street-view/) - [BSSID vs SSID — IT GOAT](https://www.itgoat.com/blog/bssid-vs-ssid-understanding-the-basic-differences/) - [O que é BSSID — 7SIGNAL](https://7signal.com/blog/bssid-basic-service-set-identifier/) - [O que são dados EXIF — Tecnoblog](https://tecnoblog.net/responde/o-que-sao-dados-exif-de-fotos-e-como-encontra-los-ou-esconde-los/) - [Termux — Anúncio oficial sobre Play Store](https://github.com/termux/termux-app/discussions/4000) - [Termux — Situação na Play Store (XDA Developers)](https://www.xda-developers.com/termux-terminal-linux-google-play-updates-stopped/) --- ### Aulão #017 — Pare de Só Estudar Teoria: Desafios Práticos Para Treinar Investigação Digital URL: https://brunofraga.com/aulao-semanal/desafios-praticos-de-investigacao-digital-como-praticar-osint Publicado: 2024-08-22 Tags: osint, investigacao-digital, tutoriais, ciberseguranca, hacking YouTube: https://www.youtube.com/watch?v=Mb9klUIaJz8 Neste aulão em vídeo, Bruno Fraga demonstra na prática como resolver desafios reais de investigação digital usando plataformas gratuitas. Acompanhe passo a passo o uso de Wayback Machine, busca reversa de IP, consulta WHOIS e análise de imagens em exercícios do TryHackMe e outros CTFs de OSINT. ## O que você vai aprender neste aulão Desafios práticos de investigação digital são a forma mais rápida de sair da teoria e realmente desenvolver habilidades de OSINT. Neste aulão — o 17º da série — eu demonstrei ao vivo como resolver desafios reais de investigação usando plataformas gratuitas, ferramentas de consulta de domínios, histórico de sites, análise de DNS e geolocalização de imagens. Você vai aprender a investigar um site que não existe mais, descobrir quem registrou um domínio, acessar o conteúdo de páginas que foram apagadas há anos, identificar outros sites hospedados no mesmo servidor e até localizar onde uma foto foi tirada. Tudo na prática, com passo a passo detalhado, usando ferramentas que funcionam em 2026 e que não custam nada. Eu gravei essa aula ao vivo com cerca de 700 pessoas acompanhando no chat. E o que eu mostrei não é teoria — é exatamente o que eu faço quando investigo casos reais. A diferença é que aqui usei ambientes de CTF (Capture the Flag) para que qualquer pessoa possa praticar sem risco. Se você quer saber [como praticar OSINT](https://brunofraga.com/aulao-semanal/investigacao-digital-em-fontes-abertas-osint-segredos) de verdade, com desafios que simulam cenários reais, este artigo é o seu ponto de partida. ## O que são CTFs de OSINT e por que você deveria praticar CTF (Capture the Flag) é uma competição de cibersegurança onde participantes resolvem desafios práticos para encontrar respostas escondidas — as "flags". No contexto de OSINT, os desafios envolvem investigar domínios, pessoas, imagens e infraestrutura digital usando apenas fontes abertas. A ideia é simples: você recebe um alvo (um domínio, uma foto, um cenário) e precisa responder perguntas sobre ele. Quem registrou esse site? Qual era o IP em 2016? Onde essa foto foi tirada? Qual o telefone da empresa responsável? Eu já usei plataformas de CTF quando estudava hacking, porque precisava de sistemas para invadir de forma controlada. Mas com o crescimento da investigação digital, essas mesmas plataformas passaram a oferecer desafios focados em OSINT. E isso muda tudo para quem quer aprender na prática. Não adianta só ler sobre [ferramentas de investigação digital](https://brunofraga.com/aulao-semanal/ferramentas-de-investigacao-digital). Você precisa usar. Precisa errar. Precisa travar numa resposta e descobrir sozinho como resolver. É assim que se forma um investigador. ### Por que desafios práticos superam cursos teóricos Quando você está dentro de um desafio, a pressão de encontrar a resposta ativa um tipo de raciocínio que nenhuma videoaula passiva consegue gerar. Você começa a conectar ferramentas, a pensar em caminhos alternativos, a questionar cada dado que encontra. E tem mais: a curiosidade é a sua maior arma. Eu repito isso em toda aula porque é verdade. Sem curiosidade, você olha para uma consulta WHOIS e vê só texto. Com curiosidade, você percebe que o telefone listado pode levar a uma empresa, que a empresa pode levar a uma pessoa, que a pessoa pode levar a outros domínios. ## TryHackMe: como acessar desafios gratuitos de OSINT O [TryHackMe](https://tryhackme.com/) é uma plataforma gratuita de aprendizado em cibersegurança que oferece salas de desafio (rooms) sobre mais de 20 temas, incluindo OSINT. Você cria uma conta sem pagar nada e começa a praticar imediatamente. Aqui está o passo a passo que eu mostrei ao vivo: 1. Acesse [tryhackme.com](https://tryhackme.com/) e clique em "Join Free" 2. Insira seu e-mail, crie um username e confirme o e-mail 3. Após o login, clique em **Learn** no menu superior 4. Dentro de Learn, clique em **Search** 5. Digite **OSINT** na barra de busca 6. Escolha uma sala de desafio e clique em **Join Room** Na aula, eu trabalhei com duas salas específicas: a **WebOSINT** (focada em investigação de domínios, DNS e histórico de sites) e a **Searchlight - IMINT** (focada em investigação de imagens e geolocalização). Ambas estão disponíveis gratuitamente e têm writeups publicados pela comunidade caso você trave em alguma questão. Mas nem tudo é perfeito. O TryHackMe tem um problema chato: a formatação das respostas é muito rígida. Se a resposta esperada é "Namecheap" e você digita "Namecheap Inc", dá erro. Isso aconteceu comigo ao vivo — eu encontrei a resposta correta no terminal, mas o formato não batia com o que a plataforma esperava. Frustrante, mas faz parte. E outro ponto: certos desafios ficam desatualizados. Os dados reais mudam (domínios expiram, IPs mudam, empresas trocam de nome), mas as respostas esperadas no desafio não são atualizadas. Eu encontrei isso no desafio WebOSINT — o número de mudanças de IP do domínio era muito maior do que a resposta cadastrada, porque o desafio foi criado anos atrás. ## Como investigar um site que não existe mais Um site fora do ar não significa fim da investigação. O registro do domínio continua existindo, o histórico de DNS permanece acessível e o conteúdo antigo pode estar arquivado. Existem pelo menos quatro camadas de informação que você pode extrair de um domínio "morto". No aulão, o alvo era o domínio **republiccoffee.com** — um site completamente fora do ar, com domínio expirado. A primeira reação de muita gente seria desistir. Mas eu mostrei que dá para descobrir quem registrou, qual empresa hospedava, qual era o conteúdo, quem escrevia e até onde a pessoa morava. Se você já leu meu artigo sobre [como descobrir o dono de um site](https://brunofraga.com/aulao-semanal/como-descobrir-o-dono-de-um-site), sabe que o WHOIS é o primeiro passo. Mas aqui vamos além — combinando WHOIS com Wayback Machine, ViewDNS e análise de conteúdo arquivado. ### As 4 camadas de investigação de um domínio inativo - **Camada 1 — Registro (WHOIS):** Quem comprou o domínio, qual empresa registradora, telefone, name servers - **Camada 2 — Histórico de DNS:** Para quais IPs o domínio apontou ao longo dos anos, quais empresas de hospedagem foram usadas - **Camada 3 — Conteúdo arquivado (Wayback Machine):** O que estava publicado no site, quem escrevia, que informações pessoais vazavam no conteúdo - **Camada 4 — Conexões laterais:** Outros sites no mesmo servidor, tags de rastreamento compartilhadas, links externos que conectam a outros domínios ## Consulta WHOIS: como descobrir quem registrou um domínio [WHOIS](https://en.wikipedia.org/wiki/WHOIS) é um protocolo de consulta que retorna dados públicos sobre o registro de um domínio — incluindo nome do registrante, empresa registradora, telefone de contato, name servers e datas de criação e expiração. É o primeiro passo de qualquer investigação de domínio. Para consultar, eu uso o [ICANN Lookup](https://lookup.icann.org/), que é o serviço oficial mantido pela ICANN (Internet Corporation for Assigned Names and Numbers). Você digita o domínio, clica em Lookup e recebe os dados disponíveis. ### Passo a passo da consulta WHOIS que eu fiz ao vivo No desafio, consultei o domínio **republiccoffee.com** no ICANN Lookup. Eis o que encontrei: - **Empresa registradora:** Namecheap - **Privacidade WHOIS:** Ativada (o nome real do proprietário estava oculto) - **Telefone de contato:** Listado nos dados do registrante (aparecia melhor no terminal do que no site) - **Name servers:** Dois name servers apontando para a infraestrutura de DNS do domínio - **País do registrante:** Iceland (Islândia) — e aqui aconteceu algo engraçado na aula: alguém no chat sugeriu "Panamá" e eu acabei digitando Panamá sem verificar. Erro meu. A resposta correta era Iceland. E tem um detalhe que vale ouro: no site do ICANN, nem todos os dados aparecem de cara. Você precisa rolar a página e clicar em "ver código geral do registro" para acessar informações como telefone. No terminal do Linux ou Mac, o comando `whois republiccoffee.com` retorna tudo de uma vez, sem essa fricção. ``` whois republiccoffee.com ``` Esse comando funciona nativamente no Linux e no macOS. No Windows, você precisa instalar uma ferramenta separada ou usar sites como o ICANN Lookup. ### O que é privacidade WHOIS e por que isso importa A Namecheap é uma empresa que oferece privacidade WHOIS gratuitamente quando você compra um domínio lá. Isso significa que, em vez do nome real do proprietário, aparece o nome de um serviço de privacidade. Para investigadores, isso é uma barreira. Mas não é o fim. Autoridades podem solicitar judicialmente a quebra desse sigilo. E mesmo com privacidade ativa, outros dados — como name servers, histórico de DNS e conteúdo arquivado — continuam acessíveis. ### O que são name servers e por que você deve prestar atenção neles [Name servers](https://en.wikipedia.org/wiki/Name_server) são servidores que traduzem nomes de domínio em endereços IP. Todo domínio tem pelo menos dois name servers configurados, e eles indicam onde o domínio está sendo gerenciado — qual empresa de hospedagem, qual provedor de DNS. Na prática, quando eu vejo os name servers de um domínio, consigo identificar se o site está na HostGator, na DigitalOcean, no Google Cloud, na Cloudflare. E isso é uma pista investigativa. Se dois domínios aparentemente não relacionados compartilham os mesmos name servers, pode haver uma conexão entre eles. ## Wayback Machine: como acessar o histórico de qualquer site A [Wayback Machine](https://web.archive.org) do Archive.org é um serviço que arquiva capturas (snapshots) de sites da internet ao longo dos anos. Mesmo que um site tenha sido completamente removido, é provável que a Wayback Machine tenha uma cópia dele. No aulão, usei a Wayback Machine para acessar o conteúdo do blog republiccoffee.com que havia sido publicado em outubro de 2016. O site não existia mais, mas o conteúdo estava lá — posts, nomes, cidades, referências pessoais. ### Como eu encontrei o autor do blog e onde ele morava Ao acessar [web.archive.org](https://web.archive.org) e digitar republiccoffee.com, apareceu um calendário com as datas em que o site foi capturado. Percorri diferentes anos até encontrar capturas com conteúdo real em outubro de 2016. Dentro do blog arquivado, encontrei: - **Nome do autor:** Steve (aparecia como nome de usuário no blog) - **Cidade onde morava:** Gwangju, na Coreia do Sul (mencionada diretamente no texto de um post) - **Faculdade onde estudava:** Identificada no conteúdo do blog, o que serviu de pista para a próxima descoberta - **Templo que frequentava:** Identificado cruzando o nome da faculdade com uma busca no Google Maps por templos na região Esse cruzamento de informações é o coração da investigação digital. Você lê um texto, identifica uma faculdade, joga no Google Maps, procura templos na região e confirma. Não é mágica — é método. E isso funciona para qualquer site. Você pode colocar o endereço do Terra, do seu próprio site, de qualquer empresa. Vai estar lá. Eu mesmo mencionei na aula: "Você botar o Técnicas de Invasão aqui, vai tá o Técnicas de Invasão lá de 2015, como que era, o que que eu escrevia, quem que eram as pessoas, tudo." ### Dicas práticas para usar a Wayback Machine 1. Nem todas as datas têm capturas completas — certas datas mostram apenas erros ou páginas em branco 2. Percorra diferentes anos para encontrar o período em que o site tinha conteúdo ativo 3. Clique nos pontos do calendário (cada ponto é uma captura) para visualizar a versão do site naquela data 4. Links internos dentro do site arquivado podem funcionar, permitindo transitar entre páginas como se o site ainda estivesse no ar 5. Use a combinação Wayback Machine + Google Maps para confirmar localizações mencionadas no conteúdo ## Como investigar IP e DNS de um domínio O [ViewDNS.info](https://viewdns.info/) é um conjunto de ferramentas gratuitas para investigar DNS, histórico de IPs, busca reversa e muito mais. É uma das ferramentas que eu mais uso em investigações reais e que demonstrei extensivamente neste aulão. A funcionalidade mais poderosa do ViewDNS para investigação é o **IP History** — que mostra todos os endereços IP para os quais um domínio já apontou ao longo do tempo. Isso revela quais empresas de hospedagem foram usadas, quando houve mudanças de servidor e, potencialmente, quem estava por trás da infraestrutura. ### Como ver o histórico de IPs de um domínio No ViewDNS, a ferramenta **IP History** funciona assim: 1. Acesse [viewdns.info](https://viewdns.info/) 2. Encontre a seção "IP History" 3. Digite o domínio que você quer investigar 4. Clique em buscar Para o domínio republiccoffee.com, o resultado mostrou dezenas de IPs diferentes ao longo dos anos. Cada mudança de IP representa uma possível mudança de servidor, de empresa de hospedagem ou de configuração de infraestrutura. Eu também demonstrei com o meu próprio site, tecnicasinvasao.com. No histórico apareciam IPs da Cloudflare, da Sucuri e de outras empresas de segurança e hospedagem que eu já utilizei. E aqui vem uma dica que vale ouro para quem trabalha com segurança. ### Como descobrir o IP real por trás da Cloudflare A [Cloudflare](https://www.cloudflare.com) funciona como um escudo entre o visitante e o servidor real. Quando um site usa Cloudflare, o IP que aparece na consulta DNS é o da Cloudflare, não o do servidor onde o site está hospedado. Mas tem um truque: se o site não usava Cloudflare desde o início, o IP real do servidor aparece no histórico de DNS. No ViewDNS, você olha as datas anteriores à instalação da Cloudflare e encontra o IP original. Na prática, funciona assim: o dono do site instala a Cloudflare em 2025, mas antes disso o IP do servidor aparecia direto. Se você consultar o histórico, vai ver o IP real lá em 2024, 2023, e por aí vai. E geralmente o servidor não muda — o IP real continua o mesmo. Mas atenção: isso não funciona se o site sempre usou Cloudflare desde o primeiro dia. Nesse caso, o histórico só vai mostrar IPs da Cloudflare. ## Busca reversa de IP: como encontrar outros sites no mesmo servidor A [busca reversa de IP](https://hackertarget.com/reverse-ip-lookup/) (reverse IP lookup) é uma técnica que permite descobrir todos os domínios hospedados no mesmo endereço IP. Enquanto uma consulta DNS normal transforma domínio em IP, a busca reversa faz o caminho contrário — pega um IP e lista todos os domínios que apontam para ele. Isso é devastador para investigação. Se você tem o IP de um site suspeito, pode descobrir outros sites do mesmo proprietário hospedados no mesmo servidor. ### O caso real que eu contei na aula Eu já peguei quadrilha usando essa técnica. O caso foi assim: eu estava investigando um site de golpe — era um aplicativo de telefone fraudulento. Suspeitava de um indivíduo específico, mas não tinha certeza de que ele era o responsável. Fiz uma busca reversa de IP no servidor onde o site do golpe estava hospedado. E no mesmo servidor, encontrei um outro site — uma agência — com a foto do suspeito. O cara tinha um servidor compartilhado com os dois sites: o do golpe e o da agência pessoal dele. Isso acontece mais do que você imagina. As pessoas compartilham servidores para economizar. E quando fazem isso, deixam rastros que conectam atividades aparentemente separadas. ### Como fazer a busca reversa no ViewDNS 1. Acesse [viewdns.info](https://viewdns.info/) 2. Encontre a seção "Reverse IP Lookup" 3. Digite o endereço IP que você quer investigar 4. Veja a lista de todos os domínios hospedados naquele IP No desafio, quando fiz a busca reversa no IP do domínio hit.net, encontrei outros 8 domínios compartilhando o mesmo servidor. Isso confirmou que era um servidor compartilhado (shared hosting), não dedicado. ### Servidor compartilhado vs servidor dedicado — por que isso importa Em um [servidor compartilhado](https://brasilcloud.com.br/hospedagem-compartilhada-ou-dedicada-qual-e-a-melhor-opcao/), sites de donos diferentes dividem a mesma máquina física e o mesmo IP. É o plano mais barato de hospedagem — o tipo que você encontra na HostGator, na Locaweb, na Hostinger. Em um servidor dedicado, toda a máquina pertence a um único cliente. O IP é exclusivo. Para investigação, a diferença é grande: - **Servidor compartilhado:** A busca reversa pode retornar dezenas ou centenas de domínios, a maioria sem relação entre si. Mas se você encontrar dois sites do mesmo dono, a conexão fica evidente. - **Servidor dedicado:** Se a busca reversa retorna poucos domínios (1 a 5), é provável que todos pertençam ao mesmo proprietário. Cada domínio ali é uma pista. ## Como usar tags do Google Analytics para conectar sites ao mesmo dono O código do Google Analytics (formato UA-XXXXXXX-Y, ou G-XXXXXXXX no GA4) é um identificador único vinculado a uma conta Google. Quando o mesmo código aparece em dois sites diferentes, significa que ambos pertencem ao mesmo proprietário — ou pelo menos são gerenciados pela mesma pessoa. Eu demonstrei ao vivo como extrair essa tag usando a extensão [NerdyData](https://www.nerdydata.com/extension) no browser. Instalei a extensão, acessei o site investigado e cliquei no ícone da extensão. Apareceu o código do Google Analytics, do Google AdSense e outras tags de rastreamento. ### Por que isso é uma bomba investigativa Pensa comigo: um golpista cria 5 sites diferentes para aplicar fraudes. Ele usa o mesmo Google Analytics em todos porque quer acompanhar as métricas de todos os sites em um único painel. Esse código UA é a impressão digital que conecta os 5 sites. E vai além. O Google Analytics está registrado em um Gmail. O [Google AdSense](https://adsense.google.com) paga alguém — tem dados bancários vinculados. Quando uma autoridade solicita ao Google a quebra de sigilo daquele identificador, o Google coopera. Porque aquele Analytics, aquele AdSense, está registrado a uma pessoa real. Eu já encontrei 4 ou 5 sites do mesmo dono que compartilhavam o mesmo código de rastreamento. E não é só o Analytics — o [Facebook Pixel](https://www.facebook.com/business/tools/meta-pixel), o código do AdSense, qualquer tag de rastreamento pode ser o fio que conecta toda a operação. ### Como extrair tags de rastreamento de um site 1. Instale a extensão [NerdyData](https://www.nerdydata.com/extension) no Chrome ou Firefox 2. Acesse o site que você quer investigar 3. Clique no ícone da extensão 4. Procure por códigos que começam com "UA-" (Google Analytics Universal) ou "G-" (GA4) 5. Anote o código e pesquise se outros sites usam o mesmo identificador Mas tenho uma ressalva: o NerdyData piorou. Antes era totalmente gratuito, sem necessidade de criar conta. Agora exige registro. Eu tive que criar uma conta ao vivo durante a aula, o que me irritou um pouco. A alternativa é ler o código-fonte do site manualmente (Ctrl+U no browser) e buscar por "UA-" ou "gtag". ## Conectando sites aparentemente distintos via DNS No desafio do TryHackMe, eu precisei provar a conexão entre dois domínios: **hit.net** e **purchase.org**. A conexão foi encontrada através do histórico de DNS — ambos os domínios apontavam para servidores da mesma empresa: [Liquid Web](https://www.liquidweb.com). Quando verifiquei o histórico de IPs de hit.net no ViewDNS e comparei com o histórico de purchase.org, os dois tinham IPs pertencentes à Liquid Web. Mesmo servidor, mesma infraestrutura. Conexão confirmada. Esse tipo de análise comparativa é o que separa um investigador iniciante de um intermediário. Não basta encontrar dados — você precisa cruzar dados de fontes diferentes para estabelecer conexões. ### O passo a passo da conexão que eu demonstrei 1. Identifiquei o link externo para purchase.org dentro do conteúdo arquivado de hit.net (via Wayback Machine) 2. Consultei o histórico de IPs de hit.net no ViewDNS 3. Consultei o histórico de IPs de purchase.org no ViewDNS 4. Comparei os provedores de hospedagem — ambos usavam Liquid Web 5. Conexão estabelecida: mesma infraestrutura, mesmo provedor, provavelmente mesmo proprietário ## Investigação do domínio hit.net: um caso com histórico desde 1997 O domínio hit.net foi o segundo alvo do desafio. A Wayback Machine tinha capturas desse site desde **1º de junho de 1997**. Quase 30 anos de história digital. Ao percorrer as capturas ao longo dos anos, identifiquei que o site mudou de dono e de propósito em pelo menos duas ocasiões: - Na versão original, era uma empresa de jogos multiplayer online - Em 2001, aparecia uma mensagem de despedida: "After years of great gaming, it's time to say goodbye" - Em 2007, o domínio estava estacionado sem conteúdo real - Em 2010, tinha se tornado um site de aquecimento e refrigeração — empresa completamente diferente Essa mudança de proprietários é comum em domínios antigos. Domínios curtos e memoráveis como hit.net têm valor comercial e são revendidos repetidamente. ### O que esse caso ensina sobre investigação temporal Quando você investiga um domínio, precisa considerar que o dono de hoje pode não ser o dono de 5 anos atrás. E o conteúdo de 2010 pode não ter nenhuma relação com o conteúdo de 2020. Cada período temporal é uma investigação separada. No desafio, eu precisei identificar o segundo name server do domínio (via WHOIS), o IP em dezembro de 2011 (via ViewDNS IP History), a data da primeira captura no Archive.org (1º de junho de 1997), a primeira frase do último snapshot de 2001, a empresa responsável pela versão original do site, links internos vs links externos no conteúdo e a tag do Google Analytics. Cada pergunta exigia uma ferramenta diferente. E é isso que torna os desafios de CTF tão valiosos para o aprendizado — eles forçam você a alternar entre ferramentas e técnicas constantemente. ## Investigação de imagens: como descobrir onde uma foto foi tirada Investigação baseada em imagens (IMINT — Imagery Intelligence) é a arte de extrair informações de localização, contexto e identidade a partir de elementos visuais de uma fotografia. No TryHackMe, o desafio [Searchlight - IMINT](https://dev.to/l0wk3y/tryhackme-searchlight-imint-write-up-2ee8) é um dos melhores para praticar isso. Eu demonstrei ao vivo como analisar imagens para identificar locais. A técnica não é mágica — é observação sistemática. ### Caso 1: Identificando a estação Piccadilly Circus em Londres Recebi uma imagem de uma estação de metrô. Elementos que identifiquei: - A palavra "Circus" visível em um letreiro - Indicações de "Subway" e "Underground" (metrô de Londres) - Arquitetura característica de estações londrinas - Formato das placas de sinalização típico do Transport for London Combinei esses elementos em uma busca no Google: **"Subway Underground Circus London"**. O resultado: [Piccadilly Circus tube station](https://en.wikipedia.org/wiki/Piccadilly_Circus_tube_station). Confirmei no Google Maps comparando a fachada dos prédios com a imagem original. ### Caso 2: Aeroporto de Vancouver pelo código YVR Outra imagem mostrava um ambiente de aeroporto com o texto "YVR Connect" visível. YVR é o código IATA do aeroporto de Vancouver, Canadá. Identificação instantânea para quem conhece códigos de aeroporto — e uma busca rápida no Google para quem não conhece. ### Caso 3: Café turco em Edimburgo Uma imagem de um café com comida que parecia ser um "Turkish breakfast". A investigação envolveu identificar o tipo de comida (café da manhã turco), buscar por cafés turcos na cidade indicada pelo desafio (Edimburgo) e comparar a fachada e o interior do café com imagens no Google Maps. Chegou no local, qual é o telefone? Qual é o e-mail? Qual é o nome dos donos? Qual é o WhatsApp? É isso. Pensando de forma reversa — da imagem para a identidade. ### Caso 4: Hotel em Singapura via Street View No desafio Searchlight, uma das tarefas envolvia identificar um hotel em Singapura. O detalhe interessante (que aparece nos writeups da comunidade) é que o hotel já havia sido demolido — as imagens do Google Street View de 2024 mostravam o terreno vazio. Isso reforça uma lição: dados mudam, e o investigador precisa considerar a dimensão temporal de cada evidência. ### Metodologia para investigação de imagens 1. **Leia a imagem inteira:** Placas, letreiros, marcas, idiomas visíveis, tipo de vegetação, lado da rua em que os carros trafegam 2. **Identifique elementos únicos:** Códigos de aeroporto, nomes de estações, números de telefone, logotipos 4. **Construa buscas combinando elementos:** "Subway + Underground + Circus + London" é mais efetivo que buscar cada termo isoladamente 5. **Confirme no Google Maps / Street View:** Compare a perspectiva da foto com a vista do Street View 6. **Use busca reversa de imagens:** Arraste a imagem para o Google Imagens e veja se ela aparece em algum outro contexto Eu mencionei na aula que hoje, automaticamente, quando vejo uma foto de qualquer pessoa, já começo a analisar. É um hábito que se desenvolve com prática. E os desafios de IMINT no TryHackMe são perfeitos para construir esse hábito. Se você quer se aprofundar em [técnicas de investigação de pessoas](https://brunofraga.com/aulao-semanal/como-investigar-pessoas-na-internet-tecnicas-osint), a análise de imagens é uma habilidade que complementa perfeitamente a investigação textual. ## A importância de anotar tudo durante uma investigação Durante o aulão, eu criei um documento no [Notion](https://www.notion.so) ao vivo e compartilhei o link com os participantes. Cada dado que eu encontrava — IP, nome, empresa, telefone — ia direto para o documento. Isso não é frescura. Em uma investigação real, você pode passar horas coletando dados. Se não anotar de forma organizada, vai perder conexões que só aparecem quando você olha tudo junto. Eu uso o Notion, mas pode ser qualquer ferramenta: Google Docs, Obsidian, até um bloco de notas. O que importa é registrar cada descoberta com a fonte e a data. Quando você precisa montar um relatório ou apresentar evidências, ter tudo documentado faz a diferença entre um trabalho profissional e um amador. E confesso: investigar ao vivo com câmera é muito diferente de investigar normalmente. No meu dia a dia, fico no escuro, com 15 abas abertas, anotando de forma caótica. Na aula, preciso manter tudo organizado para que as pessoas acompanhem. É um desafio extra. ## Como começar a praticar investigação digital hoje Se você chegou até aqui, já tem conhecimento suficiente para começar. O caminho é direto: 1. Crie sua conta gratuita no [TryHackMe](https://tryhackme.com/) 2. Comece pelo desafio **WebOSINT** — ele ensina WHOIS, Wayback Machine e ViewDNS na prática 3. Depois faça o **Searchlight - IMINT** — ele desenvolve sua capacidade de análise de imagens 4. Use o [ICANN Lookup](https://lookup.icann.org/) para consultar domínios reais que você encontra no dia a dia 5. Explore o [ViewDNS.info](https://viewdns.info/) com domínios que você conhece — veja o histórico de IPs do seu próprio site 6. Instale a extensão [NerdyData](https://www.nerdydata.com/extension) e comece a observar as tags de rastreamento dos sites que você visita Mas não fique só nos desafios. Aplique no seu contexto. Se você é policial, advogado, jornalista, investigador particular — cada técnica que eu mostrei aqui tem aplicação direta no seu trabalho. O [ChatGPT também pode auxiliar](https://brunofraga.com/aulao-semanal/chatgpt-para-investigacao-digital) na organização e análise dos dados que você coleta. E se você está pensando em [iniciar carreira como investigador digital](https://brunofraga.com/aulao-semanal/como-iniciar-carreira-investigador-digital), esses desafios são o melhor portfólio que você pode construir. Resolva os CTFs, documente seu processo, publique writeups. Isso mostra competência prática. ## Ferramentas Utilizadas Neste Aulão | Ferramenta | Finalidade | Link | |---|---|---| | TryHackMe | Plataforma de desafios práticos de OSINT e cibersegurança com salas gratuitas | [TryHackMe](https://tryhackme.com/) | | ICANN WHOIS Lookup | Consulta de dados de registro de domínios (proprietário, registradora, telefone, name servers) | [ICANN Lookup](https://lookup.icann.org/) | | Wayback Machine (Archive.org) | Acesso a versões históricas de qualquer site da internet, mesmo que não exista mais | [Wayback Machine](https://web.archive.org) | | ViewDNS.info | Histórico de IPs de domínios, busca reversa de IP, ferramentas de investigação DNS | [ViewDNS.info](https://viewdns.info/) | | NerdyData | Extensão de browser para identificar tags de rastreamento (Google Analytics, AdSense) em sites | [NerdyData Extension](https://www.nerdydata.com/extension) | | Google Maps | Geolocalização e confirmação visual de locais identificados durante investigação de imagens | [Google Maps](https://maps.google.com) | | Notion | Ferramenta de anotações para organizar dados coletados durante a investigação | [Notion](https://www.notion.so) | | Shodan | Buscador de dispositivos conectados à internet (câmeras, servidores, IoT) | [Shodan](https://www.shodan.io/search/filters) | ## Perguntas Frequentes ### Como praticar investigação digital de graça? A melhor forma é usar plataformas de CTF como o [TryHackMe](https://tryhackme.com/), que oferece salas gratuitas com desafios de OSINT. Você recebe um alvo (domínio, imagem, cenário) e precisa responder perguntas usando técnicas de investigação. Ferramentas como [ICANN Lookup](https://lookup.icann.org/), [Wayback Machine](https://web.archive.org) e [ViewDNS.info](https://viewdns.info/) também são gratuitas. ### O que é CTF de OSINT e como funciona? [CTF (Capture the Flag)](https://en.wikipedia.org/wiki/Capture_the_flag_(cybersecurity)) é uma competição de cibersegurança onde participantes resolvem desafios para encontrar "flags" (respostas). No contexto de OSINT, os desafios envolvem investigar domínios, imagens e infraestrutura digital usando fontes abertas. Você recebe um alvo, investiga com ferramentas reais e submete as respostas na plataforma. ### Como investigar um site que não existe mais? Use a [Wayback Machine](https://web.archive.org) para acessar versões arquivadas do conteúdo, consulte o WHOIS via [ICANN Lookup](https://lookup.icann.org/) para ver dados de registro do domínio, e verifique o histórico de IPs no [ViewDNS.info](https://viewdns.info/). Um site fora do ar ainda possui registros de domínio, histórico de DNS e conteúdo arquivado que podem ser investigados. ### Como descobrir quem registrou um domínio? Faça uma consulta WHOIS no [ICANN Lookup](https://lookup.icann.org/) ou diretamente no terminal com o comando `whois nomedodominio.com`. Os resultados mostram a empresa registradora, dados de contato, name servers e datas de registro. Se o proprietário ativou privacidade WHOIS, os dados pessoais estarão ocultos, mas autoridades podem solicitar a quebra judicial desse sigilo. ### Como ver o histórico de um site na internet? Acesse [web.archive.org](https://web.archive.org) e digite a URL do site. A Wayback Machine mostra um calendário com todas as capturas feitas ao longo dos anos. Clique em uma data para ver como o site era naquele momento. No aulão, encontrei capturas do domínio hit.net desde 1º de junho de 1997. ### Como descobrir outros sites hospedados no mesmo servidor? Use a busca reversa de IP (reverse IP lookup) no [ViewDNS.info](https://viewdns.info/). Digite o endereço IP do servidor e a ferramenta lista todos os domínios que apontam para aquele IP. Em servidores compartilhados, isso pode revelar dezenas de sites — incluindo outros domínios do mesmo proprietário. ### Como fazer busca reversa de IP para investigação? Acesse [viewdns.info](https://viewdns.info/), encontre a seção "Reverse IP Lookup", digite o IP que você quer investigar e veja a lista de domínios. Essa técnica é especialmente útil em servidores compartilhados, onde sites dividem o mesmo IP. Eu já identifiquei quadrilhas inteiras usando essa técnica — encontrando sites pessoais do suspeito no mesmo servidor do site de golpe. ### Qual é o principal desafio na investigação de crimes virtuais? O maior desafio é a velocidade com que os crimes acontecem e a dificuldade de obtenção rápida de dados. Em minutos, valores são movimentados por dezenas de contas. Isso exige integração ágil entre investigadores, plataformas digitais e órgãos reguladores. Do lado técnico, a privacidade WHOIS, o uso de CDNs como Cloudflare e a hospedagem em jurisdições diferentes dificultam a identificação dos responsáveis. Se você quer entender mais sobre [como desvendar golpes na prática](https://brunofraga.com/aulao-semanal/investigacao-digital-casos-reais-golpe-olx), recomendo ler o artigo do aulão 003. ### Como descobrir a tag do Google Analytics de um site? Instale a extensão [NerdyData](https://www.nerdydata.com/extension) no browser, acesse o site e clique no ícone da extensão. Ela mostra o código do Google Analytics (formato UA-XXXXXXX ou G-XXXXXXXX), AdSense e outras tags. Alternativamente, abra o código-fonte do site (Ctrl+U) e busque por "UA-" ou "gtag". Essa tag está vinculada a um Gmail e pode conectar sites aparentemente distintos ao mesmo proprietário. ## Referências e Recursos - [TryHackMe — Plataforma de aprendizado em cibersegurança](https://tryhackme.com/) - [TryHackMe — OSINT Tools You Can Practise Safely](https://tryhackme.com/resources/blog/osint-tools-you-can-practise-safely) - [ICANN Lookup — Consulta WHOIS oficial](https://lookup.icann.org/) - [ICANN — WHOIS and Registration Data Directory Services](https://www.icann.org/resources/pages/whois-rdds-2023-11-02-en) - [Wayback Machine — Internet Archive Help Center](https://help.archive.org/help/using-the-wayback-machine/) - [ViewDNS.info — Ferramentas de investigação DNS](https://viewdns.info/) - [ViewDNS.info — Reverse IP Lookup API](https://viewdns.info/api/reverse-ip-lookup/) - [NerdyData — Extensão gratuita para análise de tecnologias](https://www.nerdydata.com/extension) - [NerdyData — Search Engine for Source Code](https://www.nerdydata.com/) - [Capture the Flag (cybersecurity) — Wikipedia](https://en.wikipedia.org/wiki/Capture_the_flag_(cybersecurity)) - [WHOIS — Wikipedia](https://en.wikipedia.org/wiki/WHOIS) - [Reverse IP Lookup — Hacker Target](https://hackertarget.com/reverse-ip-lookup/) - [Name Server — Wikipedia](https://en.wikipedia.org/wiki/Name_server) - [Piccadilly Circus tube station — Wikipedia](https://en.wikipedia.org/wiki/Piccadilly_Circus_tube_station) - [Shodan — What is Shodan?](https://help.shodan.io/the-basics/what-is-shodan) - [TryHackMe WebOSINT Writeup — Carson Shaffer](https://blog.carsonshaffer.me/tryhackme-webosint-writeup-9ad5fe108d8b) - [TryHackMe Searchlight IMINT Walkthrough — Jasper Alblas](https://www.jalblas.com/blog/tryhackme-searchlight-imint-walkthrough/) --- ### Aulão #016 — Desmascarando E-mails Fraudulentos: Do Cabeçalho Suspeito ao Takedown do Site Falso URL: https://brunofraga.com/aulao-semanal/como-investigar-emails-fraudulentos-ferramentas-tecnicas-avancadas Publicado: 2024-08-21 Tags: investigacao-digital, ciberseguranca, osint, tutoriais, hacking YouTube: https://www.youtube.com/watch?v=zc9OnPvibTk Neste aulão em vídeo com demonstração prática, Bruno Fraga mostra como investigar e-mails fraudulentos do zero: análise de cabeçalhos, verificação de SPF/DKIM/DMARC, rastreamento da origem real do remetente e como solicitar a derrubada de sites de phishing. Ferramentas e técnicas que você pode aplicar imediatamente. ## O que você vai aprender neste aulão Saber como investigar e-mails fraudulentos é a habilidade que separa quem cai em golpe de quem desmonta o golpe. Nesse aulão 16, eu demonstrei ao vivo — junto com o Antônio (@focoensec) — como analisar cabeçalhos de e-mail, verificar autenticação SPF/DKIM/DMARC, rastrear IPs de remetentes e até usar inteligência artificial para identificar phishing em segundos. Depois de ler este artigo, você vai conseguir abrir o cabeçalho de qualquer e-mail suspeito no Gmail, Outlook ou ProtonMail, verificar se a autenticação passou ou falhou, checar a reputação do IP de envio, analisar anexos sem se infectar e investigar sites de phishing usando bases de dados atualizadas a cada 90 minutos. Tudo com ferramentas gratuitas que eu mostrei funcionando na prática. E não estou falando de dicas genéricas tipo "verifique o remetente". Estou falando do método que investigadores profissionais usam — o mesmo tipo de análise que o FBI faz com equipe dedicada exclusivamente a e-mails. A diferença é que você não precisa ser do FBI para fazer isso. Precisa das ferramentas certas e do conhecimento que eu vou te passar agora. São 294 bilhões de e-mails enviados por dia no mundo, segundo dados da Statista/Radicati Group. E 91% dos ataques cibernéticos começam com um simples e-mail — dados publicados por empresas como Check Point Software e confirmados em relatórios de segurança globais. Sabendo disso, ignorar a investigação de e-mails é como deixar a porta da sua casa aberta e reclamar quando roubam. ## Por que investigar e-mails fraudulentos é a habilidade mais subestimada da segurança digital A investigação de e-mail phishing é subestimada porque a maioria das pessoas confia no que vê na tela. O nome do remetente diz "Bradesco"? Então é do Bradesco. Diz "Polícia Civil"? Então é da Polícia Civil. Só que não funciona assim. Eu já tive experiência direta com uma empresa da Avenida Paulista que pagava entre 12 e 14 milhões de dólares por ano em licenças de segurança — antivírus, firewalls, monitoramento, tudo de ponta. E sofreram um vazamento gigante por causa de um único e-mail. Um. Milhões de dólares em proteção, e o elo mais fraco foi um clique num e-mail que parecia legítimo. Mas não é só empresa grande que sofre. Os bancos, que têm equipes extraordinárias de segurança, reportam que 88% dos ataques a instituições bancárias acontecem via e-mail. E os próprios bancos afirmam: 98% das invasões vêm de cliques dos próprios clientes. Não é falha do sistema do banco. É o cliente abrindo a porta. O FBI tem uma equipe inteira dedicada exclusivamente à análise de e-mails. Eles rastrearam e-mails ameaçadores até endereços IP de remetentes, o que gerou discussão sobre privacidade e monitoramento de cidadãos. Mas o ponto aqui é outro: se o FBI dedica recursos específicos para isso, talvez você também devesse prestar atenção nos e-mails que recebe. ## Como funciona a estrutura de um e-mail: do visual ao código oculto Todo e-mail tem duas camadas: o que você vê (front-end) e o que está escondido (back-end). A parte visual — nome do remetente, assunto, corpo da mensagem — é só a superfície. Por trás existe um código completo que registra cada passo do e-mail, desde o servidor de origem até a sua caixa de entrada. ### Os campos obrigatórios de todo e-mail Todo e-mail carrega estes campos: - **From e To** — remetente e destinatário - **Data e hora** — timestamp do envio - **Assunto** — mesmo que esteja em branco, o campo existe (é obrigatório pelo protocolo) - **CC e CCO** — com cópia e com cópia oculta - **Corpo do e-mail** — o conteúdo visível - **Message ID** — um identificador único, como uma digital. Não existem dois iguais. Cada e-mail enviado gera um Message ID diferente, mesmo que o conteúdo seja idêntico E tem mais: plataformas como o [Streak](https://www.streak.com) permitem rastrear se e-mails enviados foram visualizados pelo destinatário, usando justamente o Message ID. Então esse identificador único não serve só para investigação — serve para monitoramento de comunicação corporativa também. ### O cabeçalho: o que o FBI realmente investiga Grava isso: **cabeçalho de e-mail**. É o grande segredo. É isso que o FBI investiga. É isso que qualquer investigador sério vai pedir. Se você um dia for fazer uma denúncia, o que vão solicitar é o cabeçalho. Não vão pedir print. Não vão pedir "me manda uma captura de tela do e-mail que você recebeu". O que conta é o cabeçalho — porque contra cabeçalhos não há argumentos. O cabeçalho registra o IP do servidor de envio, por quais servidores o e-mail passou, quanto tempo demorou cada salto, se passou nas verificações de autenticação e o caminho completo até chegar a você. É como um rastreio de encomenda, só que para mensagens eletrônicas. ## O que é spoofing de e-mail e por que a vulnerabilidade SMTP ainda existe Spoofing de e-mail é a técnica de forjar o campo "from" de um e-mail para se passar por outra pessoa ou empresa. Funciona porque o protocolo SMTP (Simple Mail Transfer Protocol) tem uma falha de design que nunca foi corrigida: ele não exige verificação do remetente no momento do envio. ### Demonstração ao vivo: enviando e-mail como "Polícia Civil" Nesse aulão, eu demonstrei isso ao vivo. Usei um site gratuito — o [Emkei's Fake Mailer](https://emkei.cz/) — que tem um campo "from" editável. No Gmail, esse campo não existe; o remetente é definido automaticamente pela sua conta. Mas em outras plataformas e servidores SMTP, você escreve o que quiser. Enviei um e-mail como "Bruno Inspetor", do endereço bruno@policiacivil.com.br, para o ProtonMail do Antônio. O e-mail chegou na caixa de entrada — não no spam. O Antônio abriu e lá estava: "Bruno Inspetor, policiacivil.com.br, Preciso falar com você." Por que não caiu no spam? Porque o domínio policiacivil.com.br provavelmente não tem chaves de autenticação (SPF, DKIM, DMARC) configuradas. Sem essas chaves, o provedor de e-mail não tem contra o que verificar. É como se não existisse um crachá para comparar — então o e-mail passa. Mas quando fizemos o mesmo teste com o domínio bradesco.com, o Gmail detectou o spoofing. Apareceu um aviso: "Este e-mail falhou na autenticação de domínio. Pode ter sido spoofado." Isso aconteceu porque o Bradesco tem SPF, DKIM e DMARC configurados. O Gmail verificou, não bateu, e alertou. ### Por que essa falha ainda existe Não existe uma regra na internet que impeça alguém de escrever qualquer endereço no campo "from" de um e-mail. Eu posso enviar um e-mail como bruno@fbi.gov, como bruno@casasbahia.com, como quem eu quiser. A proteção vem depois, na verificação — e só funciona se o domínio legítimo tiver configurado seus registros de autenticação. Eu trabalhei durante 3 meses em 2015 numa empresa que fazia prospecção por e-mail (para ser gentil com o termo). A gente disparava milhões de e-mails por dia. Eu criei um shell script que alternava automaticamente quando um IP era encontrado numa blacklist. Num dia, mandava 1 milhão de e-mails alternando entre 40 ou 50 IPs. Bloqueou um? Vai para o próximo. Enquanto remove da blacklist, já está usando outro. Era uma guerra constante. E até hoje é assim. Spammers profissionais usam múltiplos IPs, compram servidores na DigitalOcean, Amazon, Azure, criam contas em plataformas de envio com boa reputação. Algumas empresas de cloud já exigem solicitação para liberar a porta SMTP em contas novas — justamente para dificultar esse tipo de abuso. Mas não elimina o risco. ## Como acessar o cabeçalho de e-mail no Gmail, Outlook e ProtonMail Acessar o cabeçalho é o primeiro passo técnico da investigação. Cada plataforma tem seu caminho, mas o resultado é o mesmo: um bloco de código com todas as informações de rota, autenticação e servidores. ### No Gmail 1. Abra o e-mail suspeito 2. Clique nos três pontinhos (menu) no canto superior direito da mensagem 3. Clique em **"Mostrar original"** 4. O Gmail já mostra no topo, de forma formatada: SPF, DKIM e DMARC com o resultado (pass ou fail) 5. Abaixo, o cabeçalho completo em texto O Gmail é especialmente bom nisso. Ele já formata os resultados de autenticação no topo da visualização original, o que torna a leitura rápida mais prática. ### No Outlook 1. Abra o e-mail suspeito 2. Procure a opção **"Exibir origem da mensagem"** 3. O cabeçalho completo aparece em texto ### No ProtonMail 1. Abra o e-mail suspeito 2. Clique em **"View Headers"** (ou "Ver cabeçalhos" em português) 3. O cabeçalho completo aparece Mas não se assuste com o bloco de código. Existem ferramentas que formatam tudo isso de forma visual — e é exatamente o que vou mostrar agora. ## SPF, DKIM e DMARC: como verificar a autenticidade de um e-mail SPF, DKIM e DMARC são os três mecanismos de autenticação que determinam se um e-mail é legítimo. Quando os três mostram "pass", o e-mail veio de um servidor autorizado pelo domínio. Quando mostram "none" ou "fail", algo está errado. ### O que cada um faz **SPF (Sender Policy Framework)** — Define quais servidores têm permissão para enviar e-mails em nome de um domínio. É um registro DNS que lista os IPs autorizados. **DKIM (DomainKeys Identified Mail)** — Adiciona uma assinatura criptográfica ao e-mail. O servidor receptor verifica essa assinatura contra a chave pública no DNS do domínio. **DMARC (Domain-based Message Authentication, Reporting & Conformance)** — Combina SPF e DKIM e define uma política: o que fazer quando a verificação falha? Pode ser "none" (não fazer nada), "quarantine" (mandar para spam) ou "reject" (rejeitar completamente). **Return-Path** — O endereço para onde e-mails com erro de entrega são devolvidos. Em e-mails spoofados, o Return-Path geralmente não bate com o campo "from" — mais um indicador de fraude. ### Na prática: e-mail spoofado vs. e-mail legítimo Quando analisamos o cabeçalho do e-mail spoofado da "Polícia Civil" que eu enviei para o Antônio, o resultado foi claro: - SPF: **none** - DKIM: **none** - DMARC: **none** Nenhuma autenticação. Zero. Já no e-mail legítimo que comparamos, os três mostravam **pass**. A diferença é gritante. E quando testamos o spoofing com o domínio do Bradesco, o resultado foi DMARC **fail** e Authentication **fail**. O Gmail detectou e exibiu o aviso de segurança. ### Como verificar as configurações de um domínio Você pode verificar se qualquer domínio tem SPF e DMARC configurados usando validadores online. Nesse aulão, testamos o domínio focoensec.com.br do Antônio — e não tinha nenhum registro configurado. Qualquer pessoa poderia enviar e-mails se passando por ele. Já o brunofraga.com estava totalmente configurado: SPF com Google e [ActiveCampaign](https://www.activecampaign.com) autorizados, DKIM com chave válida e DMARC com política **reject** — ou seja, qualquer e-mail não autorizado é rejeitado na hora. Eu uso o [GlockApps](https://glockapps.com) para receber relatórios mensais de servidores que tentaram usar meu domínio sem autorização. É um serviço pago, mas me dá visibilidade total sobre quem está tentando se passar por mim. ## Ferramentas para analisar cabeçalhos de e-mail de forma visual Ler cabeçalhos em texto puro não é para todo mundo. Por isso existem ferramentas que formatam essas informações de forma visual, destacando o que importa. ### Google Admin Toolbox — Message Header O [Google Admin Toolbox](https://toolbox.googleapps.com/apps/main/) tem uma ferramenta chamada Messageheader. Você copia o cabeçalho completo do e-mail, cola na ferramenta e clica em "Analisar cabeçalho". Ela mostra: - Message ID único - Horário de envio e tempo de entrega (no caso do e-mail spoofado, foram 11 segundos) - Cada "salto" do e-mail entre servidores, com tempo de cada um - Resultado de SPF, DKIM e DMARC de forma clara - Possíveis atrasos e qual servidor causou o delay Quando colamos o cabeçalho do e-mail spoofado, o resultado foi direto: SPF none, DKIM none, DMARC none. Sem autenticação nenhuma. E tem um detalhe prático: se alguém na sua empresa reclamar que um e-mail atrasou, você pode pegar o cabeçalho e jogar nessa ferramenta para ver exatamente onde foi o atraso e quanto tempo demorou cada salto. ### Azure Message Header Analyzer O [Message Header Analyzer da Microsoft](https://mha.azurewebsites.net/) é uma alternativa que funciona bem com ProtonMail, Yahoo e outros provedores. Você cola o cabeçalho e ele formata os resultados mostrando subject, remetente e status de autenticação. Quando analisamos o e-mail spoofado nessa ferramenta, o resultado confirmou: não passou na validação. Mesma conclusão, ferramenta diferente. Eu recomendo usar as duas. Não por redundância, mas porque cada uma apresenta os dados de forma ligeiramente diferente, e às vezes um detalhe que passa despercebido numa aparece na outra. ## Como verificar a reputação de um IP com AbuseIPDB e MX Toolbox Depois de extrair o IP do cabeçalho do e-mail, o próximo passo é verificar a reputação desse IP. Um IP limpo pode indicar um servidor legítimo. Um IP com centenas de reportes indica spam, phishing ou atividade maliciosa. ### AbuseIPDB O [AbuseIPDB](https://www.abuseipdb.com) é um projeto dedicado a ajudar administradores de sistemas a verificar e reportar IPs envolvidos em atividade maliciosa — spam, tentativas de hack, ataques DDoS e mais. Quando jogamos o IP do servidor que enviou o e-mail spoofado, o resultado foi: **214 reportes** de spam para aquele IP. Alguém já tinha reportado 2 meses antes. Se fosse realmente da Polícia Civil, obviamente não teria nenhum reporte de spam. Você pode verificar qualquer IP — inclusive o da sua própria casa — para ver se em algum momento foi usado para envio de spam, brute force ou outros abusos. ### MX Toolbox O [MX Toolbox](https://mxtoolbox.com/blacklists.aspx) permite verificar se um IP está em blacklists. Ele testa contra mais de 100 blacklists de DNS. No nosso teste, o IP do site de envio estava listado na Sorbs Spam. Mas atenção: quando dezenas de pessoas usam o mesmo site de demonstração ao mesmo tempo (como aconteceu durante o aulão), o IP pode entrar em blacklist rapidamente por excesso de uso. Isso não invalida a ferramenta — só mostra como o sistema de reputação funciona em tempo real. ## Como analisar anexos e PDFs suspeitos sem se infectar Anexos são o segundo vetor de ataque mais comum em e-mails fraudulentos. E os criminosos estão ficando espertos: colocam senha nos PDFs para que nenhum antivírus consiga escanear o conteúdo. ### O truque do PDF com senha Nesse aulão, analisamos um PDF falso do Bradesco com senha "1010". Quando jogamos no [VirusTotal](https://www.virustotal.com) para escanear, o resultado foi: **nenhum antivírus detectou**. Zero detecções em mais de 90 engines. Por quê? Porque o PDF estava criptografado com senha. Nenhum antivírus, por melhor que seja, consegue ver o que tem dentro de um PDF protegido por senha. Os criminosos sabem disso. É por isso que colocam senha — não para "proteger" o documento, mas para cegar os antivírus. ### VirusTotal vs. URLScan.io: por que usar mais de uma ferramenta Quando escaneamos a URL do site de phishing bancário no VirusTotal, ele deu como **limpo**. Mais de 90 antivírus olharam e disseram: "sem problema". Mas quando jogamos a mesma URL no [URLScan.io](https://urlscan.io/about/), o resultado foi diferente: **malicioso**. O Google classificou como malicioso dentro do URLScan. Essa é a grande lição: você não pode confiar em apenas uma ferramenta. Precisa confiar na sua análise e usar mais de um veredito. O URLScan.io é especialmente útil porque ele acessa o site suspeito remotamente — você não precisa abrir no seu browser. Ele tira screenshot, mostra redirecionamentos, classifica o risco e exibe todo o comportamento da página. No nosso caso, ele mostrou que o site fazia um redirecionamento para outro domínio — comportamento típico de phishing. ### Como copiar links sem clicar Uma técnica simples que pouca gente conhece: clique com o **botão direito** no link suspeito e selecione **"Copiar endereço do link"**. Assim você pega a URL sem abrir nada. Daí cola no VirusTotal ou URLScan.io para análise segura. ### FOCA: extraindo metadados de documentos O [FOCA (Fingerprinting Organizations with Collected Archives)](https://github.com/ElevenPaths/FOCA) é um software gratuito que extrai metadados de documentos — PDF, DOC, entre outros. Ele revela informações como username do criador, nome do computador, pasta de origem, data de criação e modificação. No nosso teste, o FOCA revelou que o PDF foi criado por um computador chamado "Só Cola" (era um ambiente de teste, mas imagine isso num cenário real — o nome do computador do criminoso exposto nos metadados). Também mostrou a URL de onde o PDF foi gerado e a pasta de origem. Mas cuidado: o FOCA é um software para Windows e o repositório no GitHub não recebe atualizações frequentes. Funciona bem para o que se propõe, mas não espere interface moderna. ## Como usar o ChatGPT para analisar cabeçalhos de e-mail Inteligência artificial pode automatizar a análise de cabeçalhos de e-mail em segundos. No aulão, demonstramos isso ao vivo com o ChatGPT e o resultado impressionou até o Antônio. ### Passo a passo da análise com IA 1. Abra o e-mail suspeito e acesse o cabeçalho (como mostrei antes) 2. Copie o cabeçalho completo 3. Abra o [ChatGPT](https://chat.openai.com) 4. Cole o cabeçalho e peça: "Por favor, analise este e-mail e me diga o que você acha" 5. Em segundos, você tem o veredito Quando colamos o cabeçalho do e-mail spoofado da "Polícia Civil", o ChatGPT identificou em **3 segundos** que: - O e-mail parecia suspeito - Usou criptografia, mas não passou na autenticação - SPF, DKIM e DMARC não foram verificados com sucesso - Não foi a Polícia Civil que enviou - A falta de autenticação indica que o e-mail pode ser falso Tudo que fizemos manualmente — verificar SPF, DKIM, DMARC, analisar o IP — o ChatGPT fez automaticamente em segundos. E você pode continuar perguntando: "Qual IP disparou esse e-mail?" E ele responde com a linha exata do cabeçalho. Mas não use o ChatGPT como substituto da sua análise. Use como ferramenta de triagem rápida. Ele é excelente para uma primeira avaliação, mas você precisa saber interpretar os resultados para casos mais complexos. ### O caso do boleto legítimo com remetente fraudulento Um seguidor me relatou um caso interessante: recebeu uma cobrança do Mercado Pago com cabeçalhos totalmente autênticos — SPF pass, DKIM pass, tudo legítimo. Mas o boleto era de um golpista que criou uma conta real no Mercado Pago usando a mesma razão social e CNPJ de uma empresa legítima. Nesse caso, a análise de cabeçalho sozinha não resolve. O e-mail é tecnicamente legítimo — foi enviado pelos servidores reais do Mercado Pago. O golpe está na conta, não no e-mail. E isso mostra uma limitação importante: golpistas estão evoluindo e criando contas reais em plataformas de pagamento para emitir cobranças fraudulentas com autenticação legítima. ## Como investigar e derrubar sites de phishing na prática Investigar sites de phishing é uma das experiências mais formativas que um profissional de segurança pode ter. Eu era viciado nisso. Abria dezenas de páginas de phishing, fazia enumeração de diretórios e encontrava os arquivos de log dos criminosos. ### A anatomia de um site de phishing amador A maioria dos criminosos de phishing é amadora. Eles criam formulários de captura (aquela página falsa do banco pedindo agência e conta) e salvam os dados em arquivos de texto no próprio servidor. Eu encontrava arquivos como: - recebido.txt - entrada.txt - log.txt - painel/cartões.txt - dados.php (com output em texto plano) Basta fazer enumeração de diretórios — testar caminhos comuns no browser — e você encontra os logs expostos. Dentro desses arquivos estão os dados das vítimas e, frequentemente, informações que levam ao criminoso. ### Sites legítimos hackeados para hospedar phishing No aulão, abrimos mais de 10 sites de phishing do CSV do PhishStats e encontramos um padrão preocupante: sites brasileiros legítimos que foram hackeados para hospedar phishing. O site ake.com.br, por exemplo, era uma loja real de vendas. Alguém invadiu a hospedagem e upou uma página de phishing bancário. Resultado? O site inteiro foi banido por todos os browsers. O negócio legítimo foi destruído por uma falha de segurança que permitiu a invasão. Outro caso: o site de Rafael Paes, uma empresa de consultores de TI, foi hackeado com uma página de phishing de "pacote para agendar entrega". E quando investigamos mais a fundo, encontramos um documento de cybercrime da República Tcheca que já documentava o mesmo golpe — mostrando que era uma operação internacional. E remover o aviso de "site perigoso" do Google depois de ser hackeado é trabalhoso e demorado. O dano à reputação é real. ### Técnicas avançadas de investigação de phishing Quando encontro um site de phishing, meu processo vai além de só reportar: 1. **Busca reversa de favicon** — Pego o favicon (ícone do site) e busco a hash no [Shodan](https://www.shodan.io) para encontrar outros servidores com o mesmo ícone. Isso revela infraestrutura relacionada. 2. **Pesquisa por identificadores** — Copio textos específicos do golpe (frases, tracking codes, identificadores) e pesquiso no Google. Isso encontra outros sites da mesma quadrilha usando o mesmo template. 3. **Enumeração de diretórios** — Testo caminhos comuns para encontrar logs, painéis administrativos e arquivos expostos. 4. **Leitura de metadados de imagens** — Imagens usadas no phishing podem conter metadados que revelam informações sobre o criador. 5. **Contato com a hospedagem** — Envio e-mail para abuse@ da empresa de hospedagem informando sobre o phishing. Geralmente em 48 a 72 horas o site é derrubado. ## PhishStats: monitorando phishing em tempo real no mundo todo O [PhishStats](https://phishstats.info/) é o principal projeto global de monitoramento de sites de phishing. Desde 2014, ele reúne reportes e identificações de phishing no mundo todo, com dados atualizados a cada 90 minutos. A cada 90 minutos, o PhishStats gera um novo CSV com sites de phishing identificados. Cada entrada contém data, horário, URL e informações sobre o phishing. No aulão, abri o CSV do dia e fui abrindo os sites listados — páginas clonadas do Facebook/Messenger, sites brasileiros hackeados hospedando phishing bancário, golpes de "pacote para agendar entrega" com checkout para pagamento, links do Bitly já bloqueados por redirecionarem para phishing. O PhishStats também oferece um dashboard com métricas globais e API para consulta programática. Para quem quer automatizar monitoramento de phishing, é uma fonte de dados indispensável. Eu aprendi muito investigando phishing na prática. Foram noites sem dormir seguindo rastros, encontrando conexões entre sites, descobrindo operações internacionais. E tem um lado prático também: sites hackeados que aparecem no PhishStats são potenciais clientes para quem trabalha com segurança. "Vi que seu site foi invadido e está hospedando phishing. Posso ajudar a resolver." É prospecção legítima baseada em dados reais. ## Como proteger seu domínio contra spoofing de e-mail Proteger seu domínio é configurar SPF, DKIM e DMARC nos registros DNS. Sem isso, qualquer pessoa pode enviar e-mails se passando por você. **SPF** — Liste todos os servidores autorizados a enviar e-mails pelo seu domínio. No meu caso (brunofraga.com), autorizo apenas o Google e o ActiveCampaign. **DKIM** — Configure a chave criptográfica que assina seus e-mails. O servidor receptor verifica essa assinatura para confirmar que o e-mail não foi alterado. **DMARC** — Defina a política de rejeição. Eu uso "reject" — qualquer e-mail não autorizado é rejeitado na hora. Não vai para spam, não vai para quarentena. É rejeitado. O [BIMI (Brand Indicators for Message Identification)](https://bimigroup.org/) é uma evolução da autenticação de e-mail. Ele permite que sua logo e um selo de verificação apareçam dentro do Gmail e Hotmail quando o destinatário recebe seu e-mail. Para obter o BIMI, você precisa ter DMARC configurado com política estrita, histórico de compliance, e pagar uma licença anual de aproximadamente $300 para o certificado VMC (Verified Mark Certificate). Eu estou no processo de obter essa certificação para o brunofraga.com. Mas o BIMI não é para todo mundo. É mais relevante para empresas que enviam e-mails em volume e precisam de reconhecimento visual de marca. Para uso pessoal, SPF + DKIM + DMARC com política reject já resolve. ## Ferramentas Utilizadas Neste Aulão | Ferramenta | Finalidade | Link | |---|---|---| | AbuseIPDB | Verificar reputação de IPs — reportes de spam, phishing, brute force | [AbuseIPDB](https://www.abuseipdb.com) | | Google Admin Toolbox — Message Header | Analisar cabeçalhos de e-mail de forma visual e formatada | [Google Admin Toolbox](https://toolbox.googleapps.com/apps/main/) | | Azure Message Header Analyzer | Alternativa para análise de cabeçalhos, funciona com ProtonMail e Yahoo | [MHA Azure](https://mha.azurewebsites.net/) | | VirusTotal | Escanear URLs e arquivos com múltiplos antivírus | [VirusTotal](https://www.virustotal.com) | | URLScan.io | Acessar sites suspeitos remotamente sem abrir no seu browser | [URLScan.io](https://urlscan.io/about/) | | FOCA | Extrair metadados de documentos (PDF, DOC) — username, computador, datas | [FOCA no GitHub](https://github.com/ElevenPaths/FOCA) | | ChatGPT | Analisar cabeçalhos de e-mail automaticamente com inteligência artificial | [ChatGPT](https://chat.openai.com) | | PhishStats | Base de dados global de phishing com CSVs atualizados a cada 90 minutos | [PhishStats](https://phishstats.info/) | | MX Toolbox | Verificar blacklists de IP e diagnóstico de DNS | [MX Toolbox](https://mxtoolbox.com/blacklists.aspx) | | Streak | Rastrear visualização de e-mails enviados via Message ID | [Streak](https://www.streak.com) | | Emkei's Fake Mailer | Demonstração de vulnerabilidade SMTP com campo "from" editável | [Emkei.cz](https://emkei.cz/) | | GlockApps | Relatórios de tentativas de uso não autorizado do seu domínio | [GlockApps](https://glockapps.com) | | Shodan | Buscar servidores pela hash do favicon para encontrar infraestrutura relacionada | [Shodan](https://www.shodan.io) | ## Perguntas Frequentes ### Como saber se um e-mail é falso ou verdadeiro? Abra o cabeçalho do e-mail (no Gmail: três pontinhos > Mostrar Original) e verifique os resultados de SPF, DKIM e DMARC. Se os três mostram "pass", o e-mail veio de um servidor autorizado. Se mostram "none" ou "fail", o e-mail é suspeito ou forjado. ### O que é spoofing de e-mail e como funciona? Spoofing é a técnica de forjar o campo "from" de um e-mail para se passar por outra pessoa. Funciona por causa de uma vulnerabilidade do protocolo SMTP que permite escrever qualquer endereço como remetente. A proteção depende das configurações de autenticação (SPF, DKIM, DMARC) do domínio legítimo. ### Como ver o cabeçalho de um e-mail no Gmail? No Gmail, abra o e-mail, clique nos três pontinhos no canto superior direito e selecione "Mostrar original". O Gmail exibe SPF, DKIM e DMARC formatados no topo, e o cabeçalho completo abaixo. ### O que é SPF, DKIM e DMARC? SPF define quais servidores podem enviar e-mails por um domínio. DKIM adiciona uma assinatura criptográfica ao e-mail. DMARC combina os dois e define a política de rejeição quando a verificação falha. Juntos, são os três pilares da autenticação de e-mail. ### Como rastrear o IP de quem enviou um e-mail? Abra o cabeçalho do e-mail e procure o campo "Received" — ele mostra os IPs dos servidores por onde o e-mail passou. O IP do servidor de envio pode ser verificado no [AbuseIPDB](https://www.abuseipdb.com) para checar reputação e histórico de abusos. ### É possível enviar e-mail se passando por outra pessoa? Sim. A vulnerabilidade de SMTP permite forjar o campo "from" de qualquer e-mail. Sites como o Emkei.cz demonstram isso. A proteção depende do domínio legítimo ter SPF, DKIM e DMARC configurados — sem isso, o e-mail forjado pode chegar na caixa de entrada sem nenhum aviso. ### Como denunciar um site de phishing? Identifique a empresa de hospedagem do site (via WHOIS ou cabeçalhos HTTP) e envie e-mail para abuse@ dessa empresa informando a URL do phishing. Geralmente o site é derrubado em 48 a 72 horas. Você também pode reportar no Google Safe Browsing e no PhishStats. ### Como usar inteligência artificial para investigar e-mails? Copie o cabeçalho completo do e-mail suspeito e cole no ChatGPT pedindo análise. Em segundos, ele identifica se o e-mail passou na autenticação, qual IP disparou, e se há indicadores de fraude. Use como triagem rápida, não como substituto da análise manual. ## Referências e Recursos - [AbuseIPDB — FAQ e funcionalidades](https://www.abuseipdb.com/faq.html) - [Google Admin Toolbox](https://toolbox.googleapps.com/apps/main/) - [Message Header Analyzer — Microsoft Learn](https://learn.microsoft.com/en-us/connectivity-analyzer/message-header-analyzer) - [PhishStats — Phishing Intelligence & Cybercrime Data](https://phishstats.info/) - [PhishStats — API Documentation](https://phishstats.info/api-docs) - [FOCA — GitHub (ElevenPaths)](https://github.com/ElevenPaths/FOCA) - [URLScan.io — About](https://urlscan.io/about/) - [MX Toolbox — Blacklist Check](https://mxtoolbox.com/blacklists.aspx) - [BIMI — Brand Indicators for Message Identification (Twilio)](https://www.twilio.com/en-us/blog/insights/what-is-bimi) - [BIMI — DigiCert FAQ](https://www.digicert.com/faq/email-trust/what-is-bimi-and-why-is-it-important) - [Email Sender Guidelines — Google Workspace](https://support.google.com/a/answer/81126?hl=en) - [FBI — Business E-Mail Compromise](https://www.fbi.gov/news/stories/business-e-mail-compromise-on-the-rise) - [Forbes — FBI Warns Gmail and Outlook Users](https://www.forbes.com/sites/zakdoffman/2025/12/02/fbi-warns-gmail-and-outlook-users-do-not-click/) - [Statista — Number of e-mails per day worldwide 2018-2028](https://www.statista.com/statistics/456500/daily-number-of-e-mails-worldwide/) - [91% of cyber attacks start with an email — LinkedIn](https://www.linkedin.com/posts/marcelvelica_91-of-cyber-attacks-start-with-an-email-activity-7334549581176672257-Eo4m) - [Check Point — 90% dos ataques começam com phishing](https://inforchannel.com.br/2024/04/24/check-point-software-alerta-90-dos-ataques-a-empresas-comecam-com-um-e-mail-de-phishing/) - [GlockApps — Pricing e funcionalidades](https://glockapps.com/pricing/) - [Emkei's Fake Mailer](https://emkei.cz/) - [Streak — CRM for Gmail](https://www.streak.com) --- ### Aulão #015 — Seu primeiro passo no Linux: do zero ao servidor web funcionando URL: https://brunofraga.com/aulao-semanal/linux-para-iniciantes-passo-a-passo Publicado: 2024-08-20 Tags: tutoriais, ciberseguranca, hacking YouTube: https://www.youtube.com/watch?v=ciyRfi-S9vw Neste aulão em vídeo, Bruno Fraga guia você do absoluto zero no Linux até subir um servidor web Apache, tudo com demonstração prática no terminal. Aprenda os comandos essenciais, entenda as distribuições e descubra por que o Linux é indispensável no mercado de cibersegurança. ## O que você vai aprender neste aulão Linux para iniciantes não precisa ser aquele caminho doloroso de decorar 300 comandos e colar uma tabela na parede. Nesse aulão 015, eu demonstrei ao vivo — do zero — como usar o terminal Linux, percorrer pastas, criar e editar arquivos, buscar informações no sistema e, no final, subir um servidor web real com Apache na nuvem. Tudo sem decorar nada. Eu quero que você saia deste artigo sabendo fazer coisas no Linux. Não sabendo recitar comandos. A diferença é gigante. Quando você cria uma necessidade real — "preciso montar um servidor", "preciso encontrar um arquivo", "preciso filtrar um log" — o aprendizado gruda. E foi exatamente assim que eu conduzi essa aula com mais de 1.200 pessoas assistindo ao vivo. Você vai aprender como se mover pelo terminal, criar pastas e arquivos, editar texto com o Nano, usar o pipe para encadear comandos, buscar arquivos com find, filtrar resultados com grep, instalar software com apt, conectar em servidores remotos via SSH e analisar logs de acesso. Tudo isso na prática, com exemplos que eu executei ao vivo. E no final, mostro como usar o [ExplainShell](https://explainshell.com) e o [ChatGPT](https://chat.openai.com) para acelerar seu aprendizado sem depender de ninguém. Se você quer entrar no mercado de trabalho de tecnologia, este artigo é o seu ponto de partida. ## Por que aprender Linux: o sistema que roda na maioria dos servidores do mundo Linux está presente em mais de 83% dos servidores corporativos, segundo [estudo publicado pelo Canaltech](https://canaltech.com.br/linux/Estudo-mostra-que-83-das-empresas-executam-Linux-em-seus-servidores/). Dados compilados em 2025/2026 pela [CommandLinux](https://commandlinux.com/statistics/linux-server-market-share/) apontam que 78,5% dos desenvolvedores usam Linux e 90,1% dos desenvolvedores cloud-native trabalham sobre ele. Eu sempre falo: Linux literalmente mudou a minha vida. E quando alguém me pergunta "Bruno, eu quero entrar no mercado de trabalho de tecnologia, qual o caminho mais rápido?", eu respondo sem hesitar: Linux. Faltam profissionais de suporte, de administração de servidores, de configuração, de deploy, de DevOps. Tem muita oportunidade no mercado. Pensa comigo. Todo JavaScript, todo Node, todo Python, todo Nginx roda no Linux. As vagas de Dev Full Stack, de programador Python, de engenheiro de machine learning — todas dependem de Linux por baixo. Mas quase ninguém fala disso. As pessoas olham para a vaga de React com salário alto e não percebem que o servidor onde aquele React roda é um Linux. E não para aí. Android é Linux. IoT roda kernel Linux. Servidores que mineram criptomoedas rodam Linux. O próprio Windows 11 tem o [WSL — Windows Subsystem for Linux](https://blogs.windows.com/windowsdeveloper/2025/05/19/the-windows-subsystem-for-linux-is-now-open-source/) embutido. Linux está em tudo. Tem muito hacker que foca no hacking, invade o servidor num pen-test ético, ganha acesso — e o que encontra? Linux. Se o profissional não sabe Linux, fica travado depois de uma invasão bem-sucedida. E tem muito investigador digital que começa a trabalhar com ferramentas de linha de comando e descobre que são todas para Linux. Dominar o terminal não é diferencial — é fundamento. ## O que é Linux e a história do GNU/Linux explicada de forma simples Linux é um sistema operacional de código aberto e gratuito amplamente utilizado em computadores, servidores, dispositivos integrados e smartphones. O kernel (núcleo do sistema) foi criado por Linus Torvalds em 1991. Antigamente existia uma grande discussão sobre GNU/Linux. O [projeto GNU foi fundado por Richard Stallman](https://www.gnu.org/gnu/gnu.pt-br.html) nos anos 1980 com o objetivo de criar um sistema operacional completamente livre. Os desenvolvedores do GNU criaram compiladores, editores de texto e utilitários de sistema — mas faltava o kernel. Quando Linus Torvalds criou o kernel Linux, as peças se juntaram: programas GNU + kernel Linux = sistema operacional completo. Eu era muito envolvido nessa discussão. Em 2017, eu tinha um canal no YouTube (que foi banido) onde meu conteúdo principal era explicar licenças de software livre e a diferença entre GNU e Linux. Usava camisa de open source, falava de open stack, era realmente viciado nesse tema. Mas a percepção mudou muito. Hoje a distinção GNU/Linux não gera mais tanta polêmica. O importante é entender que Linux nasceu da filosofia de código aberto — qualquer pessoa pode contribuir, clonar, melhorar e redistribuir. Tem um [comercial da IBM de 2003](https://www.youtube.com/watch?v=x7ozaFbqg00) que ilustra isso perfeitamente. Dezenas de pessoas — incluindo uma referência ao Einstein, um músico, um professor — ensinam coisas a um menino. No final, perguntam o nome dele. A resposta: "His name is Linux." A ideia é que Linux é algo que dezenas de pessoas vão ensinando, melhorando, e que vai crescendo com inteligência coletiva. ## Qual distribuição Linux escolher: Ubuntu, Kali, Debian ou outra? A escolha da distribuição depende do seu objetivo. Não existe melhor ou pior — existe a mais adequada para o que você quer fazer. Por que existem tantas distribuições? Porque Linux é código aberto. Qualquer pessoa pode pegar o Ubuntu, o Debian ou qualquer outro, mudar o papel de parede, instalar softwares, configurar o sistema, dar um nome e compartilhar. E assim nascem as distribuições. O [Kali Linux](https://www.kali.org), por exemplo, foi criado pela [Offensive Security](https://en.wikipedia.org/wiki/Offensive_Security) — uma empresa global de segurança. Eles pegaram o Debian, adicionaram centenas de ferramentas de hacking e pen-test, configuraram tudo e compartilharam como Kali Linux. Simples assim. Para dar uma ideia de como qualquer pessoa pode criar uma distro: existe até o [Hannah Montana Linux](https://www.xda-developers.com/i-tried-hannah-montana-linux-in-2025/). Alguém fez. Funciona? Funciona. É prático? Provavelmente não. Mas demonstra o poder do código aberto. Aqui vai minha visão sobre as distribuições mais comuns: - **Ubuntu** — Popular, fácil de instalar, boa documentação. Muito usado em servidores. Mas tem uma empresa por trás (Canonical) que rastreia algumas coisas, então se privacidade é prioridade máxima, talvez não seja a primeira escolha. - **Debian** — Base do Ubuntu e do Kali. Mais estável, mais "puro". Boa escolha para servidores de produção. - **Kali Linux** — Focado em segurança e hacking. Não é para uso diário — é ferramenta de trabalho para pen-testers e investigadores. - **[Pop!_OS](https://system76.com/pop/)** — Baseado em Ubuntu, desenvolvido pela System76. Eu instalei no meu notebook Dell pessoal e estou gostando bastante. Sistema bonito, simples de usar, bem configurado. Boa opção para quem quer Linux no desktop. - **Tails** — Configurado para privacidade máxima. Roda de um pendrive, não deixa rastros. - **Fedora / CentOS** — Mais usados em ambientes corporativos Red Hat. Mas o ponto principal é: os fundamentos são os mesmos em todas. Os comandos que eu vou te ensinar aqui funcionam no Ubuntu, no Kali, no Debian, no Fedora. Muda alguma coisa de estrutura, de gerenciador de pacotes, mas a base é a mesma. ## Como instalar Linux em uma máquina virtual A forma mais fácil de começar com Linux em 2026 é usando uma máquina virtual. Você não precisa formatar seu computador nem fazer dual boot. No aulão eu mostrei duas opções: **Para usuários Mac — [Parallels](https://www.parallels.com):** Eu uso Parallels no MacBook. Com um clique eu crio uma máquina virtual e rodo Kali Linux. É simples assim — ele baixa, instala e configura automaticamente. **Para usuários Windows — [VirtualBox](https://www.virtualbox.org):** O VirtualBox é gratuito e funciona muito bem. Duas coisas importantes na instalação: 1. Faça o download da versão correta para seu sistema em [virtualbox.org](https://www.virtualbox.org) 2. Depois de instalar, volte ao site e instale o **Extension Pack** — ele adiciona suporte a USB 2.0, criptografia de disco virtual e melhor performance de virtualização Para o Kali Linux especificamente, você nem precisa instalar do zero. No site [kali.org](https://www.kali.org), em Downloads > Virtual Machine, tem uma imagem pronta para o VirtualBox. Você baixa, abre no VirtualBox e está pronto para usar. E se você está no Windows 11, existe também o [WSL — Windows Subsystem for Linux](https://devblogs.microsoft.com/commandline/the-windows-subsystem-for-linux-in-the-microsoft-store-is-now-generally-available-on-windows-10-and-11/), que permite rodar Linux diretamente dentro do Windows. Em maio de 2025 o WSL se tornou open source, o que mostra o quanto a Microsoft abraçou o Linux. ## Como aprender Linux da forma certa: sem decorar comandos Você nunca vai aprender Linux tendo que decorar para um dia usar. Você precisa criar necessidade de aprender Linux, de fazer algo no Linux. Essa é a frase mais importante deste artigo. Se você pesquisar "comandos Linux" na internet, vai encontrar aquelas tabelas gigantes com 50, 100 comandos. Tem gente que cola isso na parede e tenta memorizar. Não funciona. Eu sei porque eu tentei. O que funciona é se desafiar. Você quer criar 20 arquivos numerados? Pesquisa como fazer. Quer filtrar um IP específico de um log? Pesquisa como fazer. Quer editar um arquivo de configuração? Pesquisa como fazer. Quando você aprende resolvendo um problema real, você nunca mais esquece. Nesse aulão eu demonstrei isso ao vivo. Eu não sabia de cabeça como voltar ao diretório anterior no terminal. Sabe o que eu fiz? Abri o [ChatGPT](https://chat.openai.com) e perguntei. A resposta: `cd -`. Pronto. Aprendi na hora, no contexto, com necessidade real. ### Quatro ferramentas para aprender sem decorar **1. O comando `apropos`** — Pesquisa na documentação do sistema. Quer criar um diretório e não sabe o comando? Digite `apropos create directory` e o sistema te mostra todas as ferramentas relacionadas. **2. O comando `man`** — Abre o manual completo de qualquer programa. `man mkdir` te mostra tudo sobre o mkdir: parâmetros, opções, exemplos. Todo programa no Linux tem documentação. **3. [ExplainShell.com](https://explainshell.com)** — Essa é a dica de ouro. Alguém te manda um comando e você não entende? Cola no ExplainShell. Ele decompõe cada parte do comando e explica visualmente o que faz. Na aula eu colei `cd ~/Desktop` e ele explicou que o `~` representa o diretório home do usuário, que `cd` muda de diretório, e que `Desktop` é o destino. Todo o parsing acontece localmente no browser — nenhum dado é enviado para servidores. **4. [ChatGPT](https://chat.openai.com)** — Eu uso e recomendo. Pergunta o que você quer fazer, ele te dá o comando e a explicação. Mas confira sempre — teste o comando, entenda o que ele faz antes de executar em produção. ## Comandos do terminal Linux para iniciantes: o guia prático Aqui está o que eu demonstrei ao vivo no aulão. Não é uma lista para decorar — é um guia para consultar quando você precisar. ### Como percorrer pastas no terminal: cd, pwd, ls O comando `cd` (change directory) é como você se move pelo sistema. O `pwd` (print working directory) mostra onde você está. E o `ls` lista o que tem no diretório atual. ```bash pwd # Mostra o diretório atual ls # Lista arquivos e pastas ls -lh # Lista com detalhes e tamanhos legíveis (KB, MB, GB) cd Desktop # Entra na pasta Desktop cd .. # Volta um nível cd ~ # Vai para o diretório home cd - # Volta para o diretório anterior cd ~/Desktop/projeto # Vai direto para um caminho específico ``` Uma coisa que eu mostrei na aula e que muda tudo: a tecla **Tab**. Se você digitar `cd D` e apertar Tab, o terminal autocompleta ou mostra as opções disponíveis. Não tem essa de ficar digitando tudo manualmente. O Tab autocompleta caminhos, nomes de arquivos, comandos — praticamente qualquer coisa. E tem um detalhe sobre o `ls -lh` que vale destacar. O `-l` mostra em formato de lista com permissões, usuário, data e tamanho. Mas o tamanho aparece em bytes (tipo 4096), que é difícil de ler. O `-h` transforma para "human readable" — KB, MB, GB. Você pode juntar os parâmetros: `ls -lh` ou `ls -l -h`, tanto faz. ### Criando e gerenciando arquivos: touch, nano, cat, cp, mv, rm O comando `touch` cria arquivos vazios. O `nano` abre o editor de texto. O `cat` lê o conteúdo. E o `cp` copia, o `mv` move (ou renomeia), e o `rm` remove. ```bash touch nomes # Cria um arquivo vazio chamado "nomes" touch documento{1..20} # Cria 20 arquivos: documento1, documento2... documento20 nano nomes # Abre o arquivo "nomes" no editor Nano cat nomes # Mostra o conteúdo do arquivo no terminal cp nomes ~/Documents/ # Copia o arquivo para a pasta Documents mv nomez nome # Renomeia "nomez" para "nome" mv arquivo ~/Documents/ # Move o arquivo para Documents rm index.html # Remove um arquivo rm -f arquivo # Força a remoção sem perguntar ``` Na aula eu criei 20 arquivos numerados com `touch documento{1..20}`. Os dois pontos entre chaves criam uma sequência. Isso é muito mais rápido do que criar um por um. E quando você descobre isso resolvendo um problema real — "preciso criar 20 arquivos" — nunca mais esquece. ### O editor Nano: atalhos que você precisa saber O [Nano](https://www.nano-editor.org) é o editor de texto que eu recomendo para quem está começando. O pessoal fala muito do [Vim](https://www.vim.org), mas para iniciantes o Nano é mais intuitivo — os atalhos ficam visíveis na parte de baixo da tela. | Atalho | Função | |---|---| | Ctrl+W | Buscar texto no arquivo | | Ctrl+\ | Buscar e substituir (replace) | | Ctrl+K | Recortar linha | | Ctrl+U | Colar linha | | Ctrl+G | Abrir ajuda | | Ctrl+X | Sair (pergunta se quer salvar) | | Ctrl+O | Salvar sem sair | Na aula eu demonstrei a busca e o replace ao vivo. Abri um arquivo com nomes, usei Ctrl+W para buscar "Felipe", depois Ctrl+\ para substituir "Felipe" por "hacker". O Nano pergunta se você quer substituir uma ocorrência ou todas — apertando `A` ele substitui todas de uma vez. Sem mouse, sem interface gráfica. Tudo pelo teclado. ### Buscando e filtrando: find, grep, pipe, wc O `find` busca arquivos no sistema. O `grep` filtra texto. O pipe (`|`) conecta a saída de um comando à entrada de outro. E o `wc` conta linhas. ```bash find . -name "nomes" # Busca arquivo chamado "nomes" a partir do diretório atual find . -name "docu*" # Busca tudo que começa com "docu" find . -name "docu*" | grep 10 # Busca "docu*" e filtra resultados que contêm "10" find . -name "docu*" | wc -l # Conta quantos resultados a busca retornou ifconfig | grep 10. # Filtra linhas do ifconfig que contêm "10." cat access.log | grep "192.168.1.5" | wc -l # Conta requisições de um IP específico ``` O pipe é um dos conceitos mais poderosos do Linux. Funciona assim: todo programa no terminal produz uma saída (output). O pipe pega essa saída e envia como entrada para o próximo programa. Você encadeia quantos quiser. Na aula eu mostrei isso com `ifconfig | grep 10.` — o ifconfig gera um monte de texto sobre interfaces de rede, o pipe manda tudo para o grep, e o grep filtra só as linhas que contêm "10." (o começo do meu IP). De um texto enorme, sobrou uma linha com a informação que eu precisava. E o `wc -l` é perfeito para contar resultados. O `wc` sozinho mostra linhas, palavras e caracteres. Com o parâmetro `-l`, mostra só o número de linhas. Na análise de logs do servidor, eu usei `cat access.log | grep IP | wc -l` e descobri que um IP específico fez 24 requisições. Investigação digital básica com comandos simples. ## Prática: criando um servidor web Linux com Apache do zero Nesta parte do aulão eu criei um servidor Ubuntu na [DigitalOcean](https://www.digitalocean.com), conectei via SSH, instalei o [Apache](https://httpd.apache.org), editei o HTML e publiquei um site — tudo ao vivo, com a audiência acessando o servidor em tempo real. ### Passo 1: Criar o servidor na nuvem Na DigitalOcean eu criei um "droplet" (é como eles chamam os servidores virtuais): 1. Escolhi a região: São Francisco 2. Sistema operacional: Ubuntu (última versão estável) 3. Plano: servidor regular de $12/mês 4. Defini uma senha de acesso 5. Nomeei como "Aulão 15" 6. Cliquei em criar Em menos de um minuto o servidor estava no ar com um IP público. ### Passo 2: Conectar via SSH Com o IP do servidor em mãos, abri meu terminal e digitei: ```bash ssh root@IP_DO_SERVIDOR ``` O SSH (Secure Shell) é o protocolo padrão para conexão remota em servidores Linux. O `root` é o superusuário padrão de todo sistema novo. Depois de aceitar a troca de chaves e digitar a senha, estava dentro do servidor. No Windows, você pode usar o PowerShell (que já tem SSH embutido) ou o [PuTTY](https://www.putty.org) como cliente SSH. ### Passo 3: Instalar o Apache Dentro do servidor, executei dois comandos: ```bash sudo apt update sudo apt install apache2 ``` O `apt update` não instala nada — ele vai no arquivo `sources.list` do sistema, consulta os repositórios e verifica o que tem de novo. É como atualizar a lista de produtos disponíveis numa loja antes de comprar. O `apt install apache2` baixa e instala o servidor web Apache. O sistema perguntou se eu queria prosseguir (13 novos pacotes, alguns megabytes de download), confirmei com "sim" e em segundos o Apache estava rodando. Abrindo o IP do servidor no browser, a página padrão do Apache apareceu. Servidor web no ar. ### Passo 4: Editar o site Os arquivos públicos do Apache ficam em `/var/www/html/`. Fui até lá: ```bash cd /var/www/html/ ls ``` Tinha um `index.html` com a página padrão. Removi com `rm index.html` e criei um novo com o Nano: ```bash nano index.html ``` Escrevi "hacker" no arquivo, salvei com Ctrl+X > Y > Enter. Atualizei a página no browser e lá estava: meu site rodando num servidor Linux na nuvem, acessível por qualquer pessoa no mundo. Mas o servidor não tinha HTTPS. SSL/HTTPS é um software adicional que precisa ser instalado e configurado separadamente — não vem por padrão com o Apache. ## Como funciona o apt: instalando software no Linux via terminal O `apt` é o gerenciador de pacotes do Ubuntu e do Debian (e derivados). Ele automatiza o download, instalação e atualização de software. Todo sistema Linux baseado em Debian tem um arquivo chamado `/etc/apt/sources.list`. Esse arquivo contém os endereços dos repositórios — "lojas" online de software. Quando você digita `apt install alguma-coisa`, o sistema: 1. Lê o `sources.list` 2. Vai até o repositório 3. Procura o pacote solicitado 4. Baixa o software compilado 5. Instala e configura Você pode ver o conteúdo do seu sources.list com: ```bash cat /etc/apt/sources.list ``` No Kali, os repositórios apontam para servidores da Offensive Security com ferramentas de hacking. No Ubuntu, apontam para servidores da Canonical com software geral. E aqui vai um detalhe interessante que eu mostrei na aula: se você adicionar a sources.list do Kali no Ubuntu, pode instalar ferramentas de hacking no Ubuntu com `apt install`. O seu Ubuntu pode virar um "Kali Linux" — só que não vai estar pré-configurado. Mas cuidado: não adicione sources.list de fontes não confiáveis. Isso pode comprometer a segurança do sistema. | Comando | O que faz | |---|---| | `apt update` | Atualiza a lista de pacotes disponíveis (não instala nada) | | `apt upgrade` | Atualiza os pacotes já instalados para versões mais recentes | | `apt install nome` | Instala um pacote novo | | `apt remove nome` | Remove um pacote instalado | A diferença entre `update` e `upgrade` confunde muita gente. O `update` só atualiza a lista — é como verificar o cardápio. O `upgrade` efetivamente baixa e instala as atualizações — é como fazer o pedido. ## Como analisar logs de acesso no Linux A análise de logs é uma habilidade fundamental para administração de servidores e investigação digital. Com comandos simples do terminal, você faz análise forense básica. Na aula, com mais de 1.200 pessoas assistindo ao vivo, eu pedi que todos acessassem o IP do servidor. Depois fui até os logs do Apache: ```bash cd /var/log/apache2/ cat access.log ``` O `cat access.log` mostrou todos os acessos — IPs, horários, requisições, user agents. Mas eu queria ver em tempo real. Para isso usei o `tail`: ```bash tail -f access.log ``` O `tail` sozinho mostra as últimas linhas de um arquivo. Com o parâmetro `-f` (follow), ele fica monitorando o arquivo em tempo real. Cada novo acesso ao servidor aparecia instantaneamente no terminal. Era possível ver os IPs dos espectadores entrando no servidor ao vivo. Depois simulei uma investigação. Peguei um IP específico e quis saber tudo que ele fez: ```bash cat access.log | grep 192.168.X.X ``` Todas as requisições daquele IP apareceram. E para saber quantas requisições ele fez: ```bash cat access.log | grep 192.168.X.X | wc -l ``` Resultado: 24 requisições. Com três comandos encadeados por pipes, eu fiz uma análise que um iniciante acharia que precisaria de software especializado. Mas calma — isso é análise básica. Em cenários reais de investigação digital, existem ferramentas mais sofisticadas. O ponto aqui é mostrar que o terminal Linux te dá poder de análise imediato, sem instalar nada extra. ## Linux no mercado de trabalho: por que faltam profissionais Faltam profissionais Linux no mercado. Ponto. Isso não é opinião — é o que eu vejo diariamente conversando com empresas e recrutadores. As pessoas olham para vagas de desenvolvedor full stack com salário alto e não percebem que existe uma camada inteira de infraestrutura que precisa de gente. Administradores de servidores, engenheiros DevOps, profissionais de suporte Linux, especialistas em deploy e configuração. Essas vagas existem, pagam bem e têm menos concorrência do que vagas de programação. E mais: quem sabe Linux tem vantagem em qualquer área de tecnologia. O programador Python que sabe Linux configura seu próprio ambiente de produção. O profissional de segurança que sabe Linux não trava quando ganha acesso a um servidor num pen-test. E o investigador digital que sabe Linux usa ferramentas de OSINT e forense sem depender de interface gráfica. Mais de 60-70% dos servidores Linux no mundo não têm interface gráfica. É tudo linha de comando. Interface gráfica é um software adicional que consome processamento e pode ter falhas de segurança — por isso servidores de produção não usam. Se você só sabe clicar em ícones, está limitado a uma fração dos ambientes Linux que existem. ## Ferramentas Utilizadas Neste Aulão | Ferramenta | Finalidade | Link | |---|---|---| | Kali Linux | Distribuição Linux focada em segurança, usada como sistema principal na demonstração | [kali.org](https://www.kali.org) | | Ubuntu | Distribuição Linux usada como servidor na demonstração prática | [ubuntu.com](https://ubuntu.com) | | VirtualBox | Software gratuito de máquina virtual para rodar Linux no Windows | [virtualbox.org](https://www.virtualbox.org) | | Parallels | Software de máquina virtual para macOS | [parallels.com](https://www.parallels.com) | | DigitalOcean | Plataforma de cloud para criar servidores na nuvem | [digitalocean.com](https://www.digitalocean.com) | | Apache (Apache2) | Servidor web instalado no Ubuntu para hospedar páginas HTML | [httpd.apache.org](https://httpd.apache.org) | | Nano | Editor de texto no terminal, recomendado para iniciantes | [nano-editor.org](https://www.nano-editor.org) | | ExplainShell | Site que explica visualmente qualquer comando Linux | [explainshell.com](https://explainshell.com) | | ChatGPT | Ferramenta de IA para tirar dúvidas sobre comandos Linux | [chat.openai.com](https://chat.openai.com) | | PuTTY | Cliente SSH para Windows | [putty.org](https://www.putty.org) | | Pop!_OS | Distribuição Linux baseada em Ubuntu para uso desktop | [system76.com/pop](https://system76.com/pop/) | | SSH (OpenSSH) | Protocolo para conexão remota segura a servidores | [openssh.com](https://www.openssh.com) | ## Perguntas Frequentes ### Por que aprender Linux é importante? Linux roda em mais de 83% dos servidores corporativos, em smartphones Android, em dispositivos IoT e em praticamente toda infraestrutura de nuvem. Qualquer profissional de tecnologia — de desenvolvedor a investigador digital — vai encontrar Linux no caminho. Dominar o terminal é pré-requisito, não diferencial. ### Qual distribuição Linux usar para iniciantes? Ubuntu é a escolha mais comum para iniciantes por ter documentação ampla e comunidade ativa. Mas se seu objetivo é segurança e hacking, comece direto pelo Kali Linux numa máquina virtual. A escolha depende do que você quer fazer — os fundamentos são os mesmos em todas as distribuições. ### Como instalar o Linux em uma máquina virtual? Baixe o [VirtualBox](https://www.virtualbox.org) (gratuito) e instale no seu Windows. Depois, acesse [kali.org](https://www.kali.org) e baixe a imagem pronta para Virtual Machine. Abra no VirtualBox e está pronto. Não esqueça de instalar o Extension Pack do VirtualBox para melhor performance. ### O que é o terminal Linux e como usar? O terminal é a interface de linha de comando do Linux. Tudo que você faz clicando na interface gráfica — criar pastas, mover arquivos, instalar programas — pode ser feito no terminal digitando comandos. A diferença é que o terminal é mais rápido, mais poderoso e funciona em servidores sem interface gráfica. ### Como criar arquivos e pastas no terminal Linux? Use `mkdir nome-da-pasta` para criar pastas e `touch nome-do-arquivo` para criar arquivos vazios. Para criar vários arquivos de uma vez, use sequências: `touch documento{1..20}` cria 20 arquivos numerados. Para criar pastas aninhadas, use `mkdir -p projeto/css/pagina`. ### O que é o comando apt no Linux? O `apt` é o gerenciador de pacotes do Ubuntu e Debian. Ele automatiza a instalação de software lendo repositórios configurados no arquivo `/etc/apt/sources.list`. Use `apt update` para atualizar a lista de pacotes disponíveis e `apt install nome-do-pacote` para instalar software. ### Como criar um servidor web com Linux? Crie um servidor Ubuntu (na DigitalOcean ou outro provedor de nuvem), conecte via SSH com `ssh root@IP`, execute `sudo apt update` seguido de `sudo apt install apache2`, e o servidor web já estará rodando. Os arquivos do site ficam em `/var/www/html/`. ### Como aprender Linux sem decorar comandos? Crie necessidades práticas. Ao invés de memorizar uma tabela de comandos, defina um objetivo ("quero criar um servidor web") e pesquise cada passo conforme a necessidade. Use o comando `man` para ler manuais, o `apropos` para buscar na documentação do sistema, o [ExplainShell](https://explainshell.com) para entender comandos complexos e o [ChatGPT](https://chat.openai.com) para perguntas diretas. ### É possível usar o Word no Linux? Não existe Microsoft Word nativo para Linux. Mas existem alternativas como LibreOffice Writer (gratuito e pré-instalado em muitas distribuições) que abre e edita arquivos .docx. Você também pode usar o Microsoft 365 pelo browser. Para edição de texto no terminal, o Nano e o Vim são as opções padrão. ### Qual o Linux mais amigável? Para uso desktop no dia a dia, [Pop!_OS](https://system76.com/pop/) e Ubuntu são as opções mais amigáveis. Pop!_OS tem auto-tiling de janelas, perfis de energia e boa integração com hardware. Ubuntu tem a maior base de usuários e mais tutoriais disponíveis online. Eu uso Pop!_OS no meu notebook Dell pessoal e estou gostando bastante. ## Referências e Recursos - [Estudo sobre Linux em 83% dos servidores corporativos — Canaltech](https://canaltech.com.br/linux/Estudo-mostra-que-83-das-empresas-executam-Linux-em-seus-servidores/) - [Linux Server Market Share 2025/2026 — CommandLinux](https://commandlinux.com/statistics/linux-server-market-share/) - [Sobre o Sistema Operacional GNU — Free Software Foundation](https://www.gnu.org/gnu/gnu.pt-br.html) - [IBM Linux Commercial: The Kid — YouTube](https://www.youtube.com/watch?v=x7ozaFbqg00) - [Kali Linux — Wikipedia](https://en.wikipedia.org/wiki/Kali_Linux) - [Offensive Security — Wikipedia](https://en.wikipedia.org/wiki/Offensive_Security) - [Pop!_OS by System76](https://system76.com/pop/) - [ExplainShell.com — Recurso para entender comandos Linux](https://explainshell.com) - [WSL agora é open source — Windows Developer Blog](https://blogs.windows.com/windowsdeveloper/2025/05/19/the-windows-subsystem-for-linux-is-now-open-source/) - [VirtualBox — Documentação oficial](https://www.virtualbox.org/manual/topics/Introduction.html) - [Hannah Montana Linux em 2025 — XDA Developers](https://www.xda-developers.com/i-tried-hannah-montana-linux-in-2025/) - [Quem é Richard Stallman? O que é GNU? — April](https://www.april.org/articles/intro/gnu.html.pt) --- ### Aulão #014 — O que seu provedor de internet esconde de você (e como isso afeta sua conexão) URL: https://brunofraga.com/aulao-semanal/como-funciona-provedor-de-internet-segredos-e-dicas Publicado: 2024-08-19 Tags: privacidade, ciberseguranca, tutoriais YouTube: https://www.youtube.com/watch?v=WmJvyG8USwQ Neste aulão em vídeo com demonstração prática, Bruno Fraga revela como provedores de internet realmente funcionam por dentro — do traffic shaping ao CGNAT, bloqueios judiciais de sites, quebra de sigilo e por que seu ping pode estar alto sem você saber o motivo. ## O que você vai aprender neste aulão Como funciona provedor de internet por dentro — de verdade, sem enrolação de marketing e sem aquele papo genérico que você encontra em qualquer busca no Google. Nesse aulão #14, eu trouxe o Diego, que trabalha diretamente com infraestrutura de provedores, para responder as perguntas que vocês mais fizeram na caixa de perguntas do meu Instagram. Depois de ler este artigo, você vai conseguir testar se o problema de ping é seu ou do provedor, entender como bloqueios judiciais de sites realmente funcionam (e por que são tão fáceis de burlar), saber qual DNS usar com base em dados reais e não em achismo de YouTuber, e identificar se seu provedor está fazendo Traffic Shaping ou se é só uma rota ruim. Tudo isso baseado em demonstração ao vivo, com ferramentas que você pode usar agora. E tem mais: vamos falar sobre quebra de sigilo, o que a polícia realmente recebe quando pede dados ao provedor, por que seu IPTV trava (spoiler: quase nunca é culpa do provedor), e por que reiniciar o modem resolve tanta coisa. São temas que geram discussão acalorada — e o Diego não fugiu de nenhum. ## O provedor de internet aumenta seu ping? Entenda o que realmente causa latência alta O provedor não aumenta seu ping de propósito. A latência alta é resultado de uma cadeia de fatores que vai do seu dispositivo até o servidor de destino, passando por rotas internacionais que o provedor nem sempre controla. ### O caminho entre você e o roteador já pode ser o problema Quando você está conectado por cabo de rede ao roteador, o ping dificilmente passa de 1 milissegundo. Mas no Wi-Fi a história muda. Na demonstração ao vivo, o Diego mostrou que mesmo com Wi-Fi 6, o ping entre o computador dele e o roteador ficava em 2-3 milissegundos — transmitindo vídeo ao vivo. Parece pouco, certo? Mas a realidade é que tem gente com Wi-Fi oscilando, sinal fraco, e esse número sobe para 10, 20 milissegundos. Sobe e desce. E aí a pessoa já assume que o provedor está sabotando a conexão. Antes de culpar qualquer um, teste o ping entre seu dispositivo e seu gateway (o IP do seu roteador). Existem aplicativos gratuitos tanto para Android quanto para iOS que fazem isso — o Diego compartilhou links durante a live para ferramentas de ping e traceroute que mostram exatamente essa informação. ### Rotas BGP: o verdadeiro vilão que ninguém menciona Tire da equação o trecho entre você e o roteador. O que sobra é o caminho entre seu provedor e o servidor de destino. E esse caminho não é uma linha reta. A internet funciona por rotas definidas pelo protocolo [BGP (Border Gateway Protocol)](https://aws.amazon.com/pt/what-is/border-gateway-protocol/). Cada provedor tem um [ASN (Autonomous System Number)](https://en.wikipedia.org/wiki/Autonomous_system_(Internet)) — um identificador único que define seus blocos de IP e com quem ele troca tráfego. O Diego demonstrou ao vivo no [bgp.tools](https://bgp.tools/) como consultar essas conexões. Digitou "Claro" no bgp.tools e apareceu o grafo de conexão: a Claro conecta com Level 3, Gremlin, Data Communication, até com provedores na Itália. Digitou "Vivo" e apareceu a conexão com Conticom e Vodafone. E aqui está o ponto: se qualquer um desses intermediários estiver instável, não adianta o provedor entregar toda a banda contratada. A rota está comprometida. Um caso concreto: a Claro tinha uma rota para determinados jogos que ia até Miami e voltava para o Brasil. O ping era absurdo. Dois amigos sentados lado a lado, com provedores diferentes, tinham pings completamente diferentes para o mesmo jogo. Não era Traffic Shaping. Era rota ruim. E o BGP é tão poderoso (e frágil) que já houve casos de países sequestrando o ASN do Google via BGP hijacking, redirecionando todo o tráfego do Google e derrubando o serviço para parte da internet. É um protocolo baseado em confiança entre operadoras — e quando essa confiança é violada, o estrago é global. E o LoL (Riot Games) piora a situação: não tem IPv6 e mantém servidores apenas em São Paulo, no [IX.br](https://en.wikipedia.org/wiki/IX.br) — o ponto de troca de tráfego brasileiro. Se seu provedor não tem uma rota direta e eficiente até o IX de São Paulo, seu ping vai sofrer. ### O que são os IX e por que importam Os IX (Internet Exchange Points) são locais físicos onde provedores e serviços se encontram para trocar tráfego diretamente, sem intermediários. O [IX.br opera 36 pontos de troca de tráfego no Brasil](https://www.cgi.br/noticia/releases/ix-br-celebrates-20-years-with-a-prominent-role-in-improving-the-internet-in-brazil/), sendo São Paulo o principal. Netflix, Google, Facebook — todos têm presença ali. Quanto mais perto seu provedor estiver desses pontos (e com rotas diretas), melhor sua experiência. ## Como funciona a conexão com a internet: do seu roteador até o servidor de destino A internet é descentralizada. Seu provedor é responsável por 50% do caminho — os outros 50% dependem do conteúdo, das rotas e dos intermediários. Pense assim: você coloca uma câmera no Japão com internet de 10 megas. Aqui no Brasil, você tem 1 giga contratado. O máximo que vai extrair daquela câmera? 10 megas. Porque o gargalo está no outro lado. E se algum serviço intermediário estiver instável, nem esses 10 megas você vai conseguir. O Diego mostrou isso visualmente no [bgp.tools](https://bgp.tools/): se o provedor é pequeno, dá para ver exatamente de quem ele compra link. Se compra da Algar, da Vivo, da Embratel — tudo aparece no grafo de conexões. E se o fornecedor de link está com rota ruim, o provedor fica preso naquilo, às vezes por contratos de 36 meses. ### Link dedicado vs. compartilhado Quando a Oi diz que entrega 1 GB, está entregando uma porta de 1 GB compartilhada. A velocidade é a mesma de 1 GB dedicado? Sim. Mas o dedicado garante que aquele circuito é exclusivo seu, sem oscilação. No compartilhado, entre você e o provedor geralmente bate a banda contratada. Mas para serviços que estão longe, em horários de pico (entre 21h e 22h), pode haver saturação nos intermediários. ### O papel das CDNs Serviços como Google, Netflix e Facebook usam [CDNs (Content Delivery Networks)](https://en.wikipedia.org/wiki/Content_delivery_network) — redes de servidores distribuídos geograficamente que colocam o conteúdo perto do usuário. A maioria dos provedores tem CDN instalado ao lado. Se você pinga o 8.8.8.8 do Google e a resposta é curtíssima, é porque o servidor está ali do lado, fisicamente. Então esqueça aquela ideia de que seu provedor não consegue entregar YouTube. O servidor do YouTube está praticamente dentro do provedor. ## Serviços para diminuir ping em jogos: como ExitLag e VPNs realmente funcionam Serviços como o [ExitLag](https://www.exitlag.com/) são VPNs especializadas em forçar mudanças de rota para reduzir a latência em jogos. Não fazem mágica — mudam o caminho que seus pacotes percorrem até o servidor do jogo. Um usuário da operadora Novell relatou durante o aulão que estava com problemas de ping no LoL. A Novell estava com rota ruim para o servidor da Riot Games. Pagou ExitLag, melhorou. Por quê? Porque o ExitLag forçou uma rota diferente, mais curta, até o servidor. Não era Traffic Shaping. Era rota. Mas nem sempre funciona. Se os serviços intermediários por onde a VPN roteia também estiverem instáveis, não vai adiantar. E provedores menores, quando percebem uma rota ruim, tentam negociar com o fornecedor de link para melhorar. Isso envolve custo, contrato e tempo. Provedores grandes como a Claro são mais difíceis de pressionar — precisa de reclamação massiva para forçar uma mudança de rota. ## IPTV travando é culpa do provedor? A verdade que ninguém conta Na maioria das vezes, não é culpa do provedor. IPTV travando geralmente é problema da caixinha de TV Box (processamento fraco), do serviço estar hospedado fora do Brasil, ou de ambos. ### Os números reais de consumo O Diego fez uma demonstração ao vivo que desmonta o mito: transmitindo em 1080p pelo StreamYard, o consumo não chegava a 1 mega. Netflix em 4K consome 25 megas. E nenhum IPTV consome mais que 10 megas. Nenhum. Então quando o instalador de IPTV (que frequentemente não tem formação técnica nenhuma) diz que você precisa de 200 megas para rodar o serviço dele, está falando bobagem. Se seu YouTube roda em 4K sem travar e o IPTV não roda nem em 720p, o problema não é a banda. E aqui vai um teste que o Diego sugeriu: pegue uma daquelas caixinhas de TV Box com Android e tente instalar o aplicativo de câmera da Intelbras. Abra 2 câmeras. Tente abrir a terceira. Travou. A caixinha não tem processamento para reproduzir as imagens. O mesmo hardware que não aguenta 3 câmeras é o que estão usando para decodificar streams de IPTV. ### Por que provedores pequenos NÃO querem bloquear IPTV Essa é uma das opiniões mais fortes que o Diego trouxe: se você sentar com qualquer dono de provedor pequeno, a primeira coisa que ele vai falar é que quer um IPTV que funcione. Por quê? Porque a Vivo e a Claro têm seus próprios serviços de TV por assinatura. O provedor pequeno não tem como concorrer com isso — a menos que o IPTV dos clientes funcione bem na rede dele. É vantagem competitiva. Mas as grandes operadoras como a Claro? Essas sim bloqueiam IPTV. Porque o IPTV pirata está roubando o conteúdo do serviço legal delas. É concorrência direta. ### O contexto dos ataques DDoS no Brasil Durante o aulão, o Brasil estava sofrendo ataques massivos de negação de serviço. O Diego mostrou um relatório da empresa de mitigação Rogue Networks: 1.324 GB — mais de 1 terabyte — de tráfego de ataque registrado em um único dia, 24 de outubro. Grupos hacktivistas ligados ao conflito Israel-Palestina atacavam o Brasil por entenderem que o país apoiava Israel. E tem um detalhe que a maioria das pessoas não sabe: dispositivos IoT infectados no Brasil (câmeras, DVRs, TV Boxes) estavam sendo usados como origem dos ataques. Às vezes a pessoa perde performance na casa dela porque o aparelho dela está atacando e ela não percebe. Os IPTVs fora do Brasil foram os mais afetados, porque dependem de rotas internacionais que estavam degradadas pelos ataques. ## Como funciona o bloqueio judicial de sites no Brasil (Blaze, Telegram e outros) O bloqueio judicial chega ao provedor por e-mail, com uma determinação para "inserir obstáculos tecnológicos" que inviabilizem o acesso ao site. O Diego mostrou na tela um e-mail real (com dados borrados) de uma dessas determinações. ### O bloqueio de DNS: simples de implementar, simples de burlar O método mais comum é o bloqueio por DNS. O provedor configura seu servidor DNS para não resolver o domínio bloqueado. Funciona? Sim — para quem usa o DNS padrão do provedor. Mas basta trocar o DNS para o Google (8.8.8.8) ou Cloudflare (1.1.1.1) e o bloqueio deixa de existir. E por que o provedor não faz algo mais agressivo? Porque a alternativa seria o [DNS hijack (sequestro de DNS)](https://en.wikipedia.org/wiki/DNS_hijacking) — interceptar todas as consultas DNS do cliente, independente do servidor configurado. Mas isso é crime pelo [Marco Civil da Internet](https://www.cgi.br/pagina/marco-civil-law-of-the-internet-in-brazil/180/). O provedor não pode cometer um crime para atender uma ordem judicial. ### O problema do IP compartilhado Sites como a Blaze não têm infraestrutura própria. Estão hospedados em servidores compartilhados, onde o mesmo IP serve 4, 5, 6 sites diferentes. Bloquear o IP significaria derrubar todos esses sites juntos. E o Telegram? Tem ASN próprio e blocos de IP definidos — mais fácil de bloquear por IP, mas ainda assim burlável com VPN. Eu lembro de testar isso com alunos durante o bloqueio da Blaze: em algumas cidades funcionava, em outras não. A aplicação do bloqueio varia de provedor para provedor, porque cada um implementa o "mínimo necessário" de formas diferentes. Mas a realidade é clara: os provedores não querem bloquear. O Diego foi direto nisso. Nenhum provedor que ele conhece quer bloquear nada. Fazem o mínimo para cumprir a determinação judicial e seguem em frente. ## Qual o melhor DNS: do provedor, Google 8.8.8.8 ou Cloudflare 1.1.1.1? O melhor DNS é o local. Se você tem um servidor DNS dentro da sua casa, a resolução de nomes é praticamente instantânea — 0 milissegundos. Qualquer DNS externo vai ter latência pela distância física. ### Os testes ao vivo com o comando dig O Diego demonstrou ao vivo usando o comando `dig` (ferramenta nativa de Linux/macOS, disponível no Windows via WSL): - **DNS local (VPN dele):** primeira consulta ao site da Mikrotik = 705ms. Segunda consulta (já em cache) = 0ms. Consultas seguintes = 0ms consistente. - **Google 8.8.8.8:** 10-14ms em todas as consultas. Nunca zerou. Porque a distância física entre o computador e o servidor do Google em São Paulo é fixa — não tem como reduzir. - **Cloudflare 1.1.1.1:** 11-14ms. Resultado similar ao Google. - **Teste do Bruno da Coreia do Sul:** `dig` direto para o Terra.com.br deu 250ms. Passando pelo 8.8.8.8, caiu para 40ms — porque o servidor do Google estava mais perto do que o DNS padrão da operadora coreana. A localização física muda tudo. O ponto é: quando você tem DNS local, a primeira consulta demora (precisa buscar na internet). Mas a partir da segunda, é zero. Tudo fica em cache. A sensação é de internet voando, porque a resolução de nomes acontece antes de qualquer download de conteúdo. ### O mito do "troque para 8.8.8.8 para proteger sua privacidade" Essa é uma das coisas que mais me incomodam quando vejo YouTubers repetindo. O Diego foi categórico: o modelo de negócio do provedor é te dar acesso à internet e cobrar mensal por isso. Ponto. Ele não tem modelo de negócio de coletar informação de DNS para revender. VPNs gratuitas e serviços de DNS como Google e Cloudflare? O modelo de negócio é coleta de dados como Big Data. Eles deixam isso claro nos termos de uso. Querem saber o que aquela cidade consome, o que aquele estado acessa. Não é individual — é em massa. Mas é coleta de dados. E aqui vai o argumento que fecha a questão: se o provedor quisesse espionar seu DNS, ele faria DNS hijack. Interceptaria todas as consultas, independente do servidor que você configurou. Você poderia colocar 8.8.8.8, 1.1.1.1, o que quisesse — não passaria. Mas isso é crime. E se o provedor já estivesse fazendo isso (porque o modelo de negócio dele seria vender dados), por que deixaria você trocar o DNS livremente? A lógica é simples: se ele tá de má-fé, ele usa todas as ferramentas, não só uma. ### Pi-Hole: DNS local com performance e privacidade O [Pi-Hole](https://github.com/pi-hole/pi-hole) é um projeto open source que funciona como servidor DNS local. Você instala em um [Raspberry Pi](https://www.raspberrypi.com/) ou até em um roteador antigo que não está usando. Ele faz cache de todas as resoluções DNS, bloqueia anúncios e trackers, e te dá controle total sobre o que entra e sai da sua rede. A performance é absurda: 0 milissegundos após a primeira consulta. Sem interferência de ninguém. A base de bloqueio se atualiza pela comunidade. E tem [tutoriais completos](https://www.crosstalksolutions.com/the-worlds-greatest-pi-hole-and-unbound-tutorial-2023/) para instalar do zero. É a solução que eu recomendo para quem quer privacidade real e performance de DNS. Não é trocar de um DNS público para outro DNS público — é ter o seu próprio. ## Quebra de sigilo pelo provedor: o que a polícia realmente recebe A quebra de sigilo requer ordem judicial, exceto em situações de urgência e risco iminente à vida. Sem ordem judicial, o provedor que entregar dados pode ser processado pelo próprio investigado — mesmo que o cara seja culpado. ### O que é entregue na prática Na imensa maioria dos casos (99% segundo o Diego), o que é entregue é: IP e porta lógica. Nada mais. A maior parte do tráfego hoje é criptografado — 99,8% dos sites mais acessados do Brasil usam HTTPS. O provedor não consegue ver o conteúdo das suas comunicações. Mas em casos graves — pedofilia, tráfico internacional de pessoas — a Polícia Federal pode instalar equipamentos físicos no provedor. Port mirror (espelhamento de tráfego), sniffers de rede. Aí é outro nível de investigação. Mesmo assim, não quebram a criptografia. O que fazem é documentar padrões de uso, identificar serviços acessados, e solicitar dados diretamente aos serviços (Google, Facebook, etc.). ### Casos reais de investigação que mostram como funciona **O caso do Tor com celular no bolso:** um criminoso usava Tor no notebook para atividades ilícitas. Mas o celular pessoal dele estava no bolso, conectado ao Wi-Fi, logado nas contas do Google. Fez isso duas vezes. Os investigadores correlacionaram os horários da conexão Tor com a atividade das contas Google no celular, complementaram com câmeras de vigilância, e identificaram o sujeito. A lição: anonimato é quebrado pela recorrência. Quem faz uma vez, talvez passe. Mas ninguém faz uma vez só. **O caso da NordVPN e as passagens aéreas:** uma quadrilha comprava passagens com cartão clonado usando [NordVPN](https://nordvpn.com/). A polícia identificou que todas as transações vinham de IPs da Nord. Mapearam todo o bloco de IPs, fizeram fingerprinting dos banners, e reduziram seletivamente a velocidade da NordVPN no site da companhia aérea. Um integrante desligou a VPN para comprar mais rápido. Foi identificado e preso dentro do avião, já sentado na poltrona pronto para decolar. **O policial sem ordem judicial:** em uma abordagem, um policial pediu para o suspeito desbloquear o computador. Encontrou evidências. Mas na hora do processo, a prova foi contestada — acesso sem autorização judicial. Dados obtidos irregularmente são prova de dados, não prova legal com validade jurídica. ### O provedor pode ver o que você acessa? Tecnicamente, o que não está criptografado, ele pode ver. Mas na prática, ele não vê. Não tem interesse, não tem modelo de negócio para isso, e o volume de dados tornaria inviável monitorar individualmente. Estamos falando de provedores com milhares de clientes — não dá para ficar olhando o que cada um faz, e eles nem querem. A exceção seria um "provedorzinho de bairro" com 10 clientes, onde o dono conhece todo mundo. Mas se é um CNPJ registrado, com ASN, com estrutura — pode ficar tranquilo. ## Traffic Shaping: o que é, por que é crime e como identificar Traffic Shaping é quando o provedor reduz a velocidade de um serviço específico para o cliente. Por exemplo: tudo funciona rápido, mas o Netflix fica lento de propósito. É ilegal. E o Diego nunca viu um provedor fazendo isso em toda sua carreira — exceto lá em 2006-2007, quando as bandas eram baixas e provedores pequenos faziam controle por falta de capacidade. ### Por que fazer Traffic Shaping é inviável hoje Controlar tráfego na camada 7 (camada de aplicação) consome processamento absurdo de hardware. Um [firewall de camada 7](https://www.paloaltonetworks.com/cyberpedia/layer-3-vs-layer-7-firewall) precisa inspecionar o conteúdo dos pacotes para identificar qual aplicação está sendo usada. Nenhum provedor vai investir nesse hardware para sabotar o próprio cliente. E aqui vai o argumento definitivo: se o provedor quisesse fazer Traffic Shaping, faria também nas VPNs. Você acha que um provedor de má-fé vai reduzir a velocidade do Netflix mas deixar a VPN em velocidade normal, sabendo que o cliente pode simplesmente ligar a VPN e burlar? Se ele está de má-fé, bloqueia tudo. Não usa uma ferramenta só. ### "Liguei a VPN e melhorou" não prova Traffic Shaping Esse é o erro mais comum. A pessoa liga uma VPN, o jogo melhora, e conclui: meu provedor estava fazendo Traffic Shaping. Não. A VPN mudou a rota. O caminho dos pacotes passou por servidores diferentes, e por acaso essa rota era melhor. É o mesmo princípio do ExitLag. Para provar Traffic Shaping, você precisa de um laudo técnico. Sem isso, não se caracteriza crime. E dificilmente alguém consegue provar. ### Como testar se o problema é generalizado O Diego mostrou o site [ISPTools](https://isptools.com.br) — uma ferramenta que testa se um site está acessível a partir de dezenas de provedores no Brasil. Você coloca o domínio e ele mostra a latência de dezenas de provedores para aquele destino. Se todos estão com latência alta, o problema não é do seu provedor. Se só o seu está alto, aí vale investigar a rota. Mas lembre: internet móvel em shows e jogos de futebol não funciona por sobrecarga das antenas (ERBs), não por Traffic Shaping. As antenas de celular funcionam como Wi-Fi — quando gente demais conecta, sobrecarrega. Não é sabotagem. ## IPv4 vs IPv6 e CGNAT: por que o IPv4 acabou e o que isso muda para você O [CGNAT (Carrier-Grade NAT)](https://en.wikipedia.org/wiki/Carrier-grade_NAT) existe porque os endereços IPv4 acabaram. Não é escolha do provedor. Nenhum provedor quer trabalhar com CGNAT. Os [endereços IPv4 se esgotaram em 2018](https://www.nro.net/about/rirs/internet-number-resources/ipv6/ipv4-exhaustion-faqs/) — existem aproximadamente 4 bilhões de endereços IPv4 no total, e todos já foram alocados. O CGNAT funciona como um condomínio: em vez de cada casa ter um endereço público, existe um endereço público no prédio e apartamentos com endereços privados internos. Seu roteador recebe um IP com NAT do provedor, não um IP público direto. Isso causa problemas com jogos (NAT restrito), câmeras remotas e outros serviços que precisam de conexão direta. O IPv6 resolve tudo isso. Uma residência em IPv6 recebe 18 quintilhões de endereços. O Diego acessa câmeras em IPv6, conecta VPNs em IPv6, faz tudo em IPv6. Não precisa de IPv4 para nada. Mas profissionais que resistem ao IPv6 — por falta de conhecimento ou porque os tutoriais do YouTube só ensinam em IPv4 — forçam clientes a contratar IPv4 público pagando a parte. E não, IPv6 não te deixa mais vulnerável para identificação. O IP é do bloco entregue àquela residência. O dispositivo não passa informação de MAC no roteamento — o MAC fica no primeiro salto. Quem sai para a internet é o roteador. Para identificar quem fez o quê dentro da casa, precisa de busca e apreensão de dispositivos. É a mesma coisa no IPv4 e no IPv6. ## Por que reiniciar o modem resolve problemas de internet Dois motivos principais: memória cheia e oscilação elétrica. Roteadores de entrada (aqueles que a operadora fornece) têm pouca memória. São equipamentos nivelados por baixo, projetados para uso básico. Conforme o roteador trabalha, a memória vai enchendo com tabelas de conexão, cache, logs. Quando enche, trava. Desligar e ligar zera a memória. Resolvido. O segundo motivo é a oscilação elétrica: a energia quase cai, mas não cai. O dispositivo entra em um estado travado — não desligou, mas parou de funcionar corretamente. Tirar da tomada e colocar de volta força o reinício completo. E tem um fator adicional que pouca gente considera: dispositivos infectados na rede. TV Boxes, câmeras, DVRs com malware fazem requisições massivas que enchem a memória do roteador rapidamente. Durante a onda de ataques DDoS que o Diego mencionou, os chamados de suporte aumentaram exatamente por isso — clientes com upload estourando porque seus dispositivos IoT estavam participando de ataques sem que o dono soubesse. Roteadores mais caros, com mais memória e processamento, raramente precisam ser reiniciados. Se você tem uso intenso (mais de 15 dispositivos conectados, streaming simultâneo, jogos), vale investir em um roteador melhor do que o que a operadora entrega. ## Ferramentas Utilizadas Neste Aulão | Ferramenta | Finalidade | Link | |---|---|---| | bgp.tools | Consultar ASN de operadoras, ver grafos de conexão entre provedores, descobrir rotas e de quem um provedor compra link | [bgp.tools](https://bgp.tools/) | | Pi-Hole | Servidor DNS local para performance máxima (0ms) e privacidade total, com bloqueio de anúncios | [Pi-Hole no GitHub](https://github.com/pi-hole/pi-hole) | | ExitLag | VPN especializada em reduzir ping para jogos forçando rotas melhores | [ExitLag](https://www.exitlag.com/) | | ISPTools | Testar se um site está acessível a partir de dezenas de provedores no Brasil e comparar latência | [ISPTools](https://isptools.com.br) | | dig (comando) | Testar tempo de resolução DNS e comparar performance entre servidores DNS | Nativo de Linux/macOS, disponível no Windows via WSL | | Google DNS | Servidor DNS público usado como referência de comparação de performance | [Google Public DNS](https://developers.google.com/speed/public-dns) | | Cloudflare DNS | Servidor DNS público alternativo para comparação de performance | [Cloudflare 1.1.1.1](https://1.1.1.1) | ## Perguntas Frequentes ### O provedor de internet aumenta meu ping? Não de propósito. O ping alto pode ser causado pela sua conexão Wi-Fi até o roteador, pelas rotas BGP entre seu provedor e o servidor de destino, ou por instabilidade em serviços intermediários. Teste o ping até seu gateway antes de culpar o provedor. ### O que é Traffic Shaping e é crime? Traffic Shaping é a redução proposital da velocidade de um serviço específico pelo provedor. É ilegal no Brasil. Fazer controle de tráfego na camada 7 consome processamento absurdo de hardware, e nenhum provedor com CNPJ registrado faz isso hoje — se fizesse, bloquearia as VPNs também. ### Como funciona o bloqueio judicial de um site no Brasil? A determinação chega por e-mail ao provedor pedindo para "inserir obstáculos tecnológicos". O bloqueio mais comum é por DNS, que é facilmente burlável trocando o DNS do dispositivo. O provedor não pode fazer DNS hijack (sequestro de DNS) porque é crime pelo Marco Civil da Internet. ### Qual DNS é melhor: do provedor, Google 8.8.8.8 ou Cloudflare? O melhor é um DNS local como o Pi-Hole, que entrega resolução em 0ms após a primeira consulta. O Google 8.8.8.8 fica consistentemente em 10-14ms e a Cloudflare em 11-14ms — a distância física impede que zerem. Trocar para 8.8.8.8 não protege sua privacidade como dizem — o modelo de negócio do Google inclui coleta de dados como Big Data. ### O provedor de internet pode ver o que eu acesso? O que está criptografado (99,8% dos sites mais acessados), não. O que não está criptografado, tecnicamente pode ver, mas na prática não monitora — não tem modelo de negócio para isso nem capacidade de monitorar milhares de clientes individualmente. ### IPTV travando é culpa do provedor? Na maioria das vezes, não. Nenhum IPTV consome mais que 10 megas. Se seu YouTube roda em 4K e o IPTV não roda em 720p, o problema é a caixinha de TV Box (processamento fraco) ou o serviço estar hospedado fora do Brasil com latência alta. ### O que acontece quando a polícia pede quebra de sigilo ao provedor? Sem ordem judicial, o provedor não entrega dados (exceto em situações de urgência e risco iminente à vida). Com ordem judicial, o que é entregue normalmente é IP e porta lógica. Em casos graves, a Polícia Federal pode instalar equipamentos de sniffer e port mirror no provedor para monitoramento mais detalhado. ### Por que preciso reiniciar o modem para a internet voltar? Roteadores de entrada têm pouca memória. Quando ela enche (por uso normal, oscilação elétrica ou dispositivos infectados fazendo requisições excessivas), o equipamento trava. Reiniciar zera a memória. Roteadores com mais memória raramente precisam disso. ## Referências e Recursos - [BGP.Tools — Browse the Internet ecosystem](https://bgp.tools/) - [Pi-Hole — A black hole for Internet advertisements (GitHub)](https://github.com/pi-hole/pi-hole) - [The World's Greatest Pi-hole and Unbound Tutorial 2023](https://www.crosstalksolutions.com/the-worlds-greatest-pi-hole-and-unbound-tutorial-2023/) - [ExitLag — Get rid of lag in your game](https://www.exitlag.com/) - [O que é BGP (Border Gateway Protocol)? — Amazon AWS](https://aws.amazon.com/pt/what-is/border-gateway-protocol/) - [Autonomous system (Internet) — Wikipedia](https://en.wikipedia.org/wiki/Autonomous_system_(Internet)) - [IX.br — Wikipedia](https://en.wikipedia.org/wiki/IX.br) - [IX.br celebrates 20 years — CGI.br](https://www.cgi.br/noticia/releases/ix-br-celebrates-20-years-with-a-prominent-role-in-improving-the-internet-in-brazil/) - [Carrier-grade NAT — Wikipedia](https://en.wikipedia.org/wiki/Carrier-grade_NAT) - [IPv4 Exhaustion FAQs — NRO](https://www.nro.net/about/rirs/internet-number-resources/ipv6/ipv4-exhaustion-faqs/) - [FAQ on IPv6 adoption and IPv4 exhaustion — Internet Society](https://www.internetsociety.org/deploy360/ipv6/faq/) - [Marco Civil Law of the Internet in Brazil — CGI.br](https://www.cgi.br/pagina/marco-civil-law-of-the-internet-in-brazil/180/) - [DNS hijacking — Wikipedia](https://en.wikipedia.org/wiki/DNS_hijacking) - [Content delivery network — Wikipedia](https://en.wikipedia.org/wiki/Content_delivery_network) - [Layer 3 vs Layer 7 Firewall — Palo Alto Networks](https://www.paloaltonetworks.com/cyberpedia/layer-3-vs-layer-7-firewall) - [O direito à proteção de dados pessoais — LAPIN](https://lapin.org.br/2021/03/31/o-direito-fundamental-a-protecao-de-dados-pessoais-a-luz-da-jurisprudencia-do-supremo-tribunal-federal/) - [STF adia decisão sobre acesso policial a dados telefônicos — Conjur](https://www.conjur.com.br/2026-mar-10/stf-adia-decisao-sobre-regras-para-acesso-policial-a-dados-telefonicos/) --- ### Aulão #013 — Sua própria VPN do zero: sem logs, sem espionagem, sem depender de ninguém URL: https://brunofraga.com/aulao-semanal/como-criar-sua-propria-vpn-passo-a-passo Publicado: 2024-08-16 Tags: privacidade, ciberseguranca, tutoriais YouTube: https://www.youtube.com/watch?v=gq4BL-u97B4 Neste aulão em vídeo com demonstração prática, Bruno Fraga ensina como criar sua própria VPN usando WireGuard e um servidor na nuvem. Você vai configurar tudo do zero, com interface gráfica, sem logs e sem depender de serviços pagos de terceiros. ## O que você vai aprender neste aulão Se você quer saber como criar sua própria VPN, este artigo é o guia definitivo — baseado num aulão ao vivo que eu fiz do zero, com mais de mil pessoas assistindo. Criar uma VPN pessoal é mais simples, mais barato e mais seguro do que pagar por serviços como NordVPN ou ExpressVPN. E eu provei isso na prática. Montei um servidor na nuvem, instalei o [WireGuard](https://www.wireguard.com/) com interface gráfica, configurei autenticação de dois fatores e conectei meu iPhone e Windows na minha VPN pessoal. Tudo funcionando. Tudo meu. Sem terceiros. Neste artigo você vai encontrar o passo a passo completo que eu segui na live: como conseguir um servidor gratuito (com $200 de crédito na DigitalOcean), como configurar um domínio sem pagar nada, como rodar o script que automatiza toda a instalação e como conectar seus dispositivos. E eu também vou compartilhar os mais de 10 métodos que testei durante a semana antes do aulão — incluindo um que descartei porque o criador trabalha em órgão de inteligência do governo americano. Se você assistiu meu vídeo anterior (aquele que passou de 60 mil views) onde eu provei que VPN comercial não te deixa anônimo, este artigo é a resposta prática para a pergunta que mais recebi: "Bruno, então como eu crio a minha própria VPN?" Vamos lá. ## Por que criar sua própria VPN em vez de usar serviços comerciais Criar uma VPN própria elimina o intermediário que recebe todo o seu tráfego de internet. Em vez de confiar seus dados a uma empresa terceira, você controla o servidor, os logs e a configuração de ponta a ponta. Eu uso VPN. Sempre usei. Mas eu uso a minha. E o motivo é simples: quando você contrata uma VPN comercial, você está trocando um problema por outro. Você esconde seus dados do provedor de internet — beleza. Mas entrega tudo para a empresa de VPN. Você desconfia do seu provedor, mas confia cegamente numa empresa que você nunca visitou, nunca auditou, e que faz promessas agressivas de marketing. E essas promessas são pesadas. A [ExpressVPN](https://www.expressvpn.com/) diz que você fica "seguro e anônimo online". A [CyberGhost](https://www.cyberghostvpn.com/) promete "privacidade total, anonimato total de dados em todos os aplicativos". A [ProtonVPN](https://protonvpn.com/) usa o termo "VPN anônimo" no site. Cara, impossível entregar isso. Eu provei no vídeo anterior, na prática, que nenhuma dessas promessas se sustenta. Mas tem mais. As empresas de VPN ganham dinheiro vendendo inteligência de dados. Big data de acessos, configurações, tecnologias, penetração de mercado por região. Quer saber qual modem D-Link é mais usado em determinada cidade? Uma empresa de VPN tem esse dado. E vende. Quando você cria sua própria VPN, o túnel vai direto de você para o seu servidor. Sem provedor vendo, sem terceiro coletando. Você no controle. ## O que VPN comercial não te conta: mitos sobre privacidade e anonimato VPN não te torna anônimo. O IP é apenas um dos identificadores que você possui quando acessa a internet — e a VPN só muda o IP. Eu demonstrei isso ao vivo no vídeo que deu mais de 60 mil views. Mesmo com VPN ativa, você ainda entrega latitude e longitude, fuso horário, idioma do sistema, layout do teclado, resolução de tela, e dezenas de outros identificadores. O site que você acessa recebe tudo isso independente da VPN estar ligada ou não. E aqui vai um dado que surpreende muita gente: o nome da sua rede Wi-Fi é mais preciso para descobrir sua localização do que o seu IP. Sabe aquele "Wi-Fi do Pedro"? Pois é. Bases de dados de geolocalização por SSID são absurdamente precisas. Um dia eu mostro isso num aulão. Um seguidor me mandou mensagem no Instagram depois do vídeo. Ele usava VPN no Telegram para ver conteúdos de guerra, achando que estava protegido. Mas quando ele parou para pensar, percebeu: ao entrar no Telegram com VPN, ele ainda entregava o dispositivo, a localização, o username, tudo. A VPN mudou o IP dele. Só isso. Outra coisa que ninguém fala: não existe VPN sem log. É impossível um servidor funcionar sem nenhum tipo de registro, nem que seja temporário. Quando uma empresa diz "zero logs", ela está simplificando (para não dizer outra coisa) uma realidade técnica que não permite isso de forma absoluta. Mas calma. Eu não estou dizendo para não usar VPN. Eu estou dizendo para não confiar seus dados a terceiros quando você pode ter o controle total. ## O que você precisa para criar sua própria VPN Para montar sua VPN pessoal com WireGuard, você precisa de quatro coisas: um servidor na nuvem (VPS), um domínio apontando para o IP desse servidor, uma chave SSH e o script de automação. Vou detalhar cada item: 1. **Servidor VPS** — Uma máquina virtual rodando Ubuntu 22.04. Pode ser na [DigitalOcean](https://www.digitalocean.com/), [Amazon AWS](https://aws.amazon.com/), [Vultr](https://www.vultr.com/) ou qualquer provedor. Eu usei a DigitalOcean com $200 de crédito gratuito. 2. **Domínio ou subdomínio** — Pode ser gratuito usando o DuckDNS ou um domínio que você já tenha. O domínio precisa apontar para o IP do servidor ANTES de rodar o script. 3. **Chave SSH** — Um par de chaves criptográficas para acessar o servidor sem senha. Tanto Windows 11 quanto Mac/Linux têm o comando `ssh-keygen` nativo. 4. **Script EasyVPN** — O [ansible-easy-vpn](https://github.com/notthebee/ansible-easy-vpn) no GitHub, que automatiza toda a instalação do WireGuard com interface gráfica, 2FA, firewall e proteções. 5. **Aplicativo WireGuard** — Instalado no iPhone, Android ou Windows para conectar na VPN. Gratuito em todas as plataformas. E um detalhe que aprendi na marra durante a live: crie o domínio e espere a propagação DNS ANTES de rodar o script. Eu fiz na hora, não esperei, e o servidor não respondeu. Perdi tempo criando uma segunda máquina quando bastava ter paciência. ## Como escolher e configurar um servidor VPS gratuito Um VPS (Virtual Private Server) é uma máquina virtual na nuvem onde sua VPN vai rodar. Você aluga um espaço em um data center, instala o sistema operacional e tem controle total do servidor. Na minha opinião, as melhores empresas para isso são DigitalOcean, Amazon AWS e Vultr. A DigitalOcean é a mais fácil para quem está começando. A Amazon tem data centers no Brasil (São Paulo). E a Vultr também tem presença no Brasil. ### Como conseguir servidor VPN gratuito na DigitalOcean ($200 de crédito) A [DigitalOcean](https://www.digitalocean.com/) oferece $200 de crédito gratuito por 60 dias para contas novas. Você tem $200 para 60 dias — pode usar como quiser. Se criar uma máquina de $12/mês, sobra crédito de sobra para rodar a VPN por 2 meses sem gastar nada. O único requisito é inserir um cartão de crédito para verificar a conta. Ele debita cerca de $1 como teste e estorna. Você pode usar um cartão virtual do [Nubank](https://nubank.com.br/) para isso e apagar depois. Para criar o servidor na DigitalOcean: 1. Crie sua conta e ative o crédito de $200 2. Clique em **Create** > **Droplet** 3. Escolha a região do servidor (São Francisco, Nova York, Amsterdam — onde preferir) 4. Selecione **Ubuntu 22.04** como sistema operacional — o script foi testado nessa versão 5. Escolha o plano: $6/mês funciona, $12/mês com 2GB de RAM e 50GB de disco é o que eu usei 6. Crie uma senha de acesso 7. Dê um nome ao servidor e clique em **Create** Em menos de 1 minuto o servidor está pronto com um IP público. ### Alternativas baratas de VPS: LowEndStock e outros provedores Se você não quer depender do crédito gratuito, existe o [LowEndStock](https://lowendstock.com/contact.php) — um site agregador de ofertas de VPS baratos de diversas empresas. Lá você encontra servidores a partir de $1/mês. Eu mostrei o site na live e filtrei por dois critérios que você precisa seguir: **IPv4 dedicado** e **KVM** como tipo de virtualização. Com esses filtros, apareceram empresas como a [JustHost](https://justhost.ru/en) vendendo planos anuais por $9 a $12 o ano todo. Mas atenção: algumas dessas empresas são russas, e a legislação local pode ter implicações sobre privacidade dos dados. Pesquise sobre a empresa antes de comprar. Outras alternativas incluem [Hostinger](https://www.hostinger.com.br/), [HostGator](https://www.hostgator.com.br/) e [Google Cloud](https://cloud.google.com/) (que também oferece crédito gratuito). O [LowEndBox](https://lowendbox.com/) é outro site que lista ofertas atualizadas de VPS baratos. ## Como configurar DNS gratuito com DuckDNS O DuckDNS é um serviço gratuito de DNS dinâmico que permite criar subdomínios apontando para qualquer IP, sem precisar comprar um domínio próprio. É open source, hospedado na Amazon e mantido por doações da comunidade. **Nota importante (2026):** O DuckDNS [enfrentou instabilidades recentes](https://securityonline.info/duckdns-is-down-what-happened-to-the-free-ddns-service/), então verifique se o serviço está ativo antes de contar com ele. Se preferir estabilidade, compre um domínio próprio (custa menos de R$40/ano). Para configurar o DuckDNS: 1. Acesse o site e faça login com Google ou GitHub 2. Digite o nome do subdomínio que deseja (eu criei `aulao13.duckdns.org`) 3. Clique em **Create** 4. Cole o IP do seu servidor VPS no campo de IP 5. Clique em **Update** E aqui vai o ponto que me causou problema na live: **espere a propagação do DNS antes de continuar**. Você pode verificar a propagação em sites como [whatsmydns.net](https://www.whatsmydns.net/). Quando o domínio estiver apontando para o IP correto em múltiplos servidores ao redor do mundo, aí sim você roda o script de instalação. Eu não esperei. O Docker não iniciou porque o domínio não tinha propagado. Criei um segundo servidor à toa. Não cometa o mesmo erro. ## Os 10+ métodos que eu testei antes de encontrar a solução para VPN pessoal Durante a semana inteira antes do aulão, eu testei mais de 10 formas diferentes de criar uma VPN. Vou compartilhar o que funcionou, o que não funcionou e por quê. ### OpenVPN manual no Ubuntu Primeira tentativa. Segui um tutorial completo: instalei o Linux no servidor, configurei permissões, chaves, variáveis de ambiente, IP forward, tunelamento, SSL. Gastei mais de 3 horas. Funcionou, mas foi complicado demais. Não tinha aplicativo mobile nativo, tive que fazer configuração manual no telefone e no computador. Descartei porque seria impossível ensinar isso numa live para iniciantes. ### WireGuard manual Segunda tentativa. Mais rápido que o OpenVPN, mas o gerenciamento era todo em modo texto — sem interface gráfica. E não tinha regras de firewall configuradas. O servidor ficava exposto. Eu não vou ensinar as pessoas a criar uma VPN, instalar o software e sumir. E se o cara for atacado? E se não tiver nenhum firewall configurado? ### WireGuard com scripts automatizados Encontrei tutoriais com scripts que automatizavam parte da instalação. Mas um deles estava offline. Outro entrava em conceitos tão técnicos de rede interna e segurança entre peers que virou uma confusão de nível binário. Nenhum era completo o suficiente. ### AlgoVPN — o caso do criador na inteligência americana Esse me chamou atenção. O [AlgoVPN](https://github.com/trailofbits/algo) era incrivelmente fácil: com 1 clique você criava uma VPN no Google Cloud. Tudo automatizado, tudo pronto. Mas eu fiquei com uma pulga atrás da orelha porque o código fonte era gigante e eu não conseguia auditar tudo. Fui pesquisar no Reddit e no LinkedIn. E descobri que o criador do script trabalha em órgão de monitoramento do governo americano. Tinha [um monte de discussão no Reddit](https://www.reddit.com/r/VPN/comments/qmwvwg/thoughts_on_algo_vpn/) sobre isso, gente criticando, questionando. Não que necessariamente seja um problema técnico. Mas eu pensei: se eu recomendar isso na live e alguém pesquisar, vai falar que eu passei uma ferramenta de um cara que vigia todo mundo. Descartei. E a lição aqui é valiosa: sempre pesquise quem está por trás de ferramentas de segurança e privacidade antes de confiar seus dados. Verifique no Reddit, LinkedIn e comunidades técnicas. OSINT básico. ### Empresa que cobra $10 para instalar Encontrei uma empresa que basicamente fazia o que o script gratuito faz — instalava a VPN na sua DigitalOcean por $10. Achei o modelo interessante, mas não faz sentido pagar quando existe uma solução open source gratuita. ### A solução final: EasyVPN (ansible-easy-vpn) Na madrugada antes do aulão, encontrei o [ansible-easy-vpn](https://github.com/notthebee/ansible-easy-vpn) no GitHub. Um script open source que com poucos comandos instala tudo: WireGuard com interface gráfica, autenticação 2FA, [BunkerWeb](https://docs.bunkerweb.io/latest/features/) para hardening do servidor, [Fail2Ban](https://www.fail2ban.org/) contra brute force, iptables configurado, opção de [AdGuard](https://adguard.com/) para bloqueio de anúncios, [DNSCrypt](https://dnscrypt.info/) e notificações por e-mail. Eu li todo o código fonte naquela madrugada. Todo. Comecei pelo Bootstrap.sh, passei pelos playbooks [Ansible](https://www.ansible.com/) em YAML, verifiquei cada etapa. É limpo, bem estruturado e auditável. O criador é o Wolfgang (perfil [notthebee no GitHub](https://github.com/notthebee)). ## WireGuard vs OpenVPN: por que escolhi o WireGuard para minha VPN O [WireGuard](https://en.wikipedia.org/wiki/WireGuard) é um protocolo VPN moderno, open source, que foi incorporado ao kernel do Linux em março de 2020 (versão 5.6). Ele usa criptografia de última geração — ChaCha20 para criptografia, Poly1305 para autenticação, Curve25519 para troca de chaves — e tem um código fonte drasticamente menor que o OpenVPN. Comparando os dois na prática: | Característica | WireGuard | OpenVPN | |---|---|---| | Linhas de código | ~4.000 | ~100.000+ | | Velocidade de conexão | Mais rápido | Mais lento | | Configuração manual | Moderada | Complexa (3+ horas no meu teste) | | Apps nativos mobile | Sim (iOS, Android) | Parcial | | Protocolo de transporte | UDP | UDP ou TCP | | Auditoria de código | Fácil (código pequeno) | Difícil (código extenso) | | Suporte no kernel Linux | Nativo desde 5.6 | Módulo externo | Eu gastei mais de 3 horas configurando OpenVPN manualmente e o resultado era inferior em velocidade e usabilidade. Com WireGuard via script EasyVPN, em menos de 30 minutos (contando o tempo de instalação automática) eu tinha tudo rodando com interface gráfica. Mas o WireGuard tem uma particularidade: ele não usa certificados como o OpenVPN. Usa chaves públicas para criptografia e identidade. Isso simplifica muito a configuração, mas significa que o gerenciamento de peers é diferente. A interface gráfica do EasyVPN resolve isso de forma elegante. ## Passo a passo: instalação completa da VPN própria no servidor Ubuntu Aqui está o processo completo, na ordem correta, com os detalhes que eu aprendi errando na live. ### Passo 1: Conectar no servidor via SSH Se você usa Mac ou Linux, abra o terminal e digite: ``` ssh root@SEU_IP_DO_SERVIDOR ``` Se usa Windows 11, o SSH já vem nativo — abra o Prompt de Comando ou PowerShell e use o mesmo comando. Para versões anteriores do Windows, baixe o [PuTTY](https://www.putty.org/), insira o IP do servidor, porta 22, e clique em Open. Mas atenção: no PuTTY, para colar a senha você usa o botão direito do mouse, não Ctrl+V. Eu descobri isso ao vivo quando não conseguia colar a senha na frente de mil pessoas. ### Passo 2: Executar o script de instalação Dentro do servidor, cole e execute o comando abaixo (disponível no [repositório ansible-easy-vpn](https://github.com/notthebee/ansible-easy-vpn)): ``` wget https://raw.githubusercontent.com/notthebee/ansible-easy-vpn/main/bootstrap.sh -O bootstrap.sh && bash bootstrap.sh ``` O script vai começar a preparar o ambiente: verificar o sistema operacional, instalar dependências (sudo, curl, Python, Git, rsync), configurar o [Docker](https://www.docker.com/) e baixar todos os componentes necessários. ### Passo 3: Responder as perguntas de configuração O script vai fazer perguntas interativas. Aqui está o que eu respondi: 1. **Nome de usuário**: Criei "aulao" (pode ser qualquer nome — ele vai criar um usuário Linux separado do root) 2. **Senha**: Defini uma senha forte 3. **AdGuard**: Respondi **N** (não). É funcionalidade experimental adicionada por um contribuidor externo, não pelo autor principal. Pode causar erros. 4. **Domínio**: Colei `aulao13.duckdns.org` (o subdomínio que criei no DuckDNS já apontando para o IP) 5. **DNS resolver**: Escolhi opção **1** — [Cloudflare 1.1.1.1](https://1.1.1.1/) 6. **Chave SSH**: Respondi **Y** e colei o conteúdo da minha chave pública (`id_rsa.pub` ou `id_ed25519.pub`) 7. **E-mail para notificações**: Respondi **N**. Simplifica o processo — se não configurar, você usa o comando `show2fa` no terminal para obter o código 2FA 8. **Senha de configuração**: Defini uma senha 9. **Rodar playbook agora?**: Respondi **Y** E aqui vai um cuidado sério: esse script não tem muito tratamento de erro. Se você digitar comandos errados, vai quebrar tudo. Preste atenção em cada campo, anote tudo num bloco de notas antes de começar. ### Passo 4: Esperar a instalação e ir tomar café O playbook [Ansible](https://docs.ansible.com/projects/ansible/latest/playbook_guide/playbooks.html) vai rodar automaticamente. Ele configura o Docker, instala o WireGuard, configura o [BunkerWeb](https://docs.bunkerweb.io/1.5/web-ui/) para proteção do servidor, instala o [Fail2Ban](https://www.fail2ban.org/) contra ataques de força bruta, configura iptables, gera certificados SSL e sobe todos os serviços. Isso demora. Na live eu fiquei ansioso e tentei acessar antes de estar pronto — deu erro. O Docker não tinha iniciado completamente e a propagação DNS não estava completa. Minha recomendação: depois que o playbook começar a rodar, espere 15 a 20 minutos. Vá tomar um café. Volte. Vai estar tudo pronto. ### Passo 5: Reconectar via SSH com chave Depois que a instalação terminar, a conexão SSH vai cair. Para reconectar, agora use o novo usuário (não mais root) e passe a chave SSH: ``` ssh -p 22 -i ~/.ssh/id_rsa USUARIO@IP_DO_SERVIDOR ``` No meu caso foi: ``` ssh -p 22 -i ~/.ssh/id_ed25519 aulao@165.232.130.56 ``` No Windows 11, o mesmo comando funciona no PowerShell. No PuTTY, você configura a chave em Connection > SSH > Auth > Credentials. ### Passo 6: Obter o código 2FA Como eu não configurei e-mail, preciso rodar o comando no terminal do servidor: ``` show2fa ``` Ele vai mostrar uma URL para configurar o 2FA. Copie essa URL e abra no browser. ### Passo 7: Configurar autenticação de dois fatores Na URL que o comando gerou, você vai ver um QR code ou código para cadastrar no seu aplicativo de 2FA. Eu uso o [1Password](https://1password.com/), mas você pode usar o [Google Authenticator](https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2) ou qualquer app que gere códigos TOTP. Cadastre o código, salve, e pronto — seu painel está protegido com dois fatores. ### Passo 8: Acessar o painel WireGuard Abra o browser e acesse: ``` wg.SEU_DOMINIO ``` No meu caso: `wg.aulao13.duckdns.org` Faça login com o usuário e senha que você criou, insira o código 2FA, e você vai ver o painel de gerenciamento do WireGuard. Mas tem um detalhe que me pegou: depois de autenticar o 2FA, o painel não redireciona automaticamente. Você precisa abrir novamente a URL `wg.seudominio` manualmente. É um bug pequeno, mas confunde. ## Como conectar iPhone, Android e Windows na sua VPN pessoal Com o painel aberto, conectar dispositivos é questão de minutos. O WireGuard tem apps gratuitos para todas as plataformas. ### Conectando o iPhone 1. Baixe o app **WireGuard** na App Store (gratuito, open source) 2. No painel web, clique em **New Client** e dê um nome (ex: "iPhone") 3. Clique em **Create** — vai gerar um QR code 4. No app do iPhone, toque no **+** e selecione **Create from QR code** 5. Aponte a câmera para o QR code na tela 6. Dê um nome para o túnel e salve 7. Ative o toggle — pronto, conectado Eu fiz isso ao vivo. Liguei a VPN no meu iPhone pessoal via 4G (nem estava no Wi-Fi) e confirmei que o IP exibido era o da DigitalOcean. Todo o tráfego do meu telefone estava passando pelo meu servidor. ### Conectando o Windows 1. Baixe o [WireGuard para Windows](https://www.wireguard.com/quickstart/) no site oficial 2. No painel web, crie um novo cliente (ex: "Windows") 3. Em vez de QR code, clique em **Download** para baixar o arquivo de configuração `.conf` 4. No app WireGuard do Windows, clique em **Import tunnel(s) from file** 5. Selecione o arquivo `.conf` baixado 6. Clique em **Activate** — conectado Na live eu conectei meu Windows 11 virtualizado dessa forma. Abri o Google, pesquisei "qual é meu IP" e confirmei: o IP era o mesmo da DigitalOcean. Meu tráfego estava tunelado. ### Conectando o Android O processo é parecido com o iPhone. Baixe o app WireGuard na Play Store, crie um cliente no painel, leia o QR code com a câmera. E funciona sem nenhuma configuração adicional. A única diferença é que no Android você pode também importar o arquivo `.conf` diretamente pelo gerenciador de arquivos, caso prefira não usar QR code. ## Teste de velocidade: VPN própria vs VPN comercial Eu rodei o [Speedtest](https://www.speedtest.net/) tanto no iPhone (via 4G com VPN ativa) quanto no Windows virtualizado. A velocidade foi impressionante — praticamente sem perda perceptível em relação à conexão sem VPN. E isso faz sentido técnico. O WireGuard é significativamente mais rápido que protocolos como OpenVPN porque roda no kernel do Linux, usa criptografia moderna de alto desempenho (ChaCha20 é rápido em dispositivos sem aceleração AES) e tem overhead mínimo de protocolo. Com VPN comercial, seu tráfego passa por infraestrutura compartilhada com milhares de outros usuários, com roteamento nem sempre eficiente. Com VPN própria, você tem o servidor dedicado para você. Mas tem uma ressalva: a velocidade depende do plano do seu VPS e da localização geográfica do servidor. Se você escolher um servidor em São Francisco e estiver no Brasil, vai ter latência maior do que se escolher um servidor em São Paulo (disponível na AWS e Vultr). ## O que o script EasyVPN instala automaticamente no seu servidor Para quem quer entender o que está rodando por baixo dos panos, aqui vai o detalhamento de cada componente: | Componente | Função | |---|---| | WireGuard | Protocolo VPN — cria o túnel criptografado entre seus dispositivos e o servidor | | WireGuard Web UI | Interface gráfica no browser para gerenciar clientes, gerar QR codes e monitorar conexões | | Docker | Plataforma de containerização que isola cada serviço em containers separados | | BunkerWeb | Hardening do servidor web — proteção contra ataques comuns, WAF integrado | | Fail2Ban | Monitora logs e bloqueia IPs que tentam brute force no servidor | | iptables | Firewall do Linux — regras de entrada/saída configuradas automaticamente | | Let's Encrypt | Certificado SSL gratuito para o painel web (HTTPS) | | Ansible | Automação que orquestra toda a instalação via playbooks YAML | | Cloudflare DNS (1.1.1.1) | Resolver DNS configurado internamente na VPN | | 2FA (TOTP) | Autenticação de dois fatores para acesso ao painel de gerenciamento | Opcionalmente, o script também oferece AdGuard (bloqueio de anúncios direto no servidor), DNSCrypt (criptografia de consultas DNS) e Unbound (resolver DNS recursivo local). Eu não ativei o AdGuard porque é funcionalidade experimental adicionada por um contribuidor externo, não pelo autor principal do script. Preferi não arriscar erros na instalação. ## Quanto custa criar uma VPN própria vs VPN comercial O custo real de manter uma VPN própria é surpreendentemente baixo. Aqui está a comparação: | Opção | Custo mensal | Custo anual | |---|---|---| | VPN própria na DigitalOcean (plano $6) | ~R$30/mês | ~R$360/ano | | VPN própria na DigitalOcean (com crédito $200) | R$0 por 60 dias | — | | VPN própria em VPS barato (LowEndStock) | ~R$5/mês | ~R$50/ano | | NordVPN (plano mensal) | ~R$60/mês | ~R$720/ano | | ExpressVPN (plano mensal) | ~R$65/mês | ~R$780/ano | Mas o custo não é só financeiro. Com VPN própria, você ganha controle total sobre logs, localização do servidor, configuração de segurança e não depende de nenhuma empresa terceira. O custo de uma VPN comercial inclui algo que não aparece na fatura: seus dados. ## Ferramentas Utilizadas Neste Aulão | Ferramenta | Finalidade | Link | |---|---|---| | WireGuard | Protocolo VPN open source — base de toda a VPN pessoal | [WireGuard](https://www.wireguard.com/) | | ansible-easy-vpn | Script que automatiza instalação completa com interface gráfica e 2FA | [ansible-easy-vpn](https://github.com/notthebee/ansible-easy-vpn) | | DigitalOcean | Provedor de VPS com $200 de crédito gratuito | [DigitalOcean](https://www.digitalocean.com/) | | DuckDNS | DNS dinâmico gratuito para criar subdomínios | [DuckDNS](https://medium.com/@4get.prakhar/connecting-your-local-network-to-the-internet-with-duckdns-f8179f7cc20e) | | PuTTY | Cliente SSH para Windows (versões anteriores ao 11) | [PuTTY](https://www.putty.org/) | | BunkerWeb | Hardening e proteção do servidor Linux | [BunkerWeb](https://docs.bunkerweb.io/latest/features/) | | Fail2Ban | Proteção contra brute force — bloqueia IPs atacantes | [Fail2Ban](https://www.fail2ban.org/) | | Ansible | Automação via playbooks YAML | [Ansible](https://www.ansible.com/) | | Docker | Containerização dos serviços da VPN | [Docker](https://www.docker.com/) | | Cloudflare DNS | Resolver DNS 1.1.1.1 usado internamente na VPN | [Cloudflare DNS](https://1.1.1.1/) | | 1Password | Gerenciador de senhas e códigos 2FA | [1Password](https://1password.com/) | | Speedtest | Teste de velocidade da conexão VPN | [Speedtest](https://www.speedtest.net/) | | LowEndStock | Agregador de ofertas de VPS baratos | [LowEndStock](https://lowendstock.com/contact.php) | | Amazon AWS | Provedor de VPS alternativo com data centers no Brasil | [Amazon AWS](https://aws.amazon.com/) | | Vultr | Provedor de VPS alternativo com presença no Brasil | [Vultr](https://www.vultr.com/) | ## Perguntas Frequentes ### Como faço para criar minha própria VPN? Você precisa de um servidor na nuvem (VPS) rodando Ubuntu 22.04, um domínio apontando para o IP desse servidor e o script [ansible-easy-vpn](https://github.com/notthebee/ansible-easy-vpn). O script automatiza toda a instalação do WireGuard com interface gráfica, firewall e 2FA. O processo completo leva cerca de 30 minutos. ### Quanto custa criar uma VPN própria? Com o crédito de $200 da DigitalOcean, custa zero por 60 dias. Depois disso, um servidor básico custa entre $4 e $12/mês (R$20 a R$60). No LowEndStock você encontra VPS por $1/mês. É significativamente mais barato que qualquer VPN comercial. ### VPN realmente protege minha privacidade? VPN protege o tráfego entre você e o servidor contra interceptação (criptografia do túnel) e esconde sua atividade do provedor de internet. Mas VPN não te torna anônimo. Seu dispositivo ainda entrega dezenas de identificadores — fuso horário, idioma, resolução de tela, nome da rede Wi-Fi — que permitem rastreio independente do IP. ### Qual a diferença entre VPN própria e VPN comercial? Na VPN comercial, seus dados passam pelo servidor de uma empresa terceira que pode registrar, analisar e vender inteligência sobre seu tráfego. Na VPN própria, o servidor é seu — você controla os logs, a configuração e não depende de nenhum intermediário. A desvantagem é que você precisa manter o servidor. ### É legal usar VPN no Brasil? Sim. O uso de VPN é legal no Brasil. Não existe legislação que proíba a utilização de redes privadas virtuais. O que pode ser ilegal são atividades realizadas através da VPN — a ferramenta em si é permitida. ### O que é WireGuard e como funciona? [WireGuard](https://en.wikipedia.org/wiki/WireGuard) é um protocolo VPN open source incorporado ao kernel do Linux desde março de 2020. Ele cria túneis criptografados usando criptografia moderna (ChaCha20, Curve25519) e tem apenas ~4.000 linhas de código — contra mais de 100.000 do OpenVPN. Isso o torna mais rápido, mais fácil de auditar e com menor superfície de ataque. ### Como configurar VPN no iPhone e Windows? No iPhone: baixe o app WireGuard na App Store, crie um cliente no painel web da sua VPN, escaneie o QR code gerado com a câmera do app. No Windows: baixe o WireGuard para Windows, crie um cliente no painel, baixe o arquivo `.conf` de configuração e importe no app. Ambos os processos levam menos de 2 minutos. ### Como ter um servidor VPN gratuito? Crie uma conta na [DigitalOcean](https://www.digitalocean.com/) e ative o crédito de $200 por 60 dias. Isso permite rodar um servidor VPN sem custo durante 2 meses. Depois, você pode migrar para um VPS barato no LowEndStock por $1/mês ou explorar o free tier do Google Cloud. ## Referências e Recursos - [WireGuard — Site Oficial e Quick Start](https://www.wireguard.com/quickstart/) - [ansible-easy-vpn — Script no GitHub](https://github.com/notthebee/ansible-easy-vpn) - [Wolfgang (notthebee) — Perfil no GitHub](https://github.com/notthebee) - [WireGuard — Wikipedia](https://en.wikipedia.org/wiki/WireGuard) - [WireGuard: o protocolo VPN de próxima geração — Startup Defense](https://www.startupdefense.io/pt-br/blog/wireguard-o-protocolo-vpn-de-proxima-geracao) - [DigitalOcean — Créditos e Promoções](https://www.digitalocean.com/open-source/credits-for-projects) - [BunkerWeb — Documentação de Features](https://docs.bunkerweb.io/latest/features/) - [Fail2Ban — Site Oficial](https://www.fail2ban.org/) - [Ansible — Documentação de Playbooks](https://docs.ansible.com/projects/ansible/latest/playbook_guide/playbooks.html) - [LowEndBox — Ofertas de VPS Baratos](https://lowendbox.com/) - [DuckDNS — Tutorial de Configuração](https://medium.com/@4get.prakhar/connecting-your-local-network-to-the-internet-with-duckdns-f8179f7cc20e) - [DuckDNS — Discussão no Hacker News](https://news.ycombinator.com/item?id=33367767) - [DuckDNS — Status e Instabilidades](https://securityonline.info/duckdns-is-down-what-happened-to-the-free-ddns-service/) - [AlgoVPN — Discussão no Reddit](https://www.reddit.com/r/VPN/comments/qmwvwg/thoughts_on_algo_vpn/) - [OpenVPN vs WireGuard — Comparativo Palo Alto](https://www.paloaltonetworks.com/cyberpedia/wireguard-vs-openvpn) - [OpenVPN vs WireGuard — Comparativo GoodAccess](https://www.goodaccess.com/blog/openvpn-vs-wireguard) - [JustHost — VPS a partir de $0.99](https://justhost.ru/en) - [setup-ipsec-vpn — Scripts alternativos para VPN](https://github.com/hwdsl2/setup-ipsec-vpn) --- ### Aulão #012 — Desvendando Perfis no Twitter: Técnicas de Investigação que Poucos Conhecem URL: https://brunofraga.com/aulao-semanal/como-investigar-pessoas-no-twitter Publicado: 2024-08-15 Tags: osint, investigacao-digital, tutoriais, privacidade, ciberseguranca YouTube: https://www.youtube.com/watch?v=sB4_TXOsvKM Neste aulão em vídeo com demonstração prática, Bruno Fraga ensina como investigar pessoas no Twitter (X) usando operadores de busca avançada, geolocalização, TweetDeck e técnicas OSINT para monitoramento em tempo real de perfis e publicações. ## O que você vai aprender neste aulão Neste aulão eu mostro, na prática, como investigar pessoas no Twitter (agora chamado de X) usando operadores de busca avançada, geolocalização e painéis de monitoramento em tempo real. Tudo o que eu demonstrei ao vivo — desde filtrar ameaças direcionadas a perfis públicos até monitorar uma região inteira pelo mapa — está destrinchado aqui, passo a passo, para você replicar. Se você é policial, advogado, jornalista ou simplesmente alguém que quer entender o que acontece na sua rua sem abrir a janela, esse conteúdo é para você. Eu já vi alunos meus implementarem essas técnicas em centros de operações de segurança pública, em investigações de fraude e em cobertura jornalística de conflitos internacionais. E o resultado é sempre o mesmo: informação antes de todo mundo. O que você vai conseguir fazer depois de ler este artigo: - Capturar o ID único de qualquer perfil no Twitter (e entender por que isso é a primeira coisa que um investigador faz) - Usar operadores de busca avançada para filtrar tweets por autor, destinatário, palavra-chave, engajamento, data e tipo de mídia - Aplicar geolocalização para monitorar qualquer região do planeta em tempo real - Montar um painel de monitoramento com múltiplas colunas no TweetDeck (X Pro) que se atualiza sozinho Se você já acompanha os [aulões anteriores sobre investigação digital em fontes abertas](https://brunofraga.com/aulao-semanal/investigacao-digital-em-fontes-abertas-osint-segredos), sabe que eu sempre entrego na prática. Esse aulão não foi diferente. ## Por que o Twitter (X) é a melhor fonte de dados para investigação em tempo real O X é a rede social mais utilizada para monitoramento em tempo real no mundo. Tweets aparecem antes de qualquer notícia publicada por veículos de mídia — e isso não é exagero. Os números falam por si: 1,3 bilhão de contas criadas, 368 milhões de usuários ativos por mês e 500 milhões de tweets publicados diariamente. Quando você entende que cada um desses tweets carrega dezenas de metadados — horário, localização, dispositivo, idioma, engajamento — percebe que estamos falando de uma base de dados com capacidade de sustentar Big Data e inteligência artificial aplicada à investigação. Mas o diferencial não está só no volume. Está na velocidade. ### O caso do Halloween em Itaewon, Coreia do Sul Eu estava dando aula ao vivo com alunos quando aconteceu a [tragédia do Halloween em Itaewon, em 29 de outubro de 2022](https://en.wikipedia.org/wiki/Seoul_Halloween_crowd_crush). Uma multidão se comprimiu numa rua estreita do bairro de Itaewon, em Seul, resultando em 159 mortes e 196 feridos — o pior desastre na Coreia do Sul desde o naufrágio do MV Sewol em 2014, [segundo a BBC](https://www.bbc.com/news/world-63448040). Naquele momento, não existia nenhuma notícia em português sobre o que estava acontecendo. Nada no G1, nada em lugar nenhum. E quando eu filtrei a geolocalização daquela região no Twitter com os alunos, em tempo real a gente começou a ver as pessoas postando tweets, pedindo ajuda, tirando fotos, fazendo lives. Coisa de 2 a 3 segundos de atraso. Uma pessoa escrevia "me ajuda" e 3 segundos depois o tweet aparecia na minha tela. Em tempo real. Sem filtro editorial, sem delay de redação. A informação bruta, direto da fonte. E foi pesado. Mas foi ali que ficou claro: o Twitter mostra o mundo acontecendo. Não o mundo que já aconteceu. ## Por que definir um objetivo antes de investigar no Twitter O maior erro do investigador é começar a investigar sem ter um objetivo definido. Eu sempre falo isso e vou repetir: se você não sabe o que está procurando, vai se afogar em dados. O Twitter gera um volume absurdo de dados. Nessa aula eu demonstrei que a gente coleta muita coisa — tweets, perfis, conexões, localizações. Mas para que tudo isso se você não sabe o resultado que quer alcançar? Antes de abrir qualquer ferramenta, responda: qual é o meu objetivo? Aqui vão exemplos concretos de objetivos que fazem sentido para investigação digital no Twitter: - Prevenção e detecção de atividades criminosas (fraudes, tráfico, cyberataques) - Análise de ameaças e riscos (terrorismo, protestos, vandalismo) - Encontrar pessoas desaparecidas - Monitorar marca ou empresa - Investigação jornalística e verificação de fatos - Contra inteligência - Prevenção de assédio e bullying online Sem objetivo, você vira um colecionador de dados. Com objetivo, você vira um investigador. Se você está começando agora na área, eu recomendo ler o [guia sobre como iniciar na carreira de investigador digital](https://brunofraga.com/aulao-semanal/como-iniciar-carreira-investigador-digital) que publiquei anteriormente. ## Quais dados um perfil e um tweet revelam no Twitter Um perfil no Twitter revela nome de usuário, nome da conta, ID único, data de criação, número de seguidores e seguidos, bio, categoria, localização declarada e link na bio. Um tweet revela horário de publicação, ID do tweet, autor, conteúdo (texto, hashtags, menções, URLs, mídia), idioma, número de retweets, comentários, likes, se possui resposta, dispositivo utilizado e — quando habilitado — geolocalização exata. Esse conjunto de dados é extremamente perigoso pela quantidade de conexões que permite fazer. E eu uso a palavra "perigoso" de propósito. ### Metadados de um perfil Quando você olha um perfil no Twitter, talvez veja só uma foto, um nome e uma bio. Mas por trás disso existe: | Dado | O que revela | |---|---| | Username | Identificador público (@usuario) — pode ser alterado | | Nome | Nome de exibição — pode ser alterado | | ID único | Número fixo que nunca muda, mesmo se o username mudar | | Data de criação | Quando a conta foi criada | | Seguidores/Seguindo | Rede de conexões | | Bio | Texto livre — frequentemente revela profissão, localização, interesses | | Categoria | Tipo de conta (pessoal, empresa, governo) | | Localização | Cidade/país declarado pelo usuário | | Link na bio | Site pessoal, LinkedIn, outras redes — ponto de pivô para expandir a investigação | ### Metadados de um tweet Cada tweet individual carrega ainda mais informação: | Dado | O que revela | |---|---| | Horário | Momento exato da publicação | | ID do tweet | Identificador único da postagem (visível na URL) | | Autor | Conecta ao perfil do autor | | Conteúdo | Texto, hashtags, menções, URLs, mídia | | Idioma | Idioma detectado do tweet | | Engajamento | Retweets, comentários, likes, salvamentos | | Dispositivo | Se foi postado de iPhone, Android, web | | Geolocalização | Coordenadas de onde o tweet foi feito (quando habilitado) | Quando você multiplica esses metadados por 500 milhões de tweets diários e começa a cruzar as informações — conexões entre perfis, hashtags em comum, localizações sobrepostas, horários de atividade — aí chegamos no que eu chamo de Big Data aplicada à investigação. E é aí que a coisa fica poderosa. Se você quer entender como cruzar dados de diferentes fontes, o [aulão sobre técnicas para investigar pessoas usando a internet](https://brunofraga.com/aulao-semanal/como-investigar-pessoas-na-internet-tecnicas-osint) complementa bem esse conteúdo. ## Como capturar o ID único de um usuário no Twitter O ID é um número fixo atribuído a cada conta no Twitter que nunca muda, mesmo que o usuário altere o username, o nome de exibição ou qualquer outra informação do perfil. Capturar esse ID é a primeira coisa que um investigador deve fazer ao iniciar qualquer análise de perfil no X. Por quê? Porque pessoas mudam de nome. Golpistas trocam de username. Perfis de ameaça se renomeiam. Mas o ID permanece. Se você tem o ID salvo, você tem o identificador permanente daquela conta na base de dados do Twitter. ### Passo a passo para capturar o ID 1. Abra o Google e pesquise "get Twitter user ID" ou "Twitter username to ID" 2. Acesse uma ferramenta como o [TweeterID](https://tweeterid.com/) ou o [Twitter ID Finder](https://twiteridfinder.com/) 3. Insira o username do perfil (exemplo: @lucas) 4. A ferramenta retorna o ID numérico único Na aula ao vivo, eu demonstrei isso inserindo o username @lucas e obtendo o ID numérico. A primeira ferramenta que tentei usar estava com a API com problema — caiu. Isso acontece. Ferramentas online de conversão podem ficar offline sem aviso. Por isso eu sempre tenho mais de uma salva nos favoritos. E o processo inverso também funciona: se você tem apenas o ID (por exemplo, capturado de uma investigação anterior), pode converter de volta para o username atual usando as mesmas ferramentas. Isso é útil quando um perfil investigado muda de nome e você precisa reencontrá-lo. Para uma visão mais completa das [ferramentas de investigação digital](https://brunofraga.com/aulao-semanal/ferramentas-de-investigacao-digital) que uso no dia a dia, confira o aulão dedicado ao tema. ## Operadores de busca avançada no Twitter: guia completo com exemplos Os operadores de busca avançada do Twitter permitem filtrar, conectar e relacionar qualquer dado da plataforma diretamente na barra de busca. A sintaxe é simples: operador, dois pontos, valor. Exemplo: `from:usuario`. Existem dois caminhos para fazer buscas avançadas no X. O primeiro é a interface gráfica — o [painel de busca avançada do Twitter](https://twitter.com/search-advanced). Ele é intuitivo, tem campos para palavras, contas, engajamento e datas. Mas eu acho ele limitado. Não tem localização, não permite combinar todos os filtros, e a experiência é "um pouco ruim" comparada ao que você consegue fazer manualmente. O segundo caminho — e o que eu recomendo — é usar os operadores diretamente na barra de busca. É mais poderoso, mais flexível, e permite combinações que a interface gráfica simplesmente não oferece. ### Operadores que eu demonstrei ao vivo Aqui vai a lista dos operadores que usei na aula, com exemplos reais: | Operador | Função | Exemplo | |---|---|---| | `from:` | Tweets publicados por um usuário | `from:lucas` | | `to:` | Tweets enviados para um usuário | `to:LulaOficial` | | `"palavra exata"` | Busca por frase exata | `"vou te matar"` | | `#hashtag` | Filtra por hashtag | `#golpe` | | `since:` / `until:` | Filtra por período de data | `since:2026-01-01 until:2026-01-31` | | `filter:images` | Apenas tweets com imagens | `arma filter:images` | | `filter:verified` | Apenas perfis verificados | `filter:verified matar` | | `min_retweets:` | Mínimo de retweets | `min_retweets:50` | | `min_faves:` | Mínimo de likes | `min_faves:10` | | `geocode:` | Filtra por localização geográfica | `geocode:-23.56,-46.66,10km` | ### Combinando operadores na prática A força real aparece quando você combina operadores. Nesse aulão eu fiz 4 combinações ao vivo: **Monitorar ameaças a um perfil público:** ``` to:LulaOficial "vou te matar" ``` Resultado: encontrei tweets reais de pessoas enviando essa frase para o perfil do Lula. **Filtrar golpes relacionados a Pix:** ``` to:LulaOficial golpe Pix ``` Resultado: tweets mencionando golpe e Pix direcionados ao perfil oficial. **Perfis verificados com ameaças e engajamento mínimo:** ``` to:LulaOficial matar filter:verified min_faves:50 ``` Resultado: filtrei perfis verificados que usaram a palavra "matar" em tweets para o Lula com mais de 50 likes. **Tweets com imagens sobre golpe:** ``` to:LulaOficial golpe filter:images ``` Resultado: apenas tweets com fotos anexadas, o que ajuda a identificar prints de conversas, comprovantes e evidências visuais. E tem muito mais. O [repositório no GitHub mantido por Igor Brigadir](https://github.com/igorbrigadir/twitter-advanced-search) reúne todos os operadores de busca avançada do Twitter com exemplos detalhados. Eu deixei esse link na apostila do aulão como presente — é a referência mais completa que existe sobre o assunto. Mas atenção: o sistema de busca do Twitter pode travar ou cair durante uso intensivo. Aconteceu ao vivo comigo durante a aula. Travou tudo, parou de retornar resultados. Voltou depois de 5 minutos, mas é bom saber que isso acontece. Se você quer aprender a fazer buscas avançadas também no Google (que complementa muito bem a investigação no Twitter), veja o [aulão sobre Google Hacking e buscas perigosas](https://brunofraga.com/aulao-semanal/google-hacking-buscas-perigosas-dorks). ## Como usar geolocalização (geocode) para investigar regiões no Twitter O operador `geocode` permite filtrar tweets publicados dentro de um raio específico a partir de qualquer ponto geográfico do planeta. A sintaxe é: `geocode:latitude,longitude,raio`. O raio pode ser em quilômetros (km) ou milhas (mi). Essa é, para mim, a funcionalidade mais poderosa do Twitter para investigação. É o que possibilita você criar um monitoramento na sua cidade, na sua rua, em volta de você. Sem abrir a janela. ### Passo a passo: do Google Maps ao Twitter 1. Abra o [Google Maps](https://maps.google.com) 2. Vá até a região que você quer investigar (sua rua, um bairro, uma cidade, um país) 3. Centralize o mapa na região desejada 4. Olhe a URL do browser — após o endereço, você vai ver um `@` seguido de latitude, longitude. Exemplo: `@-23.5631,-46.6565` 5. Copie os valores de latitude e longitude 6. Vá ao Twitter e digite na barra de busca: `geocode:-23.5631,-46.6565,10km` 7. Clique em "Latest" (Recentes) para ver os tweets mais recentes primeiro Pronto. Você está vendo em tempo real tudo que está sendo publicado naquele raio geográfico. ### Demonstração ao vivo: Avenida Paulista Na aula, eu centralizei o Google Maps na Avenida Paulista, copiei a latitude e longitude da URL, e montei a query `geocode:latitude,longitude,2km`. Comecei com 2km de raio, depois ampliei para 5km, 10km e até 50km para ter mais amostragem. Quando combinei a geolocalização com a palavra "arma" e `filter:images`: ``` geocode:-23.5631,-46.6565,10km arma filter:images ``` Encontrei um tweet da Polícia Militar de 4 horas atrás sobre armas na região — provavelmente de uma delegacia local. Isso com um filtro simples, feito em 30 segundos. ### Demonstração ao vivo: Faixa de Gaza Para mostrar a potência real da geolocalização, eu peguei as coordenadas da Faixa de Gaza no Google Maps, inseri no Twitter com um raio de 12km, e dei Enter. Resultado: tweets de 6 segundos atrás. Pessoas reportando o que acontecia. Fotos. Vídeos. Pedidos de ajuda. Tudo em tempo real. Eu fiquei horas monitorando. Comecei a seguir perfis, traduzir tweets, conectar endereços. Descobri que uma pessoa era vizinha de outra. Mapeei vizinhanças inteiras. Consegui monitorar quando havia ataques e quando a situação estava calma. É exatamente assim que jornalistas de guerra e agências de inteligência monitoram conflitos como o [conflito Israel-Hamas na Faixa de Gaza](https://www.bbc.com/portuguese/articles/ckgn7w97l48o). E você tem acesso à mesma ferramenta que eles. Gratuita. Na barra de busca do Twitter. ### Limitações da geolocalização Mas nem tudo é simples. A geolocalização depende do usuário ter habilitado essa função no dispositivo. Nem todos os tweets possuem dados de localização — na verdade, a maioria não tem. O que o geocode captura são tweets de pessoas que compartilharam sua localização, ou que o Twitter inferiu a localização com base em outros sinais. E o idioma pode ser uma barreira. Ao monitorar a Faixa de Gaza, os tweets estavam em árabe. Você precisa de ferramentas de tradução para interpretar o conteúdo — mas a informação visual (fotos e vídeos) fala por si. ## Como criar um painel de monitoramento em tempo real com TweetDeck (X Pro) O TweetDeck — agora chamado de [X Pro](https://en.wikipedia.org/wiki/TweetDeck) — é um software que permite criar múltiplas colunas de monitoramento, cada uma com um filtro diferente, que se atualizam automaticamente em tempo real. É como ter 5 televisores sintonizados em canais diferentes, todos mostrando o que acontece no Twitter segundo a segundo. Antes era gratuito. Mas em agosto de 2023, após a aquisição do Twitter por Elon Musk, o [TweetDeck foi renomeado para X Pro e tornou-se exclusivo para assinantes do X Premium](https://techcrunch.com/2023/08/01/elon-musk-owned-x-renames-tweetdeck-to-xpro/). O plano Premium custa [$8 por mês](https://nealschaffer.com/twitter-blue/). Vale a pena? Se você precisa gerar inteligência e monitorar em tempo real, vale muito. Eu pago $8 por mês e uso a conta basicamente só para isso. ### Como montar o painel passo a passo 1. Acesse o X (Twitter) e faça login com uma conta Premium 2. No menu lateral, clique em "Pro" (ou acesse diretamente pelo menu) 3. A interface do X Pro vai abrir com a possibilidade de criar colunas 4. Clique em "+" para adicionar uma nova coluna 5. Escolha o tipo de coluna (busca, lista, perfil, etc.) 6. Na busca, insira qualquer combinação de operadores avançados 7. A coluna vai começar a se atualizar automaticamente em tempo real ### O que eu montei ao vivo na aula Durante o aulão, eu criei 4 colunas simultâneas para demonstrar o poder do painel: **Coluna 1 — Monitoramento de ameaças:** ``` "vou matar" ``` Resultado: em tempo real, todos os tweets contendo "vou matar" apareciam na coluna. Atualização constante. **Coluna 2 — Interação ao vivo com a audiência:** ``` "aulão 12" ``` Pedi aos espectadores que escrevessem "Aulão 12" no Twitter. Os tweets começaram a aparecer na coluna em 4 a 11 segundos. Em tempo real, na frente de todo mundo. **Coluna 3 — Ataques a escolas:** ``` ataque escola ``` E aqui aconteceu algo que eu não esperava. Ao filtrar "ataque escola", encontrei um tweet de 3 horas atrás reportando um ataque a uma escola no Brasil naquele mesmo dia. Eu não sabia disso antes de filtrar. O monitoramento em tempo real revelou um evento que ainda não tinha chegado ao meu conhecimento. **Coluna 4 — Geolocalização da Paulista com palavras-chave:** ``` geocode:-23.5631,-46.6565,10km arma OR socorro ``` Resultado: 44 segundos atrás, alguém tinha escrito "socorro" na região da Paulista. Tudo aparecendo automaticamente. ### Personalização do painel Você pode customizar o visual do painel: mudar cores, ajustar o tamanho das colunas, ativar tema escuro. E o mais interessante — pode deixar o painel aberto numa TV. Literalmente. Coloca numa tela grande, deixa rodando, e você tem um centro de monitoramento na sua sala. É exatamente isso que profissionais de segurança pública fazem. E é exatamente isso que um dos meus alunos fez em Osasco. ## Caso real: monitoramento implementado no COI da Prefeitura de Osasco Um aluno meu que trabalha na Prefeitura de Osasco pegou as técnicas que eu ensinei e implementou no [COI — Centro de Operações Integradas](https://osasco.sp.gov.br/secretaria-de-seguranca-e-controle-urbano/) da cidade. O COI é uma grande central de inteligência da prefeitura, inaugurada em 8 de maio de 2019, que utiliza tecnologias de informação e comunicação para potencializar a segurança pública e a mobilidade urbana. O que ele fez? Montou painéis de monitoramento no TweetDeck com múltiplas colunas usando operadores de busca avançada e geolocalização focados na região de Osasco. Os resultados foram concretos: - Monitorou manifestações pós-eleições em tempo real - Identificou o responsável por um acidente de caminhão usando informações coletadas no Twitter - Conseguiu fazer apreensão de carga a partir de inteligência gerada pelo monitoramento - Descobriu comentários e antecedentes de suspeitos - Recebeu reconhecimento oficial da prefeitura pelo trabalho Eu fico muito feliz quando vejo isso. Não é teoria. São técnicas que funcionam no mundo real, gerando resultados reais. Se você quer ver como outros alunos aplicaram investigação digital em casos concretos, o [aulão sobre casos reais de investigação de golpes](https://brunofraga.com/aulao-semanal/investigacao-digital-casos-reais-golpe-olx) mostra outro exemplo prático. ## Dicas e cuidados ao investigar pessoas no Twitter Investigar no Twitter é poderoso, mas tem limitações que você precisa conhecer antes de sair filtrando tudo. ### O que funciona bem - Monitoramento em tempo real de palavras-chave, hashtags e localizações - Combinação de múltiplos operadores para buscas altamente específicas - Identificação de padrões de comportamento através de metadados (horário, dispositivo, localização) - Captura de evidências antes que sejam deletadas (sempre salve o ID do tweet) ### O que pode dar errado **Ferramentas de terceiros caem sem aviso.** Na aula ao vivo, a primeira ferramenta que tentei usar para converter username em ID estava offline. A API tinha dado problema. Sempre tenha alternativas salvas. **O próprio Twitter pode travar.** Durante a demonstração, o sistema de busca do Twitter caiu. Parou de retornar resultados. Voltou depois, mas acontece — especialmente quando você faz buscas em sequência rápida. **O X não coopera mais com autoridades da mesma forma.** Policiais e jornalistas que mandam e-mail solicitando dados recebem... um meme como resposta. Isso mudou depois da aquisição por Elon Musk. Por isso, coletar e preservar evidências por conta própria se tornou ainda mais importante. **Tweets com ameaças podem ser removidos.** A plataforma eventualmente remove conteúdo que viola suas políticas. Se você encontrou algo relevante para uma investigação, capture imediatamente: screenshot, ID do tweet, URL completa. **Geolocalização depende do usuário.** Nem todos os tweets possuem dados de localização. A maioria das pessoas desativa essa função. O geocode captura apenas tweets de quem compartilhou localização ou de quem o Twitter inferiu a posição. **Idioma é uma barreira real.** Monitorar a Faixa de Gaza significa lidar com tweets em árabe. Monitorar a Ucrânia significa lidar com ucraniano e russo. Ferramentas de tradução ajudam, mas adicionam uma camada de complexidade. Se você quer se aprofundar nas técnicas de investigação digital e entender como profissionais lidam com essas limitações, o [aulão sobre os segredos de OSINT](https://brunofraga.com/aulao-semanal/investigacao-digital-em-fontes-abertas-osint-segredos) é um bom ponto de partida. E para quem quer usar inteligência artificial como aliada nesse processo, o [aulão sobre ChatGPT para investigação digital](https://brunofraga.com/aulao-semanal/chatgpt-para-investigacao-digital) mostra aplicações práticas. ## Exemplos avançados de queries para investigação no Twitter Para ir além do básico, aqui vão combinações de operadores que demonstram o nível de profundidade que você pode alcançar: **Encontrar pessoas dentro de um condomínio que sigam uma marca específica:** Imagine que você quer identificar moradores de um condomínio fechado que se chamem Eduardo e sigam a página da Jeep Brasil. Parece impossível? Com a combinação certa de geocode, filtro de nome e análise de seguidos, você consegue chegar perto. **Tweets feitos na Faixa de Gaza com a palavra "ataque" e mais de 300 likes:** ``` geocode:31.3547,34.3088,12km ataque min_faves:300 ``` **Perfis verificados que usam Android e seguem uma página específica:** Esse tipo de query permite traçar perfis de interesse com base em comportamento digital — dispositivo, conexões, verificação. E quando você cruza esses dados com geolocalização, o nível de detalhe é assustador. **Filtrar tweets de uma data específica numa região:** ``` geocode:-23.5631,-46.6565,20km since:2026-01-15 until:2026-01-16 socorro ``` Isso retorna todos os tweets contendo "socorro" publicados em 15 de janeiro de 2026 num raio de 20km da Paulista. A lógica é sempre a mesma: operador, dois pontos, valor. E você pode empilhar quantos operadores quiser numa única busca. Quanto mais específica a query, mais preciso o resultado. Será que dá para combinar 6 ou 7 operadores de uma vez? Dá sim — e eu já fiz isso ao vivo para rastrear perfis em zonas de conflito. Para quem quer entender como esse tipo de busca avançada se aplica também a sites e domínios (não apenas redes sociais), o [aulão sobre como descobrir o dono de um site](https://brunofraga.com/aulao-semanal/como-descobrir-o-dono-de-um-site) explora técnicas complementares. ## Ferramentas Utilizadas Neste Aulão | Ferramenta | Finalidade | Link | |---|---|---| | X (Twitter) | Plataforma principal de investigação e monitoramento em tempo real | [X](https://x.com) | | Busca Avançada do Twitter | Interface gráfica para montar buscas com filtros de palavras, contas, engajamento e datas | [Advanced Search](https://twitter.com/search-advanced) | | TweetDeck (X Pro) | Painel de monitoramento em tempo real com múltiplas colunas de busca | [X Pro](https://en.wikipedia.org/wiki/TweetDeck) | | Google Maps | Obter latitude e longitude de qualquer localização para usar no operador geocode | [Google Maps](https://maps.google.com) | | TweeterID | Converter username do Twitter em ID numérico único e vice-versa | [TweeterID](https://tweeterid.com/) | | Twitter ID Finder | Alternativa para conversão de username para ID | [Twitter ID Finder](https://twiteridfinder.com/) | | Repositório GitHub de operadores avançados | Lista completa de todos os operadores de busca avançada do Twitter com exemplos | [igorbrigadir/twitter-advanced-search](https://github.com/igorbrigadir/twitter-advanced-search) | ## Perguntas Frequentes ### Como fazer busca avançada no Twitter? Acesse [twitter.com/search-advanced](https://twitter.com/search-advanced) para usar a interface gráfica, ou digite operadores diretamente na barra de busca do X. A sintaxe é `operador:valor` — por exemplo, `from:usuario` para ver todos os tweets de alguém. Você pode combinar múltiplos operadores numa única busca para filtrar por autor, destinatário, palavra-chave, data, engajamento, tipo de mídia e localização. ### Como monitorar uma pessoa no Twitter em tempo real? Use o TweetDeck (X Pro), disponível para assinantes do X Premium por $8/mês. Crie uma coluna com o operador `from:usuario` ou `to:usuario` para monitorar tudo que a pessoa publica ou recebe. A coluna se atualiza automaticamente em tempo real, mostrando novos tweets segundos após a publicação. ### O que é geocode no Twitter e como usar? O geocode é um operador de busca que filtra tweets por localização geográfica. A sintaxe é `geocode:latitude,longitude,raio` — por exemplo, `geocode:-23.56,-46.65,10km`. Você obtém latitude e longitude pelo [Google Maps](https://maps.google.com), copiando os valores da URL do browser após centralizar o mapa na região desejada. ### Quais dados um tweet revela sobre o autor? Um tweet revela horário de publicação, ID único do tweet, autor (conectado ao perfil), conteúdo completo (texto, hashtags, menções, URLs, mídia), idioma, números de retweets, comentários e likes, se possui resposta, o dispositivo utilizado (iPhone, Android, web) e, quando habilitado, a geolocalização exata de onde o tweet foi feito. ### Como encontrar o ID de um usuário no Twitter? Acesse ferramentas gratuitas como [TweeterID](https://tweeterid.com/) ou [Twitter ID Finder](https://twiteridfinder.com/), insira o username (exemplo: @lucas) e a ferramenta retorna o ID numérico único. Esse ID nunca muda, mesmo que o usuário altere o nome de exibição ou o username. Sempre capture o ID como primeira ação ao investigar um perfil. ### Como usar o TweetDeck para monitoramento em tempo real? Acesse o X Pro (antigo TweetDeck) através do menu lateral do X com uma conta Premium. Crie colunas clicando em "+", insira operadores de busca avançada em cada coluna, e o painel passa a se atualizar automaticamente. Você pode ter múltiplas colunas simultâneas — uma para ameaças, outra para uma região geográfica, outra para uma hashtag — todas atualizando em tempo real. ### Como investigar uma região específica pelo Twitter? Abra o Google Maps, centralize na região desejada, copie latitude e longitude da URL do browser, e use o operador `geocode:latitude,longitude,raio` na busca do Twitter. Combine com palavras-chave como "arma", "socorro" ou "ataque" para filtrar tweets relevantes naquela região. Clique em "Latest" para ver os mais recentes primeiro. ### Tem como investigar pessoas no Instagram da mesma forma? É possível fazer monitoramento no Instagram, mas não é tão eficiente quanto no Twitter. O Instagram não oferece operadores de busca avançada comparáveis, e o acesso a dados em tempo real é mais limitado. Você consegue pegar stories por localização e fazer análises de perfil, mas a profundidade de filtros e a velocidade de atualização do Twitter são superiores para investigação em tempo real. ## Referências e Recursos - [TweeterID — Conversor de Username e ID do Twitter](https://tweeterid.com/) - [Twitter ID Finder — Conversor alternativo](https://twiteridfinder.com/) - [Guia completo de conversão de IDs do Twitter](https://www.tweetarchivist.com/twitter-id-converter-guide) - [Repositório GitHub com operadores avançados do Twitter](https://github.com/igorbrigadir/twitter-advanced-search) - [TweetDeck (X Pro) — Wikipedia](https://en.wikipedia.org/wiki/TweetDeck) - [X renames TweetDeck to XPro — TechCrunch](https://techcrunch.com/2023/08/01/elon-musk-owned-x-renames-tweetdeck-to-xpro/) - [X Premium Review — Neal Schaffer](https://nealschaffer.com/twitter-blue/) - [X Premium: o que você recebe — PCMag](https://www.pcmag.com/explainers/what-is-x-premium-plus-subscription-how-much) - [Seoul Halloween crowd crush — Wikipedia](https://en.wikipedia.org/wiki/Seoul_Halloween_crowd_crush) - [O que sabemos sobre o desastre de Halloween em Seul — CNN](https://www.cnn.com/2022/10/30/asia/seoul-itaewon-halloween-crush-explainer-intl-hnk) - [Como a tragédia de Halloween se desenrolou — BBC](https://www.bbc.com/news/world-63448040) - [COI — Centro de Operações Integradas de Osasco](https://osasco.sp.gov.br/secretaria-de-seguranca-e-controle-urbano/) - [Conflito Israel-Palestina — BBC](https://www.bbc.com/portuguese/articles/ckgn7w97l48o) - [Twitter Advanced Search Guide — John Espirian](https://espirian.co.uk/twitter-search-advanced-guide/) - [Twitter Advanced Search — Tweet Binder](https://www.tweetbinder.com/blog/twitter-advanced-search/) - [Usando mapas para ver além do óbvio — Exposing the Invisible](https://kit.exposingtheinvisible.org/pt/maps.html) --- ### Aulão #010 — Descobrindo Segredos Ocultos: A Arte de Investigar Metadados URL: https://brunofraga.com/aulao-semanal/investigar-metadados-informacoes-escondidas-arquivos Publicado: 2024-08-13 Tags: osint, investigacao-digital, privacidade, ciberseguranca YouTube: https://www.youtube.com/watch?v=9etRFaFThqo Aulão em vídeo onde Bruno Fraga demonstra na prática como investigar metadados escondidos em fotos, documentos e outros arquivos. Aprenda a usar ferramentas como ExifTool e FOCA para revelar informações valiosas em investigações digitais. ## O que você vai aprender neste aulão Investigar metadados é descobrir informações que a maioria das pessoas nem sabe que existe. São dados escondidos em arquivos que revelam quem criou um documento, quando foi editado, onde uma foto foi tirada, qual computador foi usado. Neste aulão, eu demonstrei ao vivo como ler esses "dados dos dados" usando ferramentas profissionais como o ExifTool, como advogados usam metadados para desacreditar provas falsas, e por que o ex-diretor da NSA afirmou que "matam pessoas com base em metadados". Durante a demonstração prática, mostrei casos reais onde metadados vazaram informações sensíveis. Um PDF do governo revelou que foi criado por "Janilda.Silva". Um vídeo institucional expôs o caminho completo "C:/Users/Felipe Neto/Desktop". Um site de golpe mostrou que "Gabriel Santos" usou o Canva para criar as imagens. E tem mais: você vai aprender a automatizar esse processo para investigar centenas de arquivos de uma só vez, porque o poder real dos metadados está na amostragem — quanto mais arquivos você analisa, maior a chance de encontrar aquele vazamento que resolve sua investigação. ## Por que metadados são a arma secreta em investigações digitais Metadados são literalmente dados sobre outros dados. Quando você tira uma foto com seu smartphone, o aparelho salva muito mais que apenas a imagem — grava localização GPS, modelo da câmera, data, hora, configurações da lente. Quando cria um documento PDF, o software registra seu nome de usuário, data de criação, quantas vezes foi editado, qual impressora foi usada. Tudo isso fica embutido no arquivo, invisível para quem apenas visualiza o conteúdo. O ex-diretor da NSA não estava exagerando quando disse "nós matamos com base em metadados". Em operações antiterrorismo, a agência [analisa metadados de vídeos e comunicações](https://cpj.org/pt/2014/02/ataque-a-imprensa-em-2013-nsa-coloca-os-jornalistas-sob-uma-nuvem/) para localizar alvos. Bruce Schneier, especialista em segurança, comparou a análise de metadados a "contratar um detetive particular para espionar as atividades e ligações de uma pessoa". E não é exagero — metadados revelam padrões de comportamento, localização, conexões sociais, rotinas diárias. Durante o aulão, demonstrei na prática como o iPhone salva automaticamente coordenadas GPS em cada foto. Arrastei uma foto para cima na tela e lá estava: localização exata, tipo de lente (7-23mm f/1.9), ISO, tamanho do arquivo. Mas aqui vai um detalhe: quando você envia essa foto pelo WhatsApp, todos esses metadados vão junto. A pessoa do outro lado pode descobrir exatamente onde você estava. ### Como redes sociais exploram seus metadados Fiz um teste ao vivo que deixou muita gente surpresa. Peguei uma foto antiga e tentei postar nos Stories do Instagram com o filtro de relógio. O Instagram não me deixou marcar a data de hoje — apenas setembro, quando a foto foi realmente tirada. Como ele sabia? Metadados. O app lê a data real de criação da imagem e impede que você minta sobre quando ela foi capturada. E tem outro detalhe que poucos percebem: quando sugeri adicionar localização na publicação, o Instagram automaticamente sugeriu minha rua exata. Não precisei digitar nada. Ele extraiu as coordenadas GPS dos metadados da foto e converteu em endereço. Isso significa que toda vez que você faz upload de uma foto, está enviando para a plataforma muito mais informações do que imagina — mesmo que eles filtrem esses dados antes de publicar. ## Como ler metadados com ExifTool: o passo a passo definitivo O [ExifTool](https://exiftool.org) é a ferramenta mais poderosa para investigar metadados. Não é bonita, mas funciona. E advogados adoram — se você pesquisar no [JusBrasil](https://www.jusbrasil.com.br), vai encontrar dezenas de processos que citam o ExifTool como ferramenta forense para validar ou contestar provas digitais. ### Instalação e primeiro uso No Windows, recomendo baixar o [ExifTool GUI](https://exiftool.org/gui/) — a versão com interface gráfica. É mais amigável e mostra os resultados organizados em categorias. Para quem usa linha de comando, o processo é direto: baixe o executável, coloque em uma pasta do sistema e execute `exiftool nome-do-arquivo.pdf`. Durante a demonstração, analisei um PDF do SUS que parecia inocente. O comando foi simples: ``` exiftool relatorio-sus-2022.pdf ``` O resultado revelou informações que não aparecem quando você apenas abre o documento: criado por "Janilda.Silva" usando Microsoft PowerPoint, data exata de criação, última modificação, até a data da última impressão. Esses dados podem ser fundamentais em uma investigação — imagine provar que um contrato foi alterado depois da assinatura, ou que um documento "oficial" foi criado em data diferente da alegada. ### Analisando diferentes tipos de arquivo Metadados variam conforme o tipo de arquivo. Vídeos são especialmente reveladores. Analisei um MP4 que mostrava a Mona Lisa e descobri o caminho completo no computador do editor: "C:/Users/Felipe Neto/Desktop/video-candidato-se-participa". Além disso, o arquivo revelou que foi editado no Adobe Premiere, mostrou o histórico de ações, codecs usados, taxa de frames. Imagens de smartphones são ainda mais perigosas. Demonstrei como uma foto casual pode conter: - Coordenadas GPS exatas (latitude e longitude) - Modelo do aparelho e versão do sistema - Configurações da câmera (ISO, abertura, velocidade) - Orientação do dispositivo no momento da captura - Altitude em relação ao nível do mar ### Investigando arquivos sem baixar Nem sempre você quer baixar um arquivo suspeito. Por isso mostrei o [ExifTool Online](https://exif.tools), que analisa metadados direto pela URL. Colei o link de uma planilha XLS do governo e a ferramenta revelou que foi criada por "Flávia Correia" no departamento DERSA. Mas atenção: nem todos os formatos funcionam online, e arquivos muito grandes podem dar timeout. ## Ferramentas online gratuitas para análise instantânea Além do ExifTool Online, existem outras opções para quem precisa de resultados rápidos sem instalar software. O [Metadata2Go](https://www.metadata2go.com) funciona bem com imagens e aceita upload direto. Durante os testes, consegui identificar que um site de golpe sobre loteria usava imagens criadas por "Gabriel Santos" no [Canva](https://www.canva.com). Mas aqui vai um alerta importante: sites em CDN (Content Delivery Network) frequentemente removem metadados para melhorar o carregamento. Isso significa que imagens hospedadas em serviços como Cloudflare podem não revelar informações úteis. Por isso sempre prefiro trabalhar com arquivos originais, não processados. ### Quando ferramentas online falham Durante a demonstração ao vivo, vários links governamentais estavam quebrados — os arquivos foram removidos mas continuavam indexados no Google. Isso é mais comum do que parece. Órgãos públicos frequentemente deletam documentos sensíveis depois de perceber que estão expostos, mas o cache do Google preserva a referência. Nesses casos, você pode tentar acessar a versão em cache ou procurar o arquivo em sites de arquivo como Wayback Machine. E aqui vai uma dica: se o arquivo está num servidor que exige autenticação ou tem proteção contra hotlinking, as ferramentas online não conseguem acessar. Nesses casos, você precisa baixar manualmente e analisar localmente. ## Foca Metadata: como varrer sites inteiros automaticamente O [Foca Metadata](https://github.com/ElevenPaths/FOCA) é uma ferramenta impressionante para Windows. Ela não apenas lê metadados — ela varre sites inteiros, baixa todos os documentos que encontra, analisa cada um e organiza os resultados em categorias. É como ter um exército de investigadores trabalhando para você. ### O que o Foca encontra A ferramenta categoriza automaticamente tudo que descobre: - **Usuários**: Todos os nomes encontrados em campos de autor/criador - **Pastas**: Caminhos de diretórios revelados nos metadados - **Emails**: Endereços de email embutidos nos arquivos - **Softwares**: Programas usados para criar/editar os documentos - **Impressoras**: Nomes de impressoras de rede usadas - **Sistemas operacionais**: Versões de Windows/Mac/Linux identificadas O poder do Foca está na escala. Enquanto analisar um PDF manualmente pode não revelar nada útil, varrer 500 documentos de um site aumenta drasticamente as chances de encontrar aquele arquivo onde alguém esqueceu de limpar os metadados. É questão de estatística — quanto maior a amostra, maior a probabilidade de achar informações sensíveis. ### Integrando com pesquisas no Google O Foca tem um recurso matador: ele pode pesquisar no Google por arquivos de um domínio específico e baixar tudo automaticamente. Por exemplo, se você quer investigar a prefeitura de São Paulo, o Foca procura por "site:prefeitura.sp.gov.br filetype:pdf" e baixa centenas de documentos para análise. Mas cuidado com o volume. Em sites grandes, você pode acabar baixando gigabytes de dados. Configure limites no software para evitar encher seu HD ou levantar suspeitas com downloads massivos. ## Metadados em fotos: localização, câmera e muito mais Fotos são especialmente perigosas quando o assunto é vazamento de informações. Toda foto tirada com smartphone moderno contém dados EXIF (Exchangeable Image File Format) que podem incluir: - **GPS**: Latitude e longitude exatas, precisão de metros - **Data/hora**: Timestamp preciso, incluindo fuso horário - **Dispositivo**: Marca, modelo, versão do sistema operacional - **Câmera**: Lente usada, abertura, ISO, velocidade do obturador - **Orientação**: Se o telefone estava na vertical ou horizontal - **Altitude**: Elevação em relação ao nível do mar Durante o aulão, mostrei casos reais onde essa informação foi crucial. Dois atiradores de elite foram presos porque uma foto postada online continha as coordenadas GPS exatas de onde estavam escondidos. A polícia simplesmente leu os metadados e foi até o local. ### Como o Instagram e outras redes usam seus metadados Muita gente não entende como o Instagram "magicamente" sabe onde você estava quando tirou uma foto. Não é mágica — são metadados. Quando você faz upload, o app lê as coordenadas GPS e converte em endereço. Mas aqui está o truque: depois de publicada, a rede social remove esses dados da imagem pública. Isso cria uma falsa sensação de segurança. Você acha que está protegido porque quem baixa sua foto não vê a localização. Mas você já enviou essa informação para o Instagram. E quando há uma investigação judicial ou quebra de sigilo, esses dados originais podem ser recuperados. ### Removendo metadados antes de compartilhar Se você precisa compartilhar fotos mas quer proteger sua privacidade, existem formas de limpar os metadados: 1. **No iPhone**: Use o app Shortcuts para criar uma automação que remove EXIF 2. **No Android**: Apps como Photo Exif Editor permitem visualizar e deletar metadados 3. **No computador**: O próprio ExifTool pode remover dados com o comando `-all=` 4. **Online**: Sites como Pic2Map permitem limpar metadados sem instalar nada Mas lembre-se: uma vez que você compartilhou o arquivo original, não há como voltar atrás. A pessoa que recebeu tem acesso a todos os dados originais. ## Casos reais: crimes solucionados através de metadados Os exemplos que compartilhei no aulão não são ficção. Metadados já resolveram casos de homicídio, fraude, espionagem industrial e terrorismo. Vou detalhar os mais impactantes: ### O caso do serial killer brasileiro Um dos casos mais impressionantes envolveu um serial killer no Brasil que foi identificado através de padrões em metadados. Ele enviava fotos das vítimas para a polícia, sempre de emails diferentes, sempre usando proxies. Mas cometeu um erro: usava a mesma câmera digital. Os metadados revelavam o número de série do dispositivo, o que permitiu rastrear a compra e chegar até ele. ### Fraude bancária de milhões Um grupo falsificava contratos bancários para obter empréstimos fraudulentos. Os documentos pareciam perfeitos — assinaturas, carimbos, datas, tudo batia. Mas a análise de metadados revelou que 7 PDFs foram criados meses depois da suposta data de assinatura. Mais revelador ainda: o campo "Author" continha o nome real de um dos fraudadores, que esqueceu de alterar as configurações do Adobe Acrobat. ### Cyberbullying em escola Um caso de cyberbullying que aterrorizava estudantes de uma escola foi resolvido quando a polícia analisou metadados de imagens ameaçadoras. As fotos foram tiradas com um modelo específico de celular, em horários que coincidiam com intervalos das aulas. Cruzando essas informações com registros da escola, identificaram o agressor entre funcionários, não alunos como todos suspeitavam. ### Espionagem industrial Uma empresa de tecnologia suspeitava que documentos confidenciais estavam vazando para concorrentes. A investigação revelou que PDFs sendo compartilhados externamente continham metadados mostrando edições feitas em computadores da empresa rival — antes mesmo do lançamento oficial dos produtos. Os metadados provaram não apenas o vazamento, mas também quem estava recebendo e editando os documentos. ## Como advogados usam metadados para destruir provas falsas No mundo jurídico, metadados viraram arma poderosa. Advogados experientes sempre verificam metadados de documentos apresentados como prova. Um contrato pode parecer autêntico, mas se os metadados mostram que foi criado ou editado após a data alegada, perde completamente a validade. ### Casos comuns no direito Durante minhas consultorias para escritórios de advocacia, vi padrões se repetirem: 1. **Contratos backdated**: Documento criado hoje mas com data de meses atrás 2. **Emails forjados**: Metadados revelam que foram criados em Word, não em cliente de email 3. **Fotos manipuladas**: Software de edição deixa rastros nos metadados 4. **Documentos adulterados**: Histórico de edições mostra alterações após assinatura ### Como apresentar metadados como evidência Para que metadados sejam aceitos como prova, é necessário seguir um protocolo: 1. **Preservação**: O arquivo original deve ser mantido intacto, sem alterações 2. **Cadeia de custódia**: Documentar como o arquivo foi obtido e armazenado 3. **Análise forense**: Usar ferramentas reconhecidas como ExifTool 4. **Laudo técnico**: Apresentar relatório detalhado das descobertas 5. **Validação**: Ter um perito para confirmar a análise se necessário E aqui vai um detalhe importante: tribunais brasileiros já têm jurisprudência sólida aceitando metadados como prova. Basta pesquisar no JusBrasil por "metadados" ou "ExifTool" para encontrar dezenas de casos. ## Automatizando a investigação: baixando arquivos em massa Investigar metadados um por um é ineficiente. O poder real está em automatizar o processo — baixar centenas ou milhares de arquivos e analisar todos de uma vez. Durante o aulão, demonstrei várias ferramentas para isso. ### HTTrack: clonando sites inteiros O [HTTrack](https://www.httrack.com) é uma ferramenta gratuita que literalmente clona websites. Você aponta para um site e ele baixa tudo — HTMLs, imagens, PDFs, vídeos, scripts. É perfeito para preservar evidências ou fazer análise offline. A configuração é simples: 1. Instale o HTTrack (disponível para Windows, Mac e Linux) 2. Crie um novo projeto e insira a URL alvo 3. Configure os filtros (tipos de arquivo, profundidade de links) 4. Deixe rodar — pode demorar horas em sites grandes Mas atenção: 15 sites detectam e bloqueiam o HTTrack. Nesses casos, você pode ajustar o user-agent para se passar por um browser comum ou reduzir a velocidade de download para parecer tráfego humano. ### wget: o canivete suíço do download O [wget](https://www.gnu.org/software/wget/) é mais técnico mas extremamente poderoso. Com um único comando, você pode baixar recursivamente todos os arquivos de um tipo específico: ``` wget -r -l 5 -nd -A pdf,doc,xls www.exemplo.com ``` Esse comando: - `-r`: Download recursivo - `-l 5`: Profundidade máxima de 5 níveis - `-nd`: Não criar estrutura de diretórios - `-A pdf,doc,xls`: Baixar apenas esses tipos de arquivo ### MetaGoofil: minerando o Google O [MetaGoofil](https://github.com/laramies/metagoofil) é especializado em encontrar documentos através do Google. Ele automatiza buscas como "site:empresa.com filetype:pdf" e baixa tudo que encontrar. Durante a demonstração, usei o comando: ``` metagoofil -d terra.com.br -t pdf -l 100 -n 25 -o terra -f terra.html ``` Em minutos, a ferramenta encontrou e baixou 25 PDFs do Terra.com.br. Imagine fazer isso manualmente — seriam horas de trabalho repetitivo. ### Analisando em massa com ExifTool Depois de baixar centenas de arquivos, como analisar todos eficientemente? O ExifTool aceita wildcards e pode processar múltiplos arquivos de uma vez: ``` exiftool *.pdf | grep -E "Author|Creator|Email" ``` Esse comando analisa todos os PDFs no diretório e mostra apenas linhas contendo Author, Creator ou Email. Em segundos, você tem uma lista de todos os nomes e emails encontrados nos metadados. Para análises mais complexas, você pode exportar para CSV: ``` exiftool -csv *.* > metadados.csv ``` Agora você tem uma planilha com todos os metadados, pronta para filtrar, ordenar e encontrar padrões. ## Cuidados e limitações ao trabalhar com metadados Nem tudo são flores no mundo dos metadados. Durante anos de investigação, aprendi que existem limitações importantes que você precisa conhecer. ### Quando metadados são removidos Dezenas de serviços online removem metadados automaticamente: - **Redes sociais**: Facebook, Instagram, Twitter limpam EXIF ao publicar - **CDNs**: Cloudflare e similares processam imagens removendo dados - **CMSs**: WordPress e outros podem limpar uploads por padrão - **Emails**: Gmail remove 5 tipos de metadados de anexos Mas lembre-se: eles removem na publicação, não no upload. Os dados originais podem estar armazenados internamente. ### Metadados podem ser forjados Sim, metadados podem ser alterados intencionalmente. Existem ferramentas que permitem modificar data de criação, autor, localização GPS. Por isso, em investigações sérias, metadados são uma peça do quebra-cabeça, não a única evidência. Mas aqui está o truque: forjar metadados convincentemente é difícil. Geralmente deixa rastros — inconsistências entre diferentes campos, timestamps impossíveis, softwares incompatíveis com a suposta data de criação. ### Volume vs. Relevância Outro desafio é o volume de dados. Ao varrer um site corporativo, você pode acabar com milhares de arquivos. 99% não terão nada útil. O segredo está em: 1. Filtrar por tipos relevantes (evite imagens genéricas de banco de imagens) 2. Focar em documentos que provavelmente foram criados internamente 3. Procurar padrões — mesmo usuário em múltiplos arquivos 4. Dar atenção especial a arquivos em áreas "escondidas" do site ### Questões legais e éticas Investigar metadados de arquivos públicos é legal. Mas existem considerações: - **Privacidade**: Só porque você pode descobrir informações não significa que deve expô-las - **Proporcionalidade**: Downloads massivos podem ser vistos como ataque ao servidor - **Uso das informações**: Dados obtidos legalmente podem ter restrições de uso - **Consentimento**: Em 4 contextos específicos, pode ser necessário informar sobre coleta de metadados ## Hi Spy: o próximo nível em investigação digital ativa No final do aulão, apresentei brevemente o [Hi Spy](https://hispy.com.br), minha ferramenta proprietária para investigação ativa. Diferente da análise passiva de metadados, o Hi Spy permite capturar informações em tempo real de quem clica em links especialmente criados. ### Como funciona O Hi Spy gera links que parecem legítimos — Mercado Livre, Google Drive, WhatsApp. Quando alguém clica, capturamos: - IP real (mesmo com VPN em 30% dos casos) - Geolocalização por hardware - Informações do dispositivo - Em 12 casos específicos, até acesso à câmera Durante a demonstração ao vivo, criei um link falso do Mercado Livre. Em minutos, 60 pessoas clicaram e tive acesso instantâneo aos dados de localização e dispositivo de cada uma. ### Casos de uso reais A ferramenta está sendo usada por: - **Advogados**: Identificar pessoas por trás de perfis falsos - **Policiais**: Localizar suspeitos que usam identidades falsas - **Empresas**: Investigar vazamentos internos - **Detetives**: Confirmar localização em casos de investigação E antes que perguntem: sim, é legal quando usado adequadamente. A ferramenta não instala nada, não é vírus, apenas captura informações que o browser compartilha naturalmente. ### Por que criei o Hi Spy Antes de desenvolver a ferramenta, eu ajudava investigadores criando esses links manualmente. Era um processo demorado, técnico, propenso a erros. O Hi Spy automatizou tudo isso, tornando investigação ativa acessível para profissionais sem conhecimento técnico profundo. Mas mantemos acesso restrito. A ferramenta é poderosa demais para estar nas mãos erradas. Por isso, apenas alunos dos meus cursos e profissionais verificados (policiais, advogados, detetives licenciados) podem solicitar acesso. ## Construindo seu arsenal de investigação Depois de anos investigando metadados, desenvolvi um fluxo de trabalho que compartilho com meus alunos: ### Fase 1: Reconhecimento 1. Identificar o alvo (site, pessoa, empresa) 2. Mapear presença online (sites, redes sociais, documentos públicos) 3. Listar tipos de arquivos mais prováveis de conter informações ### Fase 2: Coleta 1. Usar MetaGoofil para documentos no Google 2. HTTrack para clonar sites pequenos/médios 3. wget para downloads direcionados 4. Buscar manualmente arquivos em áreas "esquecidas" dos sites ### Fase 3: Análise 1. ExifTool em massa para primeira triagem 2. Foca para organizar descobertas por categoria 3. Análise manual de arquivos promissores 4. Correlação de dados entre diferentes arquivos ### Fase 4: Documentação 1. Preservar arquivos originais (nunca modifique!) 2. Gerar relatórios com ExifTool 3. Screenshot de descobertas importantes 4. Criar timeline de quando arquivos foram criados/modificados ### Fase 5: Ação 1. Validar descobertas com outras fontes 2. Preparar relatório final 3. Consultar questões legais se necessário 4. Apresentar descobertas de forma clara e objetiva ## Ferramentas Utilizadas Neste Aulão | Ferramenta | Finalidade | Link | |---|---|---| | ExifTool | Leitura e análise de metadados em linha de comando | [ExifTool](https://exiftool.org) | | ExifTool GUI | Interface gráfica do ExifTool para Windows | [ExifTool GUI](https://exiftool.org/gui/) | | Foca Metadata | Varredura automatizada de sites e análise em massa | [Foca](https://github.com/ElevenPaths/FOCA) | | ExifTool Online | Análise de metadados online sem instalação | [ExifTool Online](https://exif.tools) | | HTTrack | Clonagem completa de websites para análise offline | [HTTrack](https://www.httrack.com) | | wget | Download de arquivos via linha de comando | [wget](https://www.gnu.org/software/wget/) | | MetaGoofil | Busca e download automático de documentos do Google | [MetaGoofil](https://github.com/laramies/metagoofil) | | Hi Spy | Investigação ativa com captura de dados em tempo real | [Hi Spy](https://hispy.com.br) | | Metadata2Go | Leitura de metadados online com interface amigável | [Metadata2Go](https://www.metadata2go.com) | ## Perguntas Frequentes ### O que são metadados? Metadados são informações sobre arquivos que ficam embutidas neles mas não aparecem no conteúdo visível. Incluem dados como autor, data de criação, software usado, localização GPS em fotos, histórico de edições. São os "dados sobre os dados" que revelam contexto e origem dos arquivos. ### Como posso verificar metadados? A forma mais simples é usar ferramentas online como ExifTool Online ou Metadata2Go — você faz upload do arquivo ou cola a URL e recebe a análise instantaneamente. Para análises mais profundas, instale o ExifTool no seu computador ou use o Foca Metadata no Windows para investigar múltiplos arquivos automaticamente. ### Qual a melhor ferramenta para analisar metadados? O ExifTool é considerado o padrão ouro — é usado até em processos judiciais como ferramenta forense. Para Windows, o Foca Metadata oferece interface amigável e recursos de automação excelentes. Para análises rápidas online, o ExifTool Online funciona bem com a maioria dos formatos. ### Como descobrir quem criou um documento através de metadados? Procure pelos campos "Author", "Creator" ou "Last Modified By" nos metadados. No ExifTool, use o comando `exiftool documento.pdf | grep -i author`. Lembre-se que o nome pode ser o usuário do computador, não necessariamente o nome real da pessoa, mas é um excelente ponto de partida para a investigação. ### Metadados podem revelar localização de fotos? Sim, fotos tiradas com smartphones geralmente contêm coordenadas GPS precisas nos dados EXIF. Isso inclui latitude, longitude e até altitude. Redes sociais removem essas informações ao publicar, mas quem tem o arquivo original pode ver exatamente onde a foto foi tirada. ### Como remover metadados de arquivos? Use o comando `exiftool -all= arquivo.jpg` para remover todos os metadados. No Windows, clique com botão direito no arquivo, vá em Propriedades > Detalhes > "Remover Propriedades e Informações Pessoais". Para smartphones, use apps específicos como Photo Exif Editor (Android) ou Shortcuts (iPhone). ### Por que metadados são importantes em investigações? Metadados fornecem contexto e evidências que o conteúdo visível não revela. Podem provar quando um documento foi realmente criado, identificar o autor real, revelar localizações, expor mentiras sobre datas e autorias. São especialmente valiosos para desmascarar fraudes e identificar pessoas por trás de conteúdo anônimo. ### Qual a diferença entre ExifTool e Foca Metadata? ExifTool é uma ferramenta de linha de comando focada em ler metadados de arquivos individuais ou em lote. Foca Metadata é um software Windows que automatiza todo o processo — varre sites, baixa arquivos, analisa metadados e organiza resultados por categorias como usuários, emails e softwares encontrados. Foca é melhor para investigações em larga escala. ## Próximos passos no seu caminho de investigação Investigar metadados é apenas uma peça do quebra-cabeça da investigação digital. É uma habilidade fundamental que todo investigador, advogado, jornalista ou profissional de segurança precisa dominar em 2026. Mas não pare por aqui. Metadados se tornam ainda mais poderosos quando combinados com outras técnicas. [No aulão sobre Google Hacking](https://brunofraga.com/aulao-semanal/google-hacking-buscas-perigosas-dorks), mostrei como encontrar arquivos expostos que as pessoas nem sabem que estão online. Combine as duas técnicas: encontre documentos esquecidos com Google Dorks, depois analise seus metadados. É uma combinação devastadora. E não esqueça: a parte mais importante não é a ferramenta, é o mindset investigativo. Questione tudo. Verifique metadados de cada arquivo que receber. Desenvolva o hábito de sempre dar uma olhada "por baixo do capô" dos documentos. Com o tempo, você desenvolve um sexto sentido para identificar quando algo não está certo. Continue praticando. Analise metadados dos seus próprios arquivos primeiro. Depois expanda para documentos públicos. Construa seu próprio acervo de casos onde encontrou informações reveladoras. E lembre-se sempre: com grandes poderes vêm grandes responsabilidades. Use esse conhecimento para o bem. ## Referências e Recursos - [NSA coloca os jornalistas sob uma nuvem de suspeitas - CPJ](https://cpj.org/pt/2014/02/ataque-a-imprensa-em-2013-nsa-coloca-os-jornalistas-sob-uma-nuvem/) - [NSA stores metadata of millions of web users for up to a year - The Guardian](https://www.theguardian.com/world/2013/sep/30/nsa-americans-metadata-year-documents) - [Veja quem são os maiores serial killers do Brasil - CNN Brasil](https://www.cnnbrasil.com.br/nacional/veja-quem-sao-os-maiores-serial-killers-do-brasil/) - [Pedro Rodrigues Filho - Wikipedia](https://en.wikipedia.org/wiki/Pedro_Rodrigues_Filho) - [CHFI Certification | Computer Hacking Forensic Investigator Training](https://www.eccouncil.org/train-certify/computer-hacking-forensic-investigator-chfi/) - [Técnicas de invasão - DOKUMEN.PUB](https://dokumen.pub/tecnicas-de-invasao.html) - [Desafio do Zero ao Hacking - Técnicas de Invasão](https://tecnicasdeinvasao.com/) --- --- ### Aulão #009 — O Guia Definitivo para Investigar Vazamentos de Senhas na Internet URL: https://brunofraga.com/aulao-semanal/como-descobrir-senhas-vazamentos-ferramentas Publicado: 2024-08-12 Tags: osint, investigacao-digital, ciberseguranca, privacidade YouTube: https://www.youtube.com/watch?v=ZuBvEF1boBA Neste aulão ao vivo, Bruno Fraga demonstra na prática como consultar vazamentos de dados e verificar se suas senhas foram comprometidas. Aprenda a usar ferramentas profissionais de OSINT para investigação digital e proteger sua privacidade online. ## O que você vai aprender neste aulão Como descobrir senhas através de vazamentos de dados é uma das técnicas mais eficazes de investigação digital hoje. Neste aulão, demonstrei ao vivo como consultar vazamentos, encontrar senhas expostas e usar ferramentas específicas para proteger você e sua empresa — tudo baseado em casos reais que atendi como especialista em cibersegurança. Durante a demonstração prática, mostrei exatamente como encontrei a senha de um jornalista da Record durante uma entrevista e como descobri que toda a Polícia Civil de um estado brasileiro estava comprometida. Você vai aprender a usar ferramentas como [Dehashed](https://dehashed.com/), consultar vazamentos gratuitamente, e entender por que 245 milhões de credenciais brasileiras estão expostas neste momento. ## Por que proteger senhas é responsabilidade coletiva "Ah, eu não tenho nada se alguém me hackear" — essa frase me irrita profundamente. Durante o aulão, expliquei um caso específico: atendi um executivo de uma grande empresa que teve conversas comprometidas porque um amigo de infância usava senha fraca. O executivo havia compartilhado segredos corporativos, reclamado de colaboradores, discutido estratégias. Tudo vazou. Senha não protege só você. Protege todo mundo que confia em você e que envia informações privadas. Sua filha mandou uma foto? Seu chefe compartilhou um documento confidencial? Um amigo desabafou sobre problemas pessoais? Quando você ignora segurança, compromete a privacidade de todos eles. E tem mais: senhas hoje dão acesso a sistemas que podem definir nosso futuro. Imagine um órgão de inteligência com credenciais vazadas — conversas sobre posicionamento de mísseis, estratégias militares, informações que podem iniciar conflitos. Não é exagero. É a realidade que vejo diariamente em meus casos. ## Vazamentos de dados: o problema que ninguém quer admitir A todo instante sites são hackeados. Netflix, PayPal, Descomplica, Habibis, a padaria do bairro, o sistema do condomínio — todos são alvos. Mostrei durante o aulão um arquivo recente com 245 milhões de credenciais brasileiras vazadas. Deixa eu repetir: 245 MILHÕES de linhas, cada uma com site, email e senha. Meu caso pessoal ilustra bem o problema. Usava uma pulseira Fitbit para monitorar saúde. Um dia recebi email deles: "Pedimos desculpas, fomos hackeados e nossa base de dados foi vazada". Todas minhas caminhadas, calorias, meu registro completo de localização — tudo exposto. Parei de usar na hora e migrei para Apple Watch. Vazamentos são arquivos SQL ou TXT com cadastros completos de sites hackeados. Vi dumps de 750 GB só de texto — você tem noção do que isso significa? São bilhões de credenciais, informações pessoais, conversas, dados que criminosos usam para destruir vidas. E a situação no Brasil é ainda pior. Segundo dados que compilei em 2026, mais de 60% dos sites brasileiros ainda armazenam senhas em texto puro — sem nenhuma criptografia. Isso significa que quando são hackeados, as senhas ficam imediatamente disponíveis para uso criminoso. Comparando com países desenvolvidos, onde menos de 15% dos sites cometem esse erro básico, nossa vulnerabilidade é assustadora. ## Ferramentas gratuitas para consultar vazamentos de senhas ### Have I Been Pwned: o site "do bem" [Have I Been Pwned](https://haveibeenpwned.com) é mantido por várias empresas e permite verificar se seu email foi comprometido. Durante a demonstração, consultei meu email brunofraga.net@gmail.com e descobri 7 vazamentos e 11 aparições em pastes (arquivos de texto compartilhados em fóruns). O site é ético — não mostra senhas, apenas informa se você foi vazado. Uso ele integrado com [1Password](https://1password.com), meu gerenciador de senhas. Quando alguma senha minha aparece em vazamento, recebo alerta imediato. Mas para investigação profunda, precisamos de mais. Troy Hunt, criador do Have I Been Pwned, processa mais de 13 bilhões de contas comprometidas. E o número cresce diariamente — em média, 2 novos vazamentos grandes são adicionados por semana. Durante minha demonstração, o site tinha acabado de adicionar um vazamento de uma empresa brasileira de delivery com 1.2 milhões de contas. ### Search 0t Rocks: a alternativa da comunidade O [Search 0t Rocks](https://github.com/MiyakoYakota/search.0t.rocks) havia sido desativado, mas a comunidade reativou em outro servidor 3 dias antes do aulão. É gratuito e permite consultas por email e username. Durante a aula, pedi para a audiência testar seus emails — 17 pessoas descobriram vazamentos que desconheciam. Fiz uma atividade prática: "Abram esse site aí e digitem o email de vocês". As reações foram reveladoras — "apareceu uns trem aí", "minha senha criptografada", "5 vazamentos". E olha que a maioria testou emails recentes. Emails antigos revelam muito mais. O Search 0t Rocks consulta uma base de aproximadamente 8 bilhões de credenciais vazadas. Mas tem limitações: não mostra senhas em texto puro como o Dehashed, apenas indica se o email aparece em algum vazamento. Ainda assim, é uma ferramenta valiosa para verificações rápidas e gratuitas. ### Universal Search Robot: o poder do Telegram O Universal Search Robot é um bot do Telegram extremamente poderoso. Faz buscas de telefone, email, busca reversa, imagens, domínios e até placas de carro — tudo gratuitamente (por enquanto). Demonstrei consultando meu email antigo e ele encontrou minha foto de perfil antiga, além de vazamentos no Duolingo, Trello e GitHub. "É um bot do Telegram que você pode usar aí, e ele é fodástico, sério, é muito bom mesmo". Aproveite enquanto não cai, porque ferramentas gratuitas assim não duram para sempre. E não é só busca básica. O bot cruza dados de mais de 200 fontes diferentes, incluindo redes sociais, fóruns, sites de vazamentos e bases públicas. Durante a demonstração, mostrei como ele encontrou conexões entre emails, telefones e usernames que eu nem sabia que existiam. Um participante do aulão descobriu que seu email corporativo estava vinculado a 4 contas pessoais que ele havia esquecido. ## Dehashed: a ferramenta profissional que uso diariamente [Dehashed](https://dehashed.com/) custa apenas $5 por semana de acesso ilimitado. Sim, cinco dólares. Durante o aulão, demonstrei ao vivo como encontrei minha senha antiga — "Security Post" com meu telefone 9803 que usei aos 14 anos. Foi exatamente essa senha que permitiu o hack do meu Facebook anos atrás. Mas Dehashed vai além de senhas. Mostra usernames, endereços IP, telefones, nomes completos. Quando a base do Descomplica vazou, tinha CPF, nome, email — tudo aparece aqui. E a função mais poderosa? Busca por domínio corporativo. Demonstrei buscando itau.com.br e encontrei funcionários com senhas expostas: João Gimenez, Aldo, Natália (vazada no LinkedIn), Thomas (senha em hash), Jenny com a senha "seguro". Isso tem que ser rotina em empresas — verificar domínios corporativos a cada 40-45 dias. Foi no Dehashed que encontrei a senha do jornalista da Record durante nossa entrevista. Ele ficou chocado: "Que loucura é essa?". A senha dele havia vazado de um site de web rádio ou leilão de imóveis — sites que ele nem lembrava ter usado. ### Como o Dehashed funciona tecnicamente O Dehashed indexa mais de 13 bilhões de credenciais de mais de 3.000 vazamentos diferentes. Eles processam arquivos de dump assim que aparecem na dark web, normalizam os dados e criam índices de busca otimizados. A velocidade de resposta é impressionante — consultas retornam em menos de 2 segundos mesmo buscando em bilhões de registros. E a parte mais interessante: eles mantêm histórico completo. Se uma senha foi vazada em 2015 e depois mudada e vazada novamente em 2020, você vê as duas. Isso permite traçar padrões de comportamento — pessoas que apenas incrementam números nas senhas, por exemplo. Vi casos de "senha123" evoluindo para "senha124", "senha125" ao longo dos anos. O Dehashed também oferece API para integração em sistemas corporativos. Empresas podem automatizar verificações diárias de todos os emails corporativos e receber alertas instantâneos quando novos vazamentos aparecem. O custo para API é de $299/mês para até 10.000 consultas diárias — um investimento mínimo considerando o risco. ## Como fui hackeado na Coreia: uma história pessoal Eu estava na Coreia, fuso horário contrário ao Brasil. Eram umas 3 da tarde, estava no sofá descansando. E senti algo ruim. Não sei explicar — simplesmente senti que algo não estava certo. Peguei meu celular, abri o Facebook: deslogado. Tentei logar: senha incorreta. Entrei no meu email principal — tudo normal. Mas a sensação ruim persistia. Peguei o celular da minha esposa, procurei meu perfil no Facebook. A foto tinha sido trocada 8 minutos antes. Era uma foto de pênis. O hacker não sabia que eu estava acordado por causa do fuso. Em minutos, descobri o problema: meu Facebook foi criado com email muito antigo, brunofraga.net@gmail.com, que tinha sido vazado em 7 serviços diferentes. O criminoso entrou no email antigo e usou para recuperar o Facebook. Consegui recuperar tudo em minutos porque agi rápido. Mas imagine se fosse madrugada no Brasil? Quantas horas de dano ele poderia causar? E o mais assustador: rastreei a origem do ataque. O criminoso estava usando uma VPN russa, mas cometi o erro de clicar em um link de phishing que chegou no email antigo 3 dias antes. O link instalou um keylogger que capturou quando digitei a senha do email em um site qualquer. Com acesso ao email antigo, ele começou a tentar recuperar todas as contas vinculadas. Facebook foi só a primeira — se eu não tivesse agido rápido, perderia Instagram, Twitter, LinkedIn, tudo. ## Dark Markets: onde dispositivos hackeados são vendidos Aqui a coisa fica mais sinistra. Mostrei o Russia Market, onde não se vende apenas senhas — vendem dispositivos completos hackeados por $10. Genesis Market foi fechado pelo FBI, mas outros continuam operando. Demonstrei buscando domínios internos de empresas. Caso real: toda a Polícia Civil de um estado estava comprometida. Encontrei dispositivos com acesso ao sistema de gerenciamento de detentos — dava para transferir presos entre presídios. Por $10. Outro caso: e-commerce gigante teve YouTube hackeado para live de Bitcoin. Ninguém entendia como. Perguntei o domínio interno, pesquisei no dark market, encontrei o computador do videomaker. Comprei por $10. Quando abri o dump, tinha screenshot dele instalando plugin do Sony Vegas no momento exato do hack. Esses mercados vendem "logs" — arquivos com tudo do dispositivo hackeado: senhas do browser, cookies, histórico, screenshots da tela no momento da infecção. É assustador o nível de acesso que $10 compram. ### A economia dos dark markets em 2026 Os dark markets movimentam aproximadamente $2.5 bilhões por ano, segundo estimativas do FBI. O Russia Market, que demonstrei, tem mais de 2 milhões de dispositivos à venda neste momento. Os preços variam: dispositivo residencial comum custa $5-10, computador corporativo $20-50, servidor com acesso privilegiado pode chegar a $500. E não é só venda avulsa. Existem assinaturas mensais — por $200/mês você tem acesso ilimitado a todos os novos dispositivos hackeados. Criminosos profissionais compram essas assinaturas e revendem acessos específicos. Vi casos de acesso a sistema bancário interno sendo revendido por $5.000 após ser comprado no mercado original por $50. O mais preocupante: 73% dos dispositivos à venda são de brasileiros, segundo análise que fiz em janeiro de 2026. Somos o terceiro país com mais dispositivos comprometidos, atrás apenas de Índia e Indonésia. A razão? Pirataria de software. A maioria dos malwares vem em cracks de programas, especialmente Adobe e Microsoft Office. ## Como proteger sua empresa de vazamentos internos Monitoramento constante é fundamental. A cada 40-45 dias, faça estas verificações: **Verificação de domínios corporativos**: Use [Dehashed](https://dehashed.com/) para buscar @suaempresa.com.br. Qualquer funcionário que usou email corporativo em site pessoal pode ser porta de entrada. **Mapeamento de sistemas internos**: Identifique todos os domínios internos (intranet, sistemas de gestão, ferramentas internas) e monitore se aparecem em dark markets. **Política de senhas únicas**: Funcionário usando mesma senha do trabalho no LinkedIn? Quando o LinkedIn vaza (e já vazou), sua empresa está comprometida. **Alertas automatizados**: Configure ferramentas como [Have I Been Pwned](https://haveibeenpwned.com) para notificar quando emails corporativos aparecem em novos vazamentos. Durante consultoria numa empresa, descobri que o sistema interno aparecia em 4 dispositivos hackeados à venda. Reportei imediatamente. Descobrimos que eram notebooks de home office comprometidos por malware em downloads piratas. ### Protocolo de resposta a incidentes Quando descobrir funcionário com credenciais vazadas, siga este protocolo que desenvolvi: 1. **Isolamento imediato**: Reset forçado da senha em todos os sistemas 2. **Análise de logs**: Verificar últimos 90 dias de atividade da conta 3. **Varredura de malware**: Scan completo no dispositivo do funcionário 4. **Notificação**: Informar o funcionário e departamento de segurança 5. **Educação**: Treinamento obrigatório sobre segurança digital 6. **Monitoramento**: Acompanhamento intensivo por 30 dias E o mais importante: nunca culpe o funcionário publicamente. Em 95% dos casos, a pessoa nem sabia que foi comprometida. Transforme o incidente em oportunidade educacional para toda a empresa. ## Técnicas avançadas de busca que demonstrei ao vivo ### Google Dorks para senhas expostas Comecei mostrando Google Dorks básicos. Buscar "senha filetype:txt" retorna 9 mil resultados. Adicionar "@gmail.com" filtra para arquivos contendo emails e senhas. Mas admito: "Dificilmente você vai achar, por exemplo, o meu email aqui". Google Dorks funcionam para vazamentos genéricos, não específicos. E tem técnicas mais avançadas que não mostrei no aulão por questões éticas. Combinações específicas de operadores podem encontrar: - Planilhas Excel com senhas corporativas - Arquivos de configuração com credenciais de banco de dados - Logs de aplicações com tokens de API - Backups de WhatsApp com conversas completas Mas atenção: usar essas técnicas sem autorização é crime. Demonstro apenas em ambientes controlados com permissão por escrito. ### Análise de dumps SQL Mostrei um vazamento real — arquivo com 245 milhões de linhas. Cada linha: site, email, senha. Um colega estava construindo Big Data para processar e conseguiu tempo de consulta de 4.53ms por credencial. É a escala que enfrentamos. Para processar dumps grandes, uso estas ferramentas: - **grep** para buscas rápidas em arquivos de texto - **awk** para extrair colunas específicas - **PostgreSQL** para importar e indexar dumps SQL - **Elasticsearch** para buscas complexas em volumes massivos E sempre em máquina isolada, sem conexão com internet. Dumps podem conter malware disfarçado. ### Identificação de hashes vs texto puro Nem todo vazamento mostra senha em texto puro. Cerca de 40% são hashes MD5, SHA-1, bcrypt. Durante a demonstração, expliquei a diferença: senha em texto puro você lê diretamente, hash precisa ser quebrado. Programadores responsáveis sempre armazenam hashes, mas aproximadamente 70% dos sites brasileiros ainda guardam senhas em texto puro. Tipos de hash mais comuns em vazamentos: - **MD5**: Quebra em segundos com rainbow tables - **SHA-1**: Alguns minutos para senhas simples - **SHA-256**: Horas ou dias dependendo da complexidade - **bcrypt**: Praticamente impossível para senhas fortes - **Argon2**: Padrão moderno, extremamente seguro ### Busca reversa para encontrar emails antigos Pessoa não tem vazamento no email atual? Use busca reversa, painéis clandestinos, encontre emails antigos. Já investiguei pessoa com 2 emails de trabalho conhecidos — encontrei mais 5. Total: 7 emails. O vazamento estava num email de 2008 que ela nem lembrava. ## Casos reais que marcaram minha carreira **E-commerce gigante**: YouTube hackeado para live de Bitcoin. Solução em 10 minutos via dark market. Encontrei videomaker instalando Sony Vegas quando foi infectado. O malware veio no crack do software — ironia: empresa bilionária comprometida porque funcionário não queria pagar $20/mês pela licença. **Polícia Civil estadual**: Sistema de detentos comprometido. Qualquer um poderia transferir presos entre presídios por $10. Descobri que 47 policiais usavam senha "policia123" ou variações. Pior: o sistema não tinha logs de auditoria — impossível saber se criminosos já haviam explorado. **Executivo e amigo de infância**: Conversas estratégicas vazadas porque amigo usava "123456" como senha. O vazamento expôs planos de aquisição de R$ 200 milhões, avaliações confidenciais de executivos, estratégias de mercado. A empresa perdeu a oportunidade de compra porque concorrente teve acesso aos planos. **Jornalista da Record**: Senha descoberta ao vivo durante entrevista. Estava vazada de site de web rádio. Mas o pior: a mesma senha dava acesso ao email corporativo, sistemas internos da emissora, e arquivo de fontes confidenciais. Tiveram que fazer reset geral de segurança. **Meu próprio hack na Coreia**: Email antigo comprometido, Facebook invadido, recuperado em minutos por estar acordado. Mas descobri depois que o hacker tinha acessado meus backups do Google Photos — 8 anos de fotos pessoais. Só não vazou porque interrompi o ataque rapidamente. **Fitbit e dados de saúde**: Todos meus dados biométricos e localização vazados. Abandonei o serviço imediatamente. Mas o vazamento incluía: frequência cardíaca minuto a minuto, padrões de sono, rotas de corrida com GPS preciso, peso diário. Informações que podem ser usadas para chantagem ou stalking. Cada caso ensina algo diferente. Mas todos têm um ponto em comum: vazamentos são o maior risco de segurança hoje. ## O que fazer quando descobrir que foi vazado Descobriu que seu email está em vazamento? Ações imediatas: **Mude todas as senhas**: Não só a vazada. Se você reutiliza senhas (e 70% das pessoas reutilizam), todas estão comprometidas. **Ative autenticação de dois fatores**: Email, redes sociais, bancos — tudo precisa de 2FA agora. **Monitore outros emails**: Emails antigos podem ser portas de entrada. Verifique todos que você já usou. **Avise seus contatos**: Se o vazamento inclui conversas, avise pessoas afetadas. Transparência minimiza danos. **Use gerenciador de senhas**: [1Password](https://1password.com), Bitwarden, LastPass — escolha um e use. Senha única para cada serviço é inegociável. Mas calma: ser vazado não é fim do mundo. "Todo mundo já foi vazado — você é vítima, eu sou vítima". O importante é agir rápido e aprender com o erro. ### Checklist completo pós-vazamento Desenvolvi este checklist após atender centenas de casos: **Primeiras 24 horas**: - [ ] Mudar senha do email principal - [ ] Ativar 2FA em todas as contas críticas - [ ] Verificar extratos bancários - [ ] Notificar contatos próximos - [ ] Fazer backup de dados importantes **Primeira semana**: - [ ] Auditar todas as contas online - [ ] Cancelar cartões se necessário - [ ] Monitorar score de crédito - [ ] Configurar alertas de segurança - [ ] Revisar configurações de privacidade **Primeiro mês**: - [ ] Implementar gerenciador de senhas - [ ] Educar família sobre segurança - [ ] Considerar monitoramento profissional - [ ] Documentar o incidente - [ ] Avaliar necessidade de ações legais ## Por que mostro essas técnicas publicamente Durante o aulão, algumas pessoas questionaram no chat: "Como pode mostrar isso?". Minha resposta é simples e direta. Se eu não mostro para você ou para meu cliente como consultar vazamentos, criminosos vão fazer isso e explorar. Quando reporto uma senha vazada antes do criminoso encontrar, evito invasão. Esse é o trabalho — pentest, auditoria, blindagem digital, relatório de inteligência. E não, não acredito que conhecimento deve ser pago. "Não é o ato de pagar que classifica se alguém vai usar conhecimento para o bem ou mal". Já me ofereceram quantias absurdas para ensinar técnicas maliciosas. Recuso sempre. Não é sobre dinheiro — é sobre ética. Meu canal forma hackers éticos e investigadores digitais. Se você usa esse conhecimento para o mal, o problema não é o conhecimento — é seu caráter. E tem um dado importante: segundo pesquisa do CERT.br, 89% dos ataques bem-sucedidos no Brasil exploram vulnerabilidades conhecidas há mais de 1 ano. Ou seja, o problema não é falta de conhecimento sobre as vulnerabilidades — é falta de ação para corrigi-las. Por isso compartilho abertamente: quanto mais pessoas souberem se proteger, mais seguro fica nosso ecossistema digital. ## Limitações importantes das ferramentas apresentadas Preciso ser transparente sobre as limitações: **Google Dorks raramente encontra vazamentos específicos**: Útil para dumps genéricos, não para investigações direcionadas. **Sites gratuitos caem constantemente**: Search 0t Rocks havia caído e voltou 3 dias antes. Amanhã pode cair novamente. **Nem todos vazamentos têm senha em texto puro**: Cerca de 40% são hashes que precisam ser quebrados — processo demorado e nem sempre possível. **Dark markets são extremamente perigosos**: "Dezenas de criminosos tentando hackear quem acessa". Não recomendo para iniciantes. **Ferramentas podem desaparecer**: Genesis Market foi fechado pelo FBI. Qualquer ferramenta pode sumir amanhã. **YouTube bloqueia emails no chat**: Durante a live, tive que pedir para substituírem @ por # porque YouTube apaga automaticamente. E a limitação mais importante: ferramentas não substituem bom senso. Vi pessoas encontrando próprias senhas vazadas e continuando a usar a mesma senha "porque é mais fácil de lembrar". Tecnologia sem mudança de comportamento é inútil. ## Ferramentas Utilizadas Neste Aulão | Ferramenta | Finalidade | Link | |---|---|---| | Have I Been Pwned | Verificar se email foi comprometido em vazamentos de forma ética | [haveibeenpwned.com](https://haveibeenpwned.com) | | Dehashed | Consulta paga de vazamentos com senhas em texto puro e hashes | [dehashed.com](https://dehashed.com/) | | Search 0t Rocks | Alternativa gratuita para consultar vazamentos | [github.com/MiyakoYakota](https://github.com/MiyakoYakota/search.0t.rocks) | | Universal Search Robot | Bot do Telegram para buscas OSINT diversas | Bot no Telegram | | IntelX.io | Maior agregador de vazamentos (3000 euros/ano) | [intelx.io](https://intelx.io/product) | | 1Password | Gerenciador de senhas com alertas de vazamentos | [1password.com](https://1password.com) | ## Perguntas Frequentes ### Como descobrir se minha senha foi vazada? Use [Have I Been Pwned](https://haveibeenpwned.com) para verificação básica gratuita. Para detalhes completos incluindo senhas em texto puro, o [Dehashed](https://dehashed.com/) por $5/semana oferece buscas ilimitadas. Sempre verifique emails antigos também — são portas de entrada comuns para hackers. ### O que é vazamento de dados? Vazamento de dados ocorre quando hackers invadem sites e roubam bases de dados completas com emails, senhas, CPFs e outras informações. Demonstrei um arquivo com 245 milhões de credenciais brasileiras — cada linha contendo site, email e senha. Esses arquivos são vendidos ou distribuídos em fóruns criminosos. ### Qual a melhor ferramenta para consultar vazamentos? Para uso profissional, [Dehashed](https://dehashed.com/) é imbatível pelo custo-benefício de $5/semana. Para consultas gratuitas ocasionais, Universal Search Robot no Telegram oferece resultados completos. [IntelX.io](https://intelx.io/product) é o mais completo mas custa 3000 euros/ano. ### Como proteger minhas senhas de vazamentos? Use senha única para cada serviço — fundamental. Ative autenticação de dois fatores sempre que possível. Monitore seus emails regularmente em serviços como [Have I Been Pwned](https://haveibeenpwned.com). Use gerenciador de senhas como [1Password](https://1password.com) que alerta sobre vazamentos automaticamente. ### O que fazer quando minha senha é vazada? Mude imediatamente não só a senha vazada, mas todas se você reutiliza senhas. Ative 2FA em todas as contas importantes. Verifique emails de recuperação — podem estar comprometidos também. Avise contatos se conversas privadas foram expostas. Considere o vazamento uma oportunidade para melhorar sua segurança digital completamente. ### Por que sites são hackeados constantemente? "A todo instante o site da imobiliária, da padaria, da academia, do seu condomínio, a Netflix, o PayPal, o Google Descomplica, o Habibis" são invadidos. Aproximadamente 70% dos sites brasileiros ainda armazenam senhas em texto puro, usam sistemas desatualizados, não fazem auditorias de segurança. Funcionários com senhas fracas também são vetores comuns de ataque. ### Como funciona o Dehashed? Após pagar $5 via PayPal ou cartão, você tem acesso ilimitado por uma semana. Busque por email, domínio, username, telefone ou IP. Resultados mostram senha em texto puro (quando disponível), hash, data do vazamento, site origem e outras informações como nome completo e endereço. Empresas devem usar para monitorar domínios corporativos mensalmente. ### Qual a diferença entre senha em texto puro e hash? Senha em texto puro aparece exatamente como você digitou — "minhasenha123". Hash é a senha criptografada — algo como "5f4dcc3b5aa765d61d8327deb882cf99". Senhas em texto puro são imediatamente utilizáveis. Hashes precisam ser quebrados, processo que pode levar de segundos (MD5 fraco) a anos (bcrypt forte) dependendo do algoritmo. > **Veja também:** [4 Técnicas para Investigar Qualquer Pessoa Usando Apenas a Internet — Aulão #005](/aulao-semanal/como-investigar-pessoas-na-internet-tecnicas-osint) ## Referências e Recursos - [DeHashed — Plataforma profissional de consulta de vazamentos](https://dehashed.com/) - [Have I Been Pwned — Verificação ética de vazamentos](https://haveibeenpwned.com) - [Intelligence X — Maior agregador de vazamentos (premium)](https://intelx.io/product) - [Search 0t Rocks — Alternativa gratuita da comunidade](https://github.com/MiyakoYakota/search.0t.rocks) - [1Password — Gerenciador com integração HIBP](https://1password.com) - [Análise de algoritmos de hash e segurança](https://h41stur.github.io/posts/hashes/) - [Ferramentas OSINT para investigação digital](https://www.talkwalker.com/blog/best-osint-tools) - [Documentação sobre o fechamento do Genesis Market pelo FBI](https://en.wikipedia.org/wiki/Genesis_Market) - [História e impacto do Silk Road nos dark markets](https://en.wikipedia.org/wiki/Silk_Road_(marketplace)) --- --- ### Aulão #008 — 7 Buscas Perigosas que Revelam Informações Sensíveis no Google URL: https://brunofraga.com/aulao-semanal/google-hacking-buscas-perigosas-dorks Publicado: 2024-08-09 Tags: hacking, osint, investigacao-digital, ciberseguranca, tutoriais YouTube: https://www.youtube.com/watch?v=MiRXQ6TtZgE Aulão em vídeo onde Bruno Fraga demonstra na prática 7 técnicas avançadas de Google Hacking usando dorks e operadores especiais. Aprenda como hackers encontram vulnerabilidades e informações sensíveis através de simples pesquisas no Google. ## O que você vai aprender neste aulão Google Hacking é a arte de usar operadores avançados do Google para encontrar informações que não deveriam estar públicas — senhas, documentos confidenciais, sistemas vulneráveis. Neste aulão, eu demonstrei ao vivo 7 técnicas perigosas que revelam o poder real dessas buscas avançadas, indo muito além das pesquisas básicas que você faz no dia a dia. Depois de ler este artigo, você vai conseguir criar suas próprias dorks (pesquisas avançadas) para encontrar arquivos .env com credenciais vazadas, acessar buckets S3 expostos, localizar documentos com CPFs e RGs, e até mesmo encontrar painéis de impressoras e roteadores acessíveis pela internet. Mais importante: você vai entender a lógica por trás de cada técnica para adaptar e criar suas próprias buscas investigativas. ## Como o Google Hacking transforma pesquisas simples em investigação profissional Google Hacking não é invasão — é usar os próprios recursos do Google de forma inteligente. Quando você pesquisa "Bruno Fraga" sem aspas, o Google retorna milhões de resultados misturados. Mas quando uso aspas duplas, filtro apenas 68 mil resultados exatos. E quando adiciono operadores como site:.com.br e filetype:pdf, reduzo para resultados ultra-específicos. A diferença entre uma busca normal e Google Hacking está nos operadores. Aspas duplas forçam busca exata. O operador site: limita a domínios específicos. O filetype: filtra por extensão de arquivo. E isso é só o começo. Durante o aulão, mostrei como combinar esses operadores para criar buscas que revelam vulnerabilidades reais. Não é teoria — são técnicas que uso diariamente em [investigações digitais profissionais](https://brunofraga.com/aulao-semanal/investigacao-digital-em-fontes-abertas-osint-segredos). E o mais impressionante: tudo isso é público, indexado pelo próprio Google. ### Por que empresas e pessoas vazam dados sem saber O problema começa com a falta de conhecimento sobre como o Google indexa conteúdo. Programadores sobem arquivos de configuração para servidores. Funcionários compartilham links do OneDrive achando que só quem tem o link pode acessar. Administradores deixam painéis de dispositivos com senhas padrão. E tem mais: mesmo quando percebem o erro e removem o arquivo, o cache do Google mantém uma cópia. Durante a demonstração, encontrei um arquivo .env que já tinha sido apagado do servidor, mas ainda estava disponível no cache com DB_PASSWORD e credenciais da AWS totalmente expostas. ## Dork 1: Como encontrar arquivos .env com senhas vazadas Arquivos .env são o cofre de senhas dos programadores. Eles guardam credenciais de banco de dados, chaves de API, senhas de email — tudo que a aplicação precisa para funcionar. E 494 deles estão públicos no Google. A dork que criei é simples mas devastadora: `filetype:env "DB_PASSWORD" OR "AWS_SECRET_ACCESS_KEY" OR "API_SECRET"`. Em segundos, encontrei 494 arquivos .env expostos. Cada um é uma porta aberta para sistemas inteiros. ### O perigo do cache do Google Um caso específico me chamou atenção durante o aulão. Um arquivo já havia sido removido (retornava erro 403), mas o cache ainda mostrava tudo: ``` DB_USERNAME=admin_prod DB_PASSWORD=SenhaSuper$ecreta2026 AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY ``` Isso significa que remover o arquivo não é suficiente. O cache pode manter informações sensíveis por meses. E qualquer pessoa com conhecimento básico de Google Hacking pode acessar. ### Como proteger arquivos .env Nunca, em hipótese alguma, deixe arquivos .env em diretórios públicos. Use sempre .gitignore para evitar commits acidentais. Configure seu servidor web para bloquear acesso a arquivos que começam com ponto. E teste regularmente se seus arquivos sensíveis estão indexados. Mas a proteção vai além. Monitore regularmente o Google por vazamentos usando a própria dork com seu domínio: `site:seusite.com filetype:env`. Se encontrar algo, use o [Google Outdated Content Removal Tool](https://www.blueoceanglobaltech.com/blog/google-outdated-content-removal-tool) para solicitar remoção do cache. ## Dork 2: Buckets S3 e OneDrive — o vazamento em massa que ninguém percebe A segunda técnica que demonstrei explora serviços de armazenamento em nuvem mal configurados. Comecei com buckets S3 da Amazon: `site:s3.amazonaws.com "index of"`. O "index of" indica diretórios abertos, listando todos os arquivos disponíveis. Encontrei contratos, código-fonte, documentos internos de empresas brasileiras. Tudo público, indexado pelo Google. Mas o que mais me impressionou foi adaptar a mesma lógica para o OneDrive. ### 7 mil pastas do OneDrive expostas Mudei a dork para `site:onedrive.live.com "shared by"` e o resultado foi assustador: mais de 7 mil pastas compartilhadas publicamente. Álbuns de fotos pessoais, documentos financeiros, arquivos de trabalho. Durante a demonstração ao vivo, encontrei um álbum completo de uma viagem para Pirenópolis. Fotos de família, momentos íntimos, tudo exposto porque a pessoa compartilhou o link achando que só quem recebesse poderia ver. Mas não — o Google indexou tudo. ### A mesma vulnerabilidade em outros serviços A lógica se aplica a qualquer serviço de compartilhamento. Google Docs, Dropbox, até mesmo [ferramentas de investigação digital](https://brunofraga.com/aulao-semanal/ferramentas-de-investigacao-digital) podem ter dados expostos se mal configuradas. Durante o aulão, fiz uma demonstração rápida com o [Lightshot](https://prnt.sc), aquele serviço de compartilhar prints. As URLs são sequenciais, então você pode acessar mudando os números e encontrar prints de outras pessoas. Encontrei até um comprovante de transferência de Bitcoin durante a aula. ### Melhores práticas para armazenamento em nuvem Para se proteger, siga estas regras de [segurança em buckets S3](https://www.wiz.io/academy/cloud-security/amazon-s3-security-best-practices): 1. Nunca use permissões públicas a menos que absolutamente necessário 2. Revise regularmente as [configurações de compartilhamento do OneDrive](https://learn.microsoft.com/en-us/sharepoint/turn-external-sharing-on-or-off) 3. Use links com expiração automática 4. Monitore logs de acesso para detectar acessos não autorizados 5. Configure alertas para mudanças nas permissões 6. Faça auditorias mensais dos seus compartilhamentos E sempre teste: use as dorks que ensinei com seu próprio domínio ou serviço para ver o que está exposto. ## Dork 3: A combinação mortal — senhas e emails em documentos A terceira técnica combina elementos que nunca deveriam estar juntos em um documento público: `filetype:doc "senha" "@gmail.com" OR "@hotmail.com"`. Simples assim. O resultado? Documentos Word com listas de usuários e senhas. Durante a demonstração, refinei ainda mais para sites brasileiros: `site:.terra.com.br filetype:doc "senha" "@"`. Foram 409 resultados só nesse domínio. ### O caso do programador descuidado Um dos achados mais preocupantes foi um programador que fez upload de código SQL no GitHub com inserções reais: ```sql INSERT INTO users (email, senha) VALUES ('usuario@gmail.com', 'senha123'), ('admin@empresa.com', 'senhaforte2026'); ``` Dados de produção, expostos publicamente. E o pior: mesmo que ele apague agora, o código já foi forkado, já está em arquivos de internet, já foi indexado. ### Expandindo para outros formatos A mesma lógica funciona com CSV, TXT, SQL. Cada formato tem suas particularidades: - **CSV**: Planilhas com milhares de registros - **TXT**: Arquivos de configuração e logs - **SQL**: Dumps de banco de dados completos E aqui vai um detalhe importante: 73% das empresas usam planilhas Excel para gerenciar senhas. A dork `filetype:xls "senha" "usuario"` revela exatamente isso. ## Dork 4: Validação matemática — encontrando CPFs e RGs reais Esta foi a dork mais técnica que demonstrei. O Google consegue fazer validações matemáticas nas buscas, então criei ranges numéricos para encontrar CPFs e RGs válidos. A dork ficou assim: `filetype:pdf "CPF" "RG" "000.000.000-00".."999.999.999-99"`. O resultado? 4,5 milhões de documentos PDFs com dados pessoais de brasileiros. ### 6 mil planilhas com dados completos Quando mudei para Excel, a situação ficou ainda pior: `filetype:xls "CPF" "RG" "telefone"`. Foram 6 mil planilhas com dados pessoais completos — CPF, RG, telefone, endereço, às vezes até senha. Durante o aulão, mostrei um "inventário de dados pessoais" que uma empresa deixou público. Milhares de linhas com informações que poderiam ser usadas para fraudes, golpes, roubo de identidade. ### Por que isso acontece Empresas e órgãos públicos frequentemente: - Sobem planilhas para servidores web sem proteção - Compartilham arquivos por email que acabam indexados - Fazem backup de dados em locais públicos - Esquecem de remover arquivos temporários E tem um agravante: 82% das empresas nem sabem que estão expostas. Já [investiguei casos reais](https://brunofraga.com/aulao-semanal/investigacao-digital-casos-reais-golpe-olx) onde a empresa descobriu o vazamento meses depois, quando já era tarde demais. ### Como verificar se seus dados estão expostos Use variações da dork com seu próprio CPF (com aspas): `"123.456.789-00" filetype:pdf OR filetype:xls`. Se encontrar algo, entre em contato imediatamente com o site para solicitar remoção. Mas cuidado: não saia procurando dados de outras pessoas. O uso dessas técnicas deve ser estritamente para proteção e educação. [A legalidade do OSINT no Brasil](https://www.palermo.edu/Archivos_content/2023/cele/reporte-osint/ai57.pdf) tem limites claros sobre coleta e uso de dados pessoais. ## Dork 5: Dispositivos IoT expostos — impressoras, câmeras e roteadores A quinta técnica explora padrões de URL de dispositivos. Quando você acessa uma impressora HP pela rede, aparece uma página específica: "HP Device Internal Page". Esse padrão é indexado pelo Google. A dork `"HP Device Internal Page" inurl:index` me levou direto a painéis de impressoras. Mas o mais interessante foi quando refinei para um modelo específico: `"printermain.html" "Brother"`. Encontrei 141 impressoras Brother acessíveis pela internet. ### Impressora mostrando status em tempo real Durante a demonstração ao vivo, acessei uma Brother HL-5250DN que mostrava: - Status: "No paper" - Nível de toner - Contador de páginas - Configurações de rede E aqui vem a pergunta que fiz durante o aulão: "Será que esse modelo de impressora, se eu pegar o manual e pegar a senha padrão, será que foi alterada?" ### A vulnerabilidade das senhas padrão Consultando o [manual da Brother HL-5250DN](https://download.brother.com/welcome/doc002003/HL-5250_5270_NUG_Ver1_EN.pdf), descobri que a senha padrão é "access". E 67% dos administradores nunca mudam essas senhas. O mesmo acontece com roteadores Intelbras. A dork `intitle:"Intelbras" inurl:cgi` encontra painéis de administração. E segundo a [documentação oficial da Intelbras](https://backend.intelbras.com/sites/default/files/integration/nao_acessa_interface_-_senha_fora_do_padrao.pdf), a senha padrão é "admin". ### Outros dispositivos vulneráveis Durante o aulão, mencionei que a mesma técnica funciona para: - Câmeras IP (89% com acesso direto ao vídeo) - Sistemas de alarme - Controladores industriais - Pontos de acesso Wi-Fi E o mais preocupante: 2-3 dispositivos que testei estavam em ambientes corporativos ou governamentais. Não são apenas impressoras domésticas — são equipamentos de empresas, hospitais, órgãos públicos. ## Dork 6: Combinação de palavras-chave — o poder dos padrões A sexta técnica que demonstrei usa combinações específicas de palavras para encontrar tipos específicos de sistemas. É diferente de buscar na URL — aqui focamos no conteúdo da página. Por exemplo: `"system" "toner" "input" "output" "tray" inurl:cgi`. Essa combinação específica aparece em páginas de gerenciamento de impressoras. Cada sistema tem suas palavras-chave características. ### Identificando painéis de administração Todo painel tem padrões. WordPress sempre tem wp-admin. Roteadores têm combinações como "username" + "password" + modelo. Durante o aulão, demonstrei como identificar esses padrões e criar dorks específicas. E aqui vai uma sacada: você pode combinar isso com outros operadores. Por exemplo: `intitle:"login" "username" "password" site:.gov.br` encontra painéis de login em sites governamentais. Não vou demonstrar os resultados por questões óbvias, mas o número é assustador. ### Expandindo para outros sistemas A mesma lógica se aplica para: - Sistemas de monitoramento (`"CPU usage" "memory" "disk"`) - Painéis de controle de hosting (`"cPanel" "WHM" "login"`) - Sistemas SCADA industriais (não vou dar a dork exata por segurança) - Interfaces de automação residencial Mas lembre-se: encontrar não significa invadir. Essas técnicas servem para você testar seus próprios sistemas, identificar vulnerabilidades na sua empresa, proteger sua infraestrutura. ## Dork 7: O poder do operador intitle — documentos confidenciais à vista A última dork que demonstrei usa uma abordagem diferente. Em vez de buscar no conteúdo, foca no título do documento: `intitle:"confidencial" filetype:pdf site:.gov.br`. A diferença é significativa. Quando você busca "confidencial" no texto, encontra documentos que mencionam a palavra. Quando busca no título, encontra documentos que foram classificados como confidenciais por quem os criou. ### O caso do relatório de OVNI Durante uma demonstração anterior, encontrei um relatório da Aeronáutica sobre avistamentos de OVNIs marcado como confidencial. O documento estava em um site .gov.br, público, indexado pelo Google. E não é caso isolado. A dork `intitle:"crime" "relatório" filetype:pdf site:.gov.br` revela relatórios policiais. `intitle:"interno" "uso" filetype:doc` encontra documentos marcados para uso interno que acabaram públicos. ### Por que isso é diferente e mais poderoso O operador intitle é poderoso porque: 1. Foca na intenção de quem criou o documento 2. Encontra arquivos que foram classificados mas mal protegidos 3. Revela a desconexão entre classificação e proteção real 4. Permite buscas muito mais precisas E tem mais: você pode combinar com outros operadores. `intitle:"senha" filetype:txt site:.com.br` encontra arquivos de texto cujo título contém "senha". Geralmente são listas de senhas que alguém salvou com nome óbvio. ### A importância da classificação correta Se você trabalha com documentos sensíveis: - Nunca use palavras como "confidencial" ou "senha" no nome do arquivo - Configure seu servidor para não indexar diretórios sensíveis - Use criptografia para arquivos importantes - Implemente políticas claras de nomenclatura E sempre, sempre teste. Use as dorks que ensinei no seu próprio domínio para ver o que está exposto. ## Como criar suas próprias dorks avançadas Depois de demonstrar as 7 técnicas, quero compartilhar meu processo mental para criar novas dorks. Não é aleatório — tem método. Primeiro, identifique padrões. Todo sistema, serviço ou tecnologia tem características únicas. URLs específicas, palavras-chave, estruturas de arquivo. Anote esses padrões. Segundo, pense em combinações perigosas. Senha + email. CPF + telefone. "Confidencial" + empresa. Quanto mais específica a combinação, mais preciso o resultado. Terceiro, use operadores avançados. O Google suporta muito mais do que site: e filetype:. Tem inurl:, intitle:, intext:, cache:, related:, e até operadores matemáticos como demonstrei. ### Exemplos práticos de criação Vou dar exemplos de como penso: **Para encontrar backups expostos:** 1. Sei que backups geralmente têm "backup" no nome 2. Costumam ser .zip, .rar, .tar.gz 3. Combino: `intitle:"backup" filetype:zip OR filetype:rar` 4. Refino: adiciono `site:.com.br` para focar no Brasil **Para encontrar logs com informações sensíveis:** 1. Logs geralmente são .log ou .txt 2. Contêm timestamps e IPs 3. Podem ter senhas em texto claro 4. Crio: `filetype:log "password" "username" "IP"` ### Testando e refinando Nenhuma dork nasce perfeita. Teste, analise os resultados, refine. Se está trazendo muito lixo, adicione mais operadores. Se está muito específica, remova alguns. E sempre documente suas dorks. Mantenho um arquivo com centenas de dorks categorizadas por objetivo. Isso acelera futuras investigações. ## Ferramentas Utilizadas Neste Aulão | Ferramenta | Finalidade | Link | |---|---|---| | Google | Motor de busca principal para todas as demonstrações de dorks | [Google](https://www.google.com) | | Amazon S3 | Demonstração de buckets expostos com documentos sensíveis | [Amazon S3](https://s3.amazonaws.com) | | OneDrive | Exemplo de pastas compartilhadas publicamente com dados pessoais | [OneDrive](https://onedrive.live.com) | | Lightshot | Serviço de screenshots com URLs sequenciais exploráveis | [Lightshot](https://prnt.sc) | | HI SPY | Ferramenta avançada de investigação digital mencionada | [HI SPY](https://hispy.io/) | ## Aspectos legais e éticos do Google Hacking Preciso ser claro sobre isso: Google Hacking é uma faca de dois gumes. As mesmas técnicas que protegem podem ser usadas para atacar. A diferença está na intenção e na autorização. No Brasil, acessar dados sem autorização é crime, mesmo que estejam publicamente disponíveis. A [legislação sobre OSINT no Brasil](https://www.osint.industries/project/the-go1ano-case-osint-in-brazils-malware-ground-zero) é complexa e está em evolução. ### Quando é legal usar Google Hacking 1. **Testar seus próprios sistemas**: Sempre permitido e recomendado 2. **Investigação autorizada**: Com mandado judicial ou contrato 3. **Pesquisa acadêmica**: Sem coletar dados pessoais 4. **Proteção corporativa**: Monitorar vazamentos da sua empresa 5. **Educação**: Demonstrações sem explorar vulnerabilidades ### Quando NÃO usar - Coletar dados pessoais sem autorização - Acessar sistemas mesmo com senha padrão - Baixar documentos confidenciais de terceiros - Vender ou distribuir informações encontradas - Qualquer atividade que viole privacidade E lembre-se: só porque algo está no Google não significa que é público para qualquer uso. Respeite a privacidade e use o conhecimento para proteger, não para prejudicar. ## Como proteger sua empresa contra Google Hacking Agora que você viu o poder dessas técnicas, deve estar se perguntando: como me proteger? Vou compartilhar um protocolo que uso com clientes. ### Auditoria regular com suas próprias dorks Crie um conjunto de dorks específicas para sua empresa: - `site:suaempresa.com filetype:env OR filetype:config` - `site:suaempresa.com "senha" OR "password"` - `site:suaempresa.com filetype:sql OR filetype:bak` - `"suaempresa" filetype:xls "CPF" OR "RG"` Execute essas buscas semanalmente. Documente os resultados. Se encontrar algo novo, investigue imediatamente. ### Configuração adequada de servidores Implemente estas proteções: 1. **Bloqueie indexação de diretórios sensíveis** via robots.txt 2. **Configure o .htaccess** para negar acesso a arquivos de configuração 3. **Use autenticação** em todas as áreas administrativas 4. **Implemente HTTPS** em todo o site 5. **Desabilite listagem de diretórios** no servidor web ### Treinamento da equipe O fator humano é sempre o elo mais fraco. Treine sua equipe sobre: - Nunca subir arquivos com senhas para repositórios públicos - Configurar corretamente permissões em serviços de nuvem - Usar senhas fortes e únicas para cada serviço - Revisar configurações de compartilhamento antes de enviar links - Entender como o Google indexa conteúdo ### Monitoramento contínuo Configure alertas do Google para sua empresa. Use ferramentas de monitoramento. Faça testes de penetração regulares incluindo técnicas de OSINT. E considere contratar um especialista. As técnicas que mostrei são apenas a superfície. Profissionais experientes conhecem dorks muito mais sofisticadas e específicas para cada setor. ## O futuro do Google Hacking e tendências para 2026 O Google Hacking está evoluindo rapidamente. Em 2026, vemos novas tendências que tornam essas técnicas ainda mais poderosas — e perigosas. ### Integração com IA Ferramentas como [ChatGPT estão sendo usadas para investigação](https://brunofraga.com/aulao-semanal/chatgpt-para-investigacao-digital). A IA pode: - Gerar variações de dorks automaticamente - Analisar grandes volumes de resultados - Identificar padrões em dados expostos - Criar relatórios de vulnerabilidades Mas também cria novos riscos. Atacantes podem automatizar buscas em escala massiva, encontrando vulnerabilidades mais rapidamente. ### Novos tipos de vazamentos Com mais dispositivos IoT, novos tipos de dados estão sendo expostos: - Dados de carros conectados - Informações de dispositivos médicos - Sistemas de casa inteligente - Wearables e dados de saúde Cada nova tecnologia cria novos vetores de exposição. E o Google indexa tudo. ### Mudanças nas políticas do Google O Google está ficando mais restritivo com certos tipos de busca. E 12 dorks que funcionavam em 2024 já não funcionam em 2026. Mas sempre surgem novas técnicas. A tendência é um jogo de gato e rato: Google tenta proteger usuários, pesquisadores encontram novos métodos. Por isso a importância de se manter atualizado. ## Conclusão: o poder e a responsabilidade do conhecimento Demonstrei 7 técnicas perigosas de Google Hacking neste aulão. Mas o real valor não está nas dorks específicas — está em entender a lógica por trás delas. Você aprendeu que arquivos .env expostos são portas abertas para sistemas inteiros. Que buckets S3 e pastas do OneDrive mal configuradas vazam dados de milhares de pessoas. Que documentos com CPFs e senhas estão a uma busca de distância. E mais importante: aprendeu a pensar como um investigador digital. A identificar padrões, criar combinações, refinar buscas. Esse conhecimento é poderoso. Use-o com sabedoria. Proteja seus sistemas. Eduque sua equipe. Teste suas defesas. Mas sempre, sempre com ética e dentro da lei. O Google Hacking não vai desaparecer. Pelo contrário, está se tornando mais sofisticado. Quem domina essas técnicas tem uma vantagem competitiva enorme — seja para proteger ou para investigar. Continue estudando. Pratique com seus próprios sistemas. Acompanhe as novidades. E lembre-se: no mundo digital de 2026, conhecimento é a melhor defesa. ## Perguntas Frequentes ### O que é Google Hacking? Google Hacking é o uso de operadores avançados de busca do Google para encontrar informações específicas que geralmente não aparecem em pesquisas normais. Inclui técnicas como usar aspas duplas para busca exata, filetype: para tipos específicos de arquivo, site: para domínios específicos, e combinações desses operadores para encontrar dados expostos, vulnerabilidades e informações sensíveis. ### Como fazer pesquisas avançadas no Google? Para fazer pesquisas avançadas, use operadores como: aspas duplas ("termo exato") para busca precisa, site:dominio.com para buscar em sites específicos, filetype:pdf para tipos de arquivo, intitle: para buscar no título das páginas, inurl: para termos na URL, e o sinal de menos (-) para excluir termos. Combine múltiplos operadores para refinar ainda mais os resultados. ### O que são dorks do Google? Dorks são strings de busca avançadas que combinam operadores do Google para encontrar informações específicas. Por exemplo, `filetype:env "DB_PASSWORD"` é uma dork que busca arquivos de ambiente com senhas de banco de dados. Dorks podem ser simples ou complexas, dependendo do objetivo da busca. ### Como encontrar arquivos vazados no Google? Use combinações de operadores como `filetype:` com extensões sensíveis (.env, .config, .sql), adicione palavras-chave como "password", "senha", "confidential". Por exemplo: `filetype:sql "password" site:.com.br`. Sempre verifique primeiro seu próprio domínio para identificar possíveis vazamentos antes que outros encontrem. ### Qual a diferença entre pesquisa normal e Google Hacking? Uma pesquisa normal usa palavras-chave simples e retorna resultados genéricos. Google Hacking usa operadores avançados para filtrar resultados específicos — você pode buscar apenas em títulos de páginas, em URLs específicas, em tipos exatos de arquivo, em domínios determinados. É a diferença entre procurar uma agulha no palheiro e usar um ímã potente. ### É legal usar Google Hacking? Usar Google Hacking para encontrar informações públicas é legal. Mas acessar sistemas (mesmo com senha padrão), baixar dados pessoais sem autorização, ou usar informações encontradas para fins ilícitos é crime. No Brasil, a legislação sobre crimes digitais é clara: acesso não autorizado é crime, mesmo que a porta esteja aberta. ### Como proteger meus dados do Google Hacking? Configure corretamente robots.txt para bloquear indexação de diretórios sensíveis, nunca deixe arquivos de configuração em pastas públicas, use autenticação em áreas administrativas, revise permissões de arquivos compartilhados, monitore regularmente o que está indexado sobre sua empresa usando as próprias técnicas de Google Hacking, e treine sua equipe sobre segurança digital. ### Quais operadores de busca do Google são mais poderosos? Os operadores mais poderosos são: filetype: (busca tipos específicos de arquivo), site: (limita a domínios), intitle: (busca no título), inurl: (busca na URL), cache: (acessa versões em cache), e as aspas duplas para busca exata. Mas o verdadeiro poder está em combinar múltiplos operadores em uma única busca, criando dorks precisas para objetivos específicos. > **Veja também:** [Descobrindo Segredos Ocultos: A Arte de Investigar Metadados — Aulão #010](/aulao-semanal/investigar-metadados-informacoes-escondidas-arquivos) > **Veja também:** [4 Técnicas para Investigar Qualquer Pessoa Usando Apenas a Internet — Aulão #005](/aulao-semanal/como-investigar-pessoas-na-internet-tecnicas-osint) > **Veja também:** [Desvendando Perfis no Twitter: Técnicas de Investigação que Poucos Conhecem — Aulão #012](/aulao-semanal/como-investigar-pessoas-no-twitter) > **Veja também:** [Pare de Só Estudar Teoria: Desafios Práticos Para Treinar Investigação Digital — Aulão #017](/aulao-semanal/desafios-praticos-de-investigacao-digital-como-praticar-osint) > **Veja também:** [Transforme seu Android em um laboratório de investigação digital — Aulão #018](/aulao-semanal/ferramentas-de-investigacao-digital-para-celular-android) > **Veja também:** [A Nova Era dos Crimes Digitais: Como se Proteger e Investigar Golpes na Internet — Aulão #019](/aulao-semanal/crimes-digitais-golpes-internet-como-se-proteger-investigar) ## Referências e Recursos - [Google](https://www.google.com) - [Amazon S3 Security Best Practices](https://www.wiz.io/academy/cloud-security/amazon-s3-security-best-practices) - [OneDrive Sharing Settings Guide](https://learn.microsoft.com/en-us/sharepoint/turn-external-sharing-on-or-off) - [Brother HL-5250DN Manual](https://download.brother.com/welcome/doc002003/HL-5250_5270_NUG_Ver1_EN.pdf) - [Intelbras Router Configuration](https://backend.intelbras.com/sites/default/files/integration/nao_acessa_interface_-_senha_fora_do_padrao.pdf) - [OSINT Legality in Brazil Report](https://www.palermo.edu/Archivos_content/2023/cele/reporte-osint/ai57.pdf) - [Google Cache Removal Process](https://developers.google.com/search/blog/2007/04/requesting-removal-of-content-from-our) - [HI SPY - Advanced Digital Investigation](https://hispy.io/) - [Lightshot Screenshot Service](https://prnt.sc) --- --- ### Aulão #007 — O Guia Definitivo para Descobrir Quem Está Por Trás de Qualquer Site URL: https://brunofraga.com/aulao-semanal/como-descobrir-o-dono-de-um-site Publicado: 2024-08-08 Tags: osint, investigacao-digital, privacidade, ciberseguranca YouTube: https://www.youtube.com/watch?v=A-hLkN2AEpg Aulão completo em vídeo onde Bruno Fraga demonstra na prática como usar ferramentas OSINT e consultas WHOIS para identificar os responsáveis por qualquer domínio na internet. Aprenda técnicas profissionais de investigação digital para se proteger de golpes e fraudes online. ## O que você vai aprender neste aulão Como descobrir o dono de um site é uma das perguntas que mais recebo de advogados, policiais e investigadores. Neste aulão, demonstrei ao vivo 4 métodos comprovados que uso diariamente em minhas investigações — desde a consulta Whois básica até técnicas avançadas de enumeração que revelam informações ocultas. Você vai aprender a investigar sites de golpe, identificar responsáveis por domínios protegidos com privacidade, e usar ferramentas profissionais de OSINT para rastrear proprietários mesmo quando eles tentam se esconder. Internet não é terra sem lei — todo site tem uma pessoa por trás. E eu vou mostrar exatamente como encontrar essa pessoa, usando casos reais que investiguei, incluindo o famoso caso da Blaze e sites de phishing que mudavam de identidade constantemente. ## Por que você precisa saber investigar proprietários de sites A demanda para descobrir donos de sites já existe em quantidade absurda. Toda nossa vida hoje gira em sites — desde redes sociais até lojas online. Casos de ameaças no Facebook, Instagram e TikTok precisam de notificação aos responsáveis. Golpes e fraudes acontecem diariamente em sites falsos. Casos de sextorsão e revenge porn usam plataformas online para disseminar conteúdo. Eu recebo semanalmente pedidos de investigação envolvendo sites. Advogados precisam notificar empresas. Delegacias recebem boletins de ocorrência sobre golpes online. Vítimas de difamação querem processar responsáveis. E a maioria não sabe nem por onde começar. Durante o aulão, perguntei no chat quantos já precisaram descobrir o dono de um site. Praticamente todos responderam que sim. Mas mais de 90% sabiam apenas técnicas básicas. Por isso compilei neste artigo os 4 métodos que uso profissionalmente, com exemplos práticos de cada um. ## Método 1: Consulta Whois — Como perguntar diretamente ao site quem é o dono Você pode literalmente perguntar para um site quem é o dono dele. Parece loucura? É exatamente isso que fazemos com o protocolo Whois. O site responde com nome, telefone, e-mail e endereço do responsável. ### Domínios .br: O paraíso dos investigadores Sites que terminam em .br são os mais fáceis de investigar. O [Registro.br](https://registro.br) obriga que todo domínio brasileiro tenha dados completos do responsável. Isso inclui CPF ou CNPJ, endereço completo, telefone e e-mail. Para consultar, acesse o [Registro.br](https://registro.br), clique em Tecnologia > Ferramentas > Serviço de Diretório Whois. Digite o domínio e pronto. Durante a demonstração ao vivo, consultei o site companhiamaritima.com.br e apareceram todos os dados do titular. Um detalhe importante: se você estiver fora do Brasil, pode precisar resolver um captcha e algumas informações podem ficar ocultas. Mas acessando do Brasil, você vê tudo — CPF, CNPJ, endereço completo, telefone, e-mail. E aqui vai uma dica que poucos conhecem: o Registro.br mantém histórico de alterações. Se o proprietário mudou recentemente, você consegue ver quem era o dono anterior através da consulta avançada. Já resolvi casos onde o golpista transferiu o domínio, mas o histórico ainda mostrava o proprietário original. ### Domínios internacionais e o problema do Whois Guard Para domínios .com, .net, .org e outros internacionais, use o site [whois.com](https://whois.com). Mas aqui começa o problema: 85% dos golpistas usam Whois Guard — um serviço de privacidade que esconde os dados reais. Por apenas $1 por ano, qualquer pessoa pode contratar esse serviço. Em vez dos dados reais, aparece uma empresa de proxy. Meu próprio site brunofraga.com usa essa proteção. E a Blaze? Também usava Whois Guard para esconder os proprietários. O Whois Guard funciona como um intermediário. Quando você consulta o domínio, vê apenas: - Nome: WhoisGuard Protected - Endereço: P.O. Box no Panamá - E-mail: um endereço genérico que encaminha mensagens Mas nem sempre foi assim. Antes de 2018, era mais difícil conseguir essa proteção. Por isso sempre vale verificar o histórico do domínio — às vezes ele foi registrado sem proteção inicialmente. ### O vazamento de 280GB que expôs sites protegidos Mas nem o Whois Guard é 100% seguro. Uma vez vazou toda a base de domínios protegidos — 280GB de dados incluindo sites que pagavam por privacidade. Esse vazamento está disponível no [Intel X](https://intelx.io/product) e inclui dados da própria Blaze. Durante investigações profissionais, sempre consulto esse vazamento quando encontro um site com Whois Guard. Já revelou proprietários de sites de golpe que achavam estar protegidos. O link para download muda constantemente, mas mantenho atualizado no material do curso. E não é só esse vazamento. Existem pelo menos 4 bases de dados diferentes com informações de Whois histórico: - DomainTools (pago, mas muito completo) - WhoisXML API (tem versão gratuita limitada) - SecurityTrails (excelente para histórico) - ViewDNS.info (gratuito e eficiente) ## Método 2: Investigação histórica com cache — Voltando no tempo para revelar proprietários Sites de golpe mudam constantemente. Mas o [Archive.org](https://archive.org) guarda todas as versões antigas. É como uma máquina do tempo da internet que já me ajudou a resolver dezenas de casos. ### Como o histórico revela informações ocultas No aulão, demonstrei com o site odontocompany.com. Em 2011, o site exibia um telefone de contato que não existe mais na versão atual. Esse telefone antigo levou a outras pistas na investigação. Já aconteceu um caso fascinante: um site de phishing atual, quando consultado no histórico, era outro golpe diferente. Mas o outro golpe era de uma quadrilha conhecida. Descobrimos que o mesmo grupo criminoso reutilizava domínios para golpes diferentes. E tem mais: sites pequenos frequentemente começam mostrando dados pessoais do dono. Com o tempo, profissionalizam e escondem essas informações. Mas o Archive.org mantém tudo. Já encontrei: - Números de celular pessoal em rodapés antigos - Endereços residenciais em páginas de contato - Links para perfis pessoais do Facebook - Até mesmo fotos do proprietário que foram removidas ### Passo a passo para investigação profunda com cache 1. Acesse [Archive.org](https://archive.org) 2. Digite a URL do site suspeito 3. Navegue pelas datas disponíveis (comece sempre pela mais antiga) 4. Para cada versão significativa, salve screenshots 5. Procure por telefones, e-mails, nomes em versões antigas 6. Compare com a versão atual para encontrar mudanças 7. Anote TODAS as URLs diferentes que o site já teve 8. Verifique páginas internas também (/contato, /sobre, /quem-somos) Sites pequenos às vezes começam mostrando contato direto do dono. Conforme crescem, escondem essas informações. Mas o Archive.org mantém tudo registrado. Uma técnica avançada: use o operador site: no Google junto com datas antigas. Por exemplo: `site:exemplo.com "2020..2021"`. Isso encontra páginas que o Google indexou naquele período mas que não existem mais. ## Método 3: Busca por identificadores únicos — A técnica que mais revela conexões Essa é uma das minhas técnicas favoritas. Todo site tem elementos únicos que funcionam como impressões digitais: textos específicos, telefones, imagens, códigos. ### Identificando e rastreando textos únicos Durante a demonstração, copiei a descrição de uma casa em um site de leilão. Coloquei o texto entre aspas no Google e encontrei o mesmo anúncio em outro site, revelando conexões entre diferentes domínios. O telefone antigo da Odonto Company, quando pesquisado, apareceu em: - Listagens telefônicas (mostrando nome completo do titular) - Matéria na Revista Exame (com foto e cargo da pessoa) - Site "Quem Ligou" (com reclamações que revelavam mais dados) - Documentos públicos com nomes completos - Processos judiciais digitalizados E aqui vai um segredo: sempre use aspas duplas nas buscas. Isso força o Google a procurar a sequência exata de palavras. Mas tem mais truques: - Use o sinal de menos para excluir resultados: `"telefone" -site:exemplo.com` - Use asterisco como coringa: `"João * Silva" CPF` - Combine com operadores de data: `"texto único" after:2020 before:2022` ### Busca reversa de imagens revelando proprietários Salvei a logo de um site e fiz upload no Google Imagens. A mesma logo apareceu em 4 outros sites, todos do mesmo proprietário usando domínios diferentes. É uma técnica que uso em todo caso de investigação. Mas não use apenas o Google Images. Eu sempre verifico em: - TinEye (melhor para encontrar versões modificadas) - Yandex Images (excelente para faces e textos em imagens) - Bing Visual Search (às vezes encontra o que outros não acham) - PimEyes (pago, mas incomparável para rostos) E uma dica crucial: antes de fazer a busca reversa, remova metadados da imagem com uma ferramenta online. Isso evita que o algoritmo se confunda com dados EXIF. ### Análise de metadados: o descuido que entrega tudo Aqui está uma técnica que poucos conhecem. Toda imagem, PDF ou arquivo em um site pode conter metadados — informações ocultas sobre quem criou o arquivo. No aulão, analisei uma foto de um site de quadra esportiva usando o [ExifTool](https://exiftool.org). Os metadados revelaram: - Nome do autor: César Farsini - Software usado: Canva - Data de criação: timestamp exato - Configurações da câmera - Até coordenadas GPS (em fotos de celular) Um único arquivo mal tratado pode entregar toda a investigação. Por isso sempre baixo TODAS as imagens de um site suspeito. Mas metadados não estão só em imagens. Documentos PDF são minas de ouro: - Nome do computador que criou - Versão do software usado - Histórico de edições - Às vezes até caminhos de arquivo internos (C:\Users\NomeDaPessoa\...) ### Automatizando a análise com HTTPTrack Geralmente eu faço isso aqui — uma dica que dou para alunos e agora compartilho com vocês. Uso o [HTTPTrack](https://www.httrack.com) para baixar o site inteiro. A ferramenta cria uma pasta com todos os arquivos: imagens, PDFs, scripts, tudo. Depois rodo o ExifTool nessa pasta inteira. Ele analisa centenas de arquivos automaticamente e mostra todos os metadados encontrados. Já descobri proprietários porque UMA única foto entre centenas tinha o nome do criador nos metadados. O processo completo que uso: 1. Configuro o HTTPTrack para baixar até 3 níveis de profundidade 2. Limito a 50MB por arquivo (evita baixar vídeos enormes) 3. Depois do download, uso o comando: `exiftool -r -all pasta_do_site > metadados.txt` 4. Abro o arquivo metadados.txt e procuro por: Author, Creator, Company, GPS, Software 5. Qualquer nome ou informação pessoal vira pista para investigação E tem um bônus: o HTTPTrack também baixa códigos JavaScript. Às vezes encontro comentários no código com informações valiosas, e-mails de desenvolvedores, até senhas antigas comentadas. ## Método 4: Enumeração técnica — Ferramentas avançadas de hacking para investigadores Esse é o método mais técnico, mas absurdamente efetivo. Uso quando os outros métodos não revelam o suficiente. Envolve ferramentas profissionais de segurança para descobrir informações ocultas. ### DNS Dumpster: Revelando subdomínios ocultos O [DNS Dumpster](https://dnsdumpster.com) encontra subdomínios que o proprietário nem sabe que estão expostos. Na demonstração com odontocompany.com, descobri: - dev.odontocompany.com (ambiente de desenvolvimento) - suporte.odontocompany.com (sistema de helpdesk) - api.odontocompany.com (interface de programação) - teste.odontocompany.com (servidor de testes) - old.odontocompany.com (versão antiga do site) Subdomínios de desenvolvimento frequentemente têm menos segurança. Já encontrei painéis administrativos abertos, logs com informações pessoais, até bancos de dados expostos. Mas o DNS Dumpster é só o começo. Também uso: - Sublist3r (ferramenta de linha de comando muito poderosa) - Amass (da OWASP, extremamente completa) - Subfinder (rápida e eficiente) - SecurityTrails (tem API gratuita limitada) E uma técnica manual: procure por `site:*.exemplo.com` no Google. Encontra subdomínios que as ferramentas automáticas podem perder. ### WPScan: Extraindo usuários de sites WordPress Demonstrei essa técnica ao vivo usando [Kali Linux](https://www.kali.org). O [WPScan](https://wpscan.com) enumera agressivamente usuários cadastrados em sites WordPress. No site da prefeitura de Caraguatatuba, a ferramenta encontrou: - Alan Matos (que descobrimos ser diretor do CATE) - 7 funcionários com IDs administrativos - Padrões de nomenclatura (primeiro.ultimo) - Até datas de criação das contas Mas atenção: isso já entra em técnicas mais agressivas. Use apenas em investigações autorizadas ou para proteger seus próprios sistemas. O comando completo que usei: `wpscan --url https://exemplo.com --enumerate u --api-token SEU_TOKEN`. O token gratuito permite 25 scans por dia. E não é só usuários. O WPScan também encontra: - Plugins vulneráveis (com datas de instalação) - Temas instalados (às vezes comprados com dados pessoais) - Backups esquecidos (wp-config.php.bak é comum) - Diretórios não protegidos ### Análise de código-fonte e comentários Desenvolvedores frequentemente deixam comentários no código. Já encontrei: - Nomes completos em comentários - E-mails de contato técnico - Links para ambientes de teste - Senhas antigas comentadas (sim, isso acontece) - TODOs com informações sensíveis ("TODO: remover antes de publicar") Para ver o código-fonte, clique com botão direito e "Exibir código-fonte". Procure por comentários que começam com `