O que é OSINT Passivo
Open Source Intelligence passivo é a coleta de informações sobre um alvo usando apenas fontes públicas, sem qualquer interação direta com a infraestrutura do alvo. É invisível para o alvo e legal em qualquer jurisdição.
Framework OSINT — Metodologia
Fase 1: Definir o alvo
- Domínio principal, empresa, pessoa, IP
- Escopo: o que você está autorizado a pesquisar
Fase 2: Coleta de infraestrutura
- Domínios e subdomínios
- IPs e ASN
- Certificados SSL
- Registros DNS
Fase 3: Coleta organizacional
- Funcionários (LinkedIn, emails)
- Tecnologias usadas
- Vazamentos de dados
- Repositórios de código
Fase 4: Correlação e análise
- Cruzar dados de múltiplas fontes
- Construir mapa de ataqueReconhecimento de Domínio e DNS
# WHOIS — informações de registro do domínio
whois alvo.com
whois 1.2.3.4
# Informações disponíveis:
# Registrante (nome, email, organização)
# Nameservers
# Datas de criação/expiração
# Registrar
# DNS — todos os tipos de registro
dig alvo.com ANY
dig alvo.com MX -- servidor de email
dig alvo.com TXT -- SPF, DKIM, verificações de domínio
dig alvo.com NS -- nameservers
dig alvo.com SOA -- autoridade
dig alvo.com A
dig alvo.com AAAA
# Transferência de zona (DNS zone transfer) — se mal configurado
dig axfr @ns1.alvo.com alvo.com
# Reverse DNS
dig -x 1.2.3.4
# ViewDNS.info — histórico de registros DNS
# DNSdumpster.com — mapa visual de DNS
# SecurityTrails — histórico de DNS (detecta mudanças)Descoberta de Subdomínios
# Certificados SSL (crt.sh) — mais completo
curl -s "https://crt.sh/?q=%25.alvo.com&output=json" | jq '.[].name_value' | sort -u
# Subfinder
subfinder -d alvo.com -silent
subfinder -d alvo.com -all -recursive
# Amass (ativo + passivo)
amass enum -passive -d alvo.com
amass enum -d alvo.com -src
# theHarvester
theHarvester -d alvo.com -b all
# Wayback Machine — subdomínios antigos
waybackurls alvo.com | grep -oP '[a-z0-9.-]+\.alvo\.com' | sort -u
# Shodan
shodan search "hostname:alvo.com" --fields ip_str,hostnames
# Fontes passivas de subdomínios:
# VirusTotal: https://www.virustotal.com/gui/domain/alvo.com/relations
# DNSdumpster.com
# HackerTarget: https://hackertarget.com/find-dns-host-records/Enumeração de Emails e Funcionários
# Hunter.io — emails de domínio
https://hunter.io/domain-search/alvo.com
# theHarvester — coleta de emails
theHarvester -d alvo.com -b google,bing,linkedin
# LinkedIn — funcionários, cargos, tecnologias
# Procurar: site:linkedin.com "Empresa Alvo"
# Filtrar por cargo: "Security Engineer", "DevOps", "DBA"
# Tecnologias citadas nos perfis revelam o stack
# Padrões de email comuns (testar com Hunter.io)
[email protected]
[email protected]
[email protected]
[email protected]
# Verificar emails sem enviar:
# https://verify-email.org
# https://tools.emailhippo.comVazamentos de Dados e Credenciais
# HaveIBeenPwned — verificar emails comprometidos
https://haveibeenpwned.com
# DeHashed — busca em vazamentos (pago)
https://dehashed.com
# Buscar: email, username, domínio, IP, hash
# IntelX — Intelligence X
https://intelx.io
# Busca em pastes, dark web, documentos vazados
# Paste sites — Pastebin, Ghostbin, etc.
site:pastebin.com alvo.com
site:pastebin.com "@alvo.com"
# Repositórios de código — credenciais commitadas
github: org:alvo-org "password"
github: org:alvo-org "api_key"
github: org:alvo-org filename:.env
# GitLeaks para escanear repos locais
git clone https://github.com/empresa/repo.git
gitleaks detect --source ./repoAnálise de Tecnologias
# BuiltWith — stack tecnológica de sites
https://builtwith.com/alvo.com
# Wappalyzer — extensão browser
# Identifica: CMS, frameworks, analytics, CDN, servidor
# WhatWeb (linha de comando)
whatweb alvo.com
whatweb -a 3 alvo.com # nível de agressividade
# Shodan — tecnologias em produção
host:alvo.com
# Revela: nginx versão, PHP versão, certificados, headers
# Cabeçalhos HTTP — informações do servidor
curl -I https://alvo.com
# Server: nginx/1.18.0
# X-Powered-By: PHP/8.1.2
# Via: 1.1 cloudflareFerramentas All-in-One
# Maltego — visualização gráfica de relações OSINT
# Transforma: domínio → IPs → emails → pessoas → redes sociais
# Versão community gratuita disponível
# Recon-ng
recon-ng
[recon-ng] > marketplace install all
[recon-ng] > workspaces create alvo
[recon-ng] > db insert domains
[recon-ng] > modules load recon/domains-hosts/hackertarget
[recon-ng] > run
# SpiderFoot
spiderfoot -s alvo.com -t DOMAIN
# Interface web em http://localhost:5001
# OWASP Amass
amass enum -d alvo.com -o resultados.txt
amass intel -org "Nome da Empresa"
amass intel -asn 12345Geolocalização e Infraestrutura Física
# ASN lookup
curl https://api.bgpview.io/search?query_term=Empresa
curl https://api.bgpview.io/asn/AS12345/prefixes
# Identificar CDN vs. IP real
# Sites com Cloudflare/Akamai ocultam IP real
# Técnicas para encontrar IP real:
# 1. Histórico de DNS (SecurityTrails)
# 2. Certificados SSL antigos (crt.sh)
# 3. Subdomínios que não passam pelo CDN (mail., ftp., dev.)
# 4. Headers de email (X-Originating-IP)
# 5. Shodan: ssl.cert.subject.cn:alvo.comPrevenção — Reduzindo sua Exposição OSINT
- WHOIS Privacy — habilitar proteção de privacidade no registro de domínio
- Política de Email — treinar funcionários para não expor emails corporativos em fóruns públicos
- Git Hygiene — nunca commitar credenciais; usar .gitignore; rotacionar chaves se expostas
- Monitoramento — Google Alerts para nome da empresa, domínio; monitorar HaveIBeenPwned
- LinkedIn — policy sobre o que funcionários podem postar sobre tecnologias internas
Quer testar isso na prática?
A CyberZ realiza testes autorizados de segurança usando as técnicas descritas neste artigo — e muito mais. Identifique suas vulnerabilidades antes que os invasores o façam.
Falar com Especialista