Investigação

Fluxo de trabalho OSINT passo a passo com exemplos práticos

Antes de mergulhar: investigações em fontes abertas devem respeitar leis e privacidade. Foque em dados públicos e evite coleta intrusiva. Os exemplos abaixo são didáticos e usam alvos fictícios.

1. Identificação de domínios e IPs

Passos essenciais

• Descobrir infraestrutura: Levante DNS, subdomínios, e registros MX/SPF/DMARC.

• Checar registro: Consulte WHOIS para titularidade, datas e provedores.

• Mapear hospedagem: Identifique quem hospeda e o ASN.

• Geolocalizar IP: Veja localização e bloco de rede.

Ferramentas sugeridas

• DNS/infra: DNS Dumpster, MX Toolbox, Registro.br

• WHOIS: Whois.com, Who.is, Whoisology

• Hospedagem/ASN/IP: Who is Hosting This, IP Info, Maxmind GeoIP Demo, Hacker Target AS IP Lookup, DNS Checker ASN Whois Lookup, IF Config

Exemplo prático

• Alvo: exemplo.com.br

• Ação:

  • Descobrir subdomínios: Use DNS Dumpster para listar api.exemplo.com.br, mail.exemplo.com.br..

  • Verificar MX/SPF: No MX Toolbox, valide registros de e-mail e políticas SPF/DMARC.

  • Consulta .br: No Registro.br, confira titular, CNPJ e contatos.

  • Hospedagem: Identifique o provedor (ex.: “HostX”) no Who is Hosting This.

  • IP e ASN: IP Info revela 203.0.113.5 e ASN 64500; geolocalize no Maxmind.

2. Geolocalização e mapas

Passos essenciais

• Confirmar locais citados: Endereços, rotas, pontos de interesse.

• Contextualizar imagens: Cruzar paisagens com mapas/satélite.

• Redes sem fio: Mapear SSIDs e cobertura.

Ferramentas sugeridas

• Mapas/rotas: Google Maps, Bing Maps, OpenStreetMap, ViaMichelin, WorldMap

• Satélite/terra: Google Earth

• Aeroportos: World Aero Data

• Redes Wi-Fi: Wigle

• Mapas customizados: ZeeMaps

Exemplo prático

• Alvo: Foto com placa “Av. Beira-Mar, Florianópolis”

• Ação:

  • Verificar endereço: Busque a avenida no Google Maps e confirme pontos próximos.

  • Paisagem: Compare edifícios com imagens de satélite no Google Earth.

  • Wi-Fi local: Procure SSIDs da área no Wigle para contextualização temporal.

3. Análise de imagens

Passos essenciais

• Verificar origem: Busca reversa para achar postagens anteriores.

• Checar edição: Análise forense de manipulações.

• Ler metadados: EXIF (câmera, data, GPS) quando disponíveis.

Ferramentas sugeridas

• Busca: Google Images, Bing Images, Yandex Images, Baidu Image Search, TinEye, Karma Decay (Reddit)

• Forense: FotoForensics

• EXIF: Jeffrey’s Image Metadata Viewer, Metapicz, EXIF Tools, Online EXIF Viewer, EXIF Data

• Hospedagem: Flickr, Photobucket, PicSearch

Exemplo prático

• Alvo: Foto alegando ser de Joinville em “12/2024”

• Ação:

  • Busca reversa: No TinEye, encontre versões antigas e a primeira publicação.

  • EXIF: No Jeffrey’s Viewer, verifique data e localização; se GPS indica “Curitiba”, há inconsistência.

  • Forense: Em FotoForensics, procure artefatos de edição (ELA).

4. Análise de vídeos

Passos essenciais

• Rastrear upload original: Encontrar a fonte e data.

• Validar contexto: Local, hora, condições climáticas.

• Checar autenticidade: Inconsistências de áudio/frames.

Ferramentas sugeridas

• Plataformas: YouTube, Vimeo, Dailymotion, Bing Videos, Yahoo Video Search

• Histórico: Archive.org

• Webcams: EarthCam

• Verificação: Citizen Evidence (direitos humanos)

• Conteúdo noticioso: LiveLeak (histórico)

Exemplo prático

• Alvo: Vídeo de “apagão em SC”

• Ação:

  • Buscar origem: Encontre o primeiro upload no YouTube e compare títulos/descrições.

  • Contexto: Use EarthCam de cidades próximas para confirmar se houve queda de luz naquele período.

  • Quadros: Verifique metadados e frames-chave; se há data anterior, pode ser reaproveitamento.

5. Verificação de notícias e fake news

Passos essenciais

• Checar em múltiplos verificadores: Compare conclusão e metodologia.

• Explorar base estruturada: Use agregadores de fact-check.

• Cross-check: Procure fontes primárias e evidências.

Ferramentas sugeridas

• Verificadores: Fact Check, Snopes, Politifact, Africa Check, ABC News Fact Check

• Agregador: Google Fact Check Explorer

• Projetos: MIT Fake News App, EU vs Disinfo

Exemplo prático

• Alvo: Post dizendo “novo imposto secreto no Brasil”

• Ação:

  • Fact Check Explorer: Busque termos-chave e veja checagens correlatas.

  • Snopes/Politifact: Procure versões internacionais do boato.

  • Fonte primária: Compare com Diário Oficial e sites governamentais.

6. Redes sociais (Facebook e Instagram)

Passos essenciais

• Localizar IDs: IDs estáveis ajudam cruzar dados.

• Mapear atividade: Postagens, seguidores, páginas associadas.

• Validar autenticidade: Histórico e mudanças de nome.

Ferramentas sugeridas

• Facebook: Facebook Search, Zesty Facebook, Lookup-ID

• Instagram: Instagram User ID Comment Picker, InstaFollowers User ID

Exemplo prático

• Alvo: @empresa_exemplo no Instagram

• Ação:

  • Capturar ID: Use um localizador de User ID para obter o número único.

  • Relacionar: Com o ID, busque menções e comentários.

  • Facebook: Use Lookup-ID para página vinculada e compare dados públicos (nome anterior, admins visíveis).

7. Celulares e dispositivos

Passos essenciais

• Operadora e status: Verifique carrier e situação do número.

• IMEI: Valide modelo e possíveis restrições.

• Especificações: Confirme capacidades do aparelho.

Ferramentas sugeridas

• Operadora/status: freecarrierlookup, consultanumero.abrtelecom, cadastropre

• IMEI: imei.info, imeicheck

• Specs: gsmarena

Exemplo prático

• Alvo: Número +55 47 9XXXX-XXXX

• Ação:

  • Operadora: Consulte em freecarrierlookup; cruze com abrtelecom para portabilidade.

  • Pré-pago: Verifique em cadastropre se ativo.

  • IMEI: Em imei.info, confirme modelo (ex.: “Moto G Power 2022”).

8. Cache e arquivos antigos

Passos essenciais

• Acessar versões anteriores: Recuperar conteúdo removido.

• Comparar mudanças: Ver diferenças entre snapshots.

• Guardar evidências: Registrar data e hash do conteúdo.

Ferramentas sugeridas

• Cache: Cached Pages, Cached View

• Arquivo histórico: Internet Archive: Wayback Machine

Exemplo prático

• Alvo: Página “exemplo.com.br/promo” apagada

• Ação:

  • Wayback: Localize cópias de 2023/2024.

  • Diferenças: Compare promoções e termos.

  • Cache alternativo: Tente Cached View se a Wayback não tiver snapshot.

9. Usuários e nomes de perfil

Passos essenciais

• Disponibilidade: Ver se o nome está em múltiplas plataformas.

• Impersonation: Detectar contas falsas/imitadoras.

• Marca e domínio: Cruzar com registros de marca/domínio.

Ferramentas sugeridas

• Usernames: Check Usernames, Knowem, Namechk, Namecheckr

• Busca pessoa: Usersearch

Exemplo prático

• Alvo: “rdsinvestiga”

• Ação:

  • Varredura: No Namechk, veja em quais redes o username existe.

  • Imitação: Compare datas de criação; contas recentes sem conteúdo podem ser fake.

  • Domínio: Knowem indica disponibilidade de domínio correlato.

10. E-mails

Passos essenciais

• Cabeçalho: Rastrear caminho e origem aproximada.

• Domínios relacionados: Reverse WHOIS para vínculos.

• Reputação: Checar risco e histórico de abuso.

• Contas vinculadas: Ver associações a Google/Skype.

Ferramentas sugeridas

• Cabeçalho: Microsoft Header Analysis, MXToolbox Email Headers, Google Message Header Analyzer, What Is My IP Address Email Trace

• Domínios: Whoxy, ViewDNS Reverse Whois

• Descoberta: Hunter, Epieos Google Account Finder, Vedbex Email2Skype

• Reputação: EmailRep

Exemplo prático

• Alvo: contato@exemplo.com.br

• Ação:

  • Headers: Analise Received e SPF/DMARC result.

  • Reverse WHOIS: Encontre outros domínios do mesmo registrante.

  • Reputação: Em EmailRep, veja score e flags.

  • Contas: Epieos indica se há conta Google associada.

11. Alertas e monitoramento

Passos essenciais

• Criar alertas: Palavras-chave, marcas, nomes.

• Cobertura ampla: Web, notícias, redes sociais.

• Feeds: Centralizar em leitor RSS.

Ferramentas sugeridas

• Alertas: Google Alerts, Talkwalker Alerts

• Feeds: Feedreader

• Eventos: Disaster Alert, GDACS

Exemplo prático

• Alvo: “exemplo.com.br” e “CNPJ 00.000.000/0001-00”

• Ação:

  • Google Alerts: Configure alertas com operadores (“site:exemplo.com.br”, “CNPJ 00.…”).

  • Talkwalker: Monitore menções sociais.

  • Feedreader: Agregue blogs e releases do alvo.

12. Empresas e CNPJs

Passos essenciais

• Consulta oficial: Situação cadastral e CNAE.

• Dados ampliados: Sócios, faturamento estimado, contatos.

• Cruzamentos: Endereços e empresas coligadas.

Ferramentas sugeridas

• Oficial: Soluções Receita Fazenda, Situação Cadastral

• Bases: CNPJ.biz, Base CNPJ, Nacional Consultas, Cadastro Empresa

• Mercado: Econodata

• Sócios: Consulta Sócio

Exemplo prático

• Alvo: CNPJ 12.345.678/0001-99

• Ação:

  • Situação: Verifique no portal oficial se ativa e CNAE principal.

  • Sócios: Use Consulta Sócio para identificar quadro societário.

  • Mercado: Econodata para porte e setor.

13. Documentos e arquivos

Passos essenciais

• Normas e boas práticas: Basear coleta em padrões.

• Registros financeiros: Consultas autorizadas e logs.

• Assinatura digital: Validar integridade e autoria.

Ferramentas sugeridas

• Padrões: Procedimento Operacional Padrão Perícia Criminal, RFC 3227, Relatório GT-IPv6

• Financeiro: Registrato BCB

• Assinatura: Assinador Serpro

Exemplo prático

• Alvo: PDF com suposta assinatura digital

• Ação:

  • Validação: Use Assinador Serpro para verificar certificado e carimbo de tempo.

  • Coleta: Siga RFC 3227 ao coletar artefatos (ordem e preservação).

  • IPv6: Consulte GT-IPv6 para particularidades em logs de redes.

14. Painéis de consulta

Passos essenciais

• Crédito e cadastro: Obter visão de risco e validação de dados.

• Comparar fontes: Evitar depender de um único painel.

• Registrar evidências: Capturas com data e hash.

Ferramentas sugeridas

• Painéis: Panel Situação Cadastral, Brasil Consultas, CrediLink, Fenix Consultas

Exemplo prático

• Alvo: Pessoa física vinculada ao CNPJ

• Ação:

  • Situação: Panel Situação Cadastral para validação básica.

  • Crédito: CrediLink para score e pendências.

  • Cruzamento: Confirmar consistência com Brasil Consultas.

15. Outros recursos

Passos essenciais

• Pesquisa avançada: Otimizar buscas com operadores.

• Certificados: Encontrar domínios/subdomínios por TLS.

• Malware/URLs: Verificar risco de arquivos e páginas.

• Framework: Usar mapa mental de OSINT.

Ferramentas sugeridas

• Busca: Google Advanced Search

• Certificados: crt.sh

• Framework: OSINT Framework

• Segurança: VirusTotal

Exemplo prático

• Alvo: Descobrir subdomínios ocultos

• Ação:

  • crt.sh: Pesquise certificados para exemplo.com.br; liste subdomínios como “dev.exemplo.com.br”.

  • Operadores: Use “site:exemplo.com.br -www” no Google para páginas fora do principal.

  • VirusTotal: Analise URL suspeita “exemplo.com.br/login-old”.

Bônus: investigação rápida de domínio

Passo a passo enxuto

• Infra básica: DNS Dumpster para subdomínios.

• Registros e titular: Registro.br e WHOIS.

• E-mail: MX Toolbox para MX/SPF/DMARC.

• Certificados: crt.sh para mais subdomínios.

• Hospedagem/ASN/IP: IP Info e Who is Hosting This.

• Histórico: Wayback Machine para conteúdo antigo.

Ferramenta integrada

• Investigator (domínios): https://abhijithb200.github.io/investigator/ — consolida checagens rápidas de domínio.

👍. Aqui está uma lista de links de referência úteis para aplicar as dicas de preservação e ética em investigações digitais:

🔗 Ferramentas para Captura de Evidências

• ShareX (Windows, gratuito): https://getsharex.com

• Greenshot (Windows): https://getgreenshot.org

• Lightshot (Windows/Mac): https://app.prntscr.com

🔗 Geração de Hash (Integridade de Arquivos)

• Certutil (Windows, nativo): Documentação Microsoft

• sha256sum (Linux, nativo): GNU Coreutils

• Online Hash Generator: https://www.onlinehashcrack.com/hash-generator.php

• VirusTotal (gera hash automaticamente ao enviar arquivo): https://www.virustotal.com

🔗 Cadeia de Custódia (Documentação)

• Modelo de planilha (Google Sheets): Exemplo de Cadeia de Custódia (modelo público)

• Guia RFC 3227 (diretrizes de coleta de evidências): https://www.rfc-editor.org/rfc/rfc3227

🔗 Legalidade e Privacidade

• LGPD – Lei Geral de Proteção de Dados (Brasil): https://www.gov.br/cidadania/pt-br/lgpd

• Microsoft Privacy Statement: https://privacy.microsoft.com/en-us/privacystatement

• OSINT Framework (mapa de fontes abertas): https://osintframework.com

📌 Como documentar

1. Captura: Salve screenshots com timestamp.

2. Hash: Gere SHA-256 e registre em log.

3. Custódia: Use planilha ou documento com campos: Evidência, Data/Hora, Coletor, Ferramenta, Local.

4. Legalidade: Anote se o dado é público ou se houve consentimento.

5. Armazenamento: Guarde arquivos e logs em pasta organizada, preferencialmente com backup seguro.