Introdução
A Inteligência de Fontes Abertas (Open Source Intelligence – OSINT) é uma técnica essencial para profissionais de segurança cibernética, investigadores forenses e analistas de inteligência. O uso de dados disponíveis publicamente permite identificar ameaças, rastrear atividades maliciosas e analisar incidentes cibernéticos sem a necessidade de acesso privilegiado a sistemas internos.
Diante do crescimento das ameaças digitais, ferramentas de OSINT se tornaram fundamentais para investigar vazamentos de credenciais, ataques direcionados e fraudes online. Neste artigo, exploraremos como o OSINT Toolkit (osint-toolkit.onrender.com) pode ser utilizado na investigação de cibercrimes, aproveitando suas funcionalidades de consulta WHOIS e registros DNS. Além disso, o código-fonte da ferramenta está disponível para instalação e personalização no GitHub: github.com/escariao/osint-toolkit.
Para uma análise mais aprofundada de endereços IP e registros de abuso associados, utilizaremos também o CyberSec Intel (cybersec-intel.onrender.com), que permite obter detalhes adicionais sobre IPs suspeitos.
1. O que é OSINT e por que ele é importante na segurança cibernética?
O OSINT refere-se à coleta e análise de informações públicas disponíveis na internet, incluindo:
- Domínios e IPs (WHOIS, DNS, registros de servidores)
- Links e referências entre sites (estrutura de páginas e conexões internas)
Diferente de ataques invasivos, a investigação com OSINT não envolve exploração de sistemas, sendo uma técnica legal e amplamente utilizada por empresas, forças policiais e analistas de ameaças para prevenir fraudes e ataques cibernéticos.
2. Investigando Domínios e Registros DNS com o OSINT Toolkit
2.1. Identificação de Propriedade e Histórico de um Domínio
Ao investigar um domínio suspeito, um dos primeiros passos é verificar quem é o proprietário e qual o histórico de registros.
📌 Passo a passo no OSINT Toolkit:
- Acesse OSINT Toolkit
- Insira o domínio
- Analise os dados, incluindo:
- Nome do registrar (se disponível)
- Data de criação e expiração do domínio
- Servidores DNS e localizações associadas
Exemplo de saída:
Informações WHOIS
Domínio: GLOBO.COM
Registradora: 1API GmbH
Servidor WHOIS: whois.1api.net
Última Atualização: 01/03/2019
Criado em: 21/12/1998
Expira em: 21/12/2025A partir dessa análise, pode-se verificar se um site é novo (potencialmente malicioso) ou se pertence a um grupo já conhecido por fraudes.
2.2. Investigação de Registros DNS e IPs Relacionados
Uma análise de DNS pode revelar IPs associados a um site e seus servidores de e-mail, para cada IP cabe um novo WHOIS, e assim pode-se aprofundar.
📌 Passo a passo no OSINT Toolkit:
- Acesse Registros DNS
- Insira um domínio suspeito
- Analise registros como:
- A Record: IPs do servidor
- MX Record: Servidores de e-mail associados
- TXT Records: Potenciais configurações de SPF e DKIM
Se um site suspeito compartilha servidores com outros domínios maliciosos, é um forte indicativo de que faz parte de uma rede fraudulenta.
📌 Consulta do IP no CyberSec Intel: Após identificar um IP relacionado ao domínio suspeito, recomenda-se uma análise mais profunda com o CyberSec Intel para verificar relatórios de abuso e incidentes passados associados ao IP.
- Acesse CyberSec Intel
- Insira o IP suspeito
- Verifique se há registros de abuso, incidentes relatados e conexões com ataques cibernéticos.
3. Aplicação Prática: Investigando um Caso de Phishing
Suponha que um usuário recebeu um e-mail suspeito solicitando informações bancárias e que o link fornecido direciona para bancox-contato.com.br.
📌 Passo a passo de investigação:
- Acesse o OSINT Toolkit e consulte o WHOIS do domínio
- Verifique se o domínio é recente (criado há poucos meses) – possível golpe
- Consulte os registros DNS e analise os servidores
- Pegue o IP do domínio e faça uma consulta no CyberSec Intel
- Se o IP já tiver sido relatado em atividades maliciosas, tome medidas preventivas
Se o domínio estiver relacionado a servidores fraudulentos, a recomendação é bloquear o site e reportar o phishing aos órgãos competentes.
Site: https://www.gov.br/cisc – Notificar Incidente Cibernético.
Email: ctir@ctir.gov.br
4. Instalando o OSINT Toolkit no seu Ambiente
Para aqueles que desejam personalizar suas investigações ou executar o OSINT Toolkit localmente, a ferramenta pode ser instalada a partir do GitHub.
📌 Passo a passo para instalação:
1. Clone o repositório do projeto:
git clone https://github.com/escariao/osint-toolkit.git cd osint-toolkit
2. Instale as dependências necessárias:
pip install -r requirements.txt
3. Execute a aplicação localmente:
python app.py
Agora, o OSINT Toolkit estará rodando localmente e poderá ser utilizado para investigações privadas e personalizadas.
Conclusão
O uso de OSINT na segurança cibernética permite identificar ameaças, investigar fraudes e proteger ativos digitais sem a necessidade de acesso privilegiado a redes internas. O OSINT Toolkit facilita essa investigação, oferecendo funcionalidades para rastrear domínios e registros DNS.
A integração com o CyberSec Intel amplia a investigação ao permitir a análise de IPs suspeitos e seus históricos de abuso, possibilitando uma tomada de decisão mais informada e rápida na mitigação de ameaças cibernéticas.
Nessa crescente sofisticação dos ataques cibernéticos, empresas e analistas de segurança precisam adotar ferramentas de inteligência de fontes abertas para mitigar riscos e fortalecer a cibersegurança. Além disso, a possibilidade de instalar e customizar a ferramenta a partir do GitHub amplia seu uso para diversos cenários investigativos.
📌 OSINT Toolkit online: osint-toolkit.onrender.com
📌 Analise IPs suspeitos com CyberSec Intel: cybersec-intel.onrender.com
📌 Baixe, instale e personalize a versão local do OSINT Toolkit: github.com/escariao/osint-toolkit
📌 Baixe, instale e personalize a versão local do CyberSec Intel: github.com/escariao/cybersec-intel