OSINT: Grupo Telegram A Igreja que será arrebatada
No dia 22 de junho de 1633, o astrônomo Galileu Galilei, considerado o criador do método científico, recebia sua sentença no tribunal da Inquisição. Pela acusação de defender o modelo de Copérnico, em que a Terra girava em torno do Sol, Galileu foi considerado um herético, forçado a repudiar as ideias heliocêntricas e sentenciado a prisão domiciliar, além de ter sua obra Diálogo incluída no Índice de Livros Proibidos do Vaticano.
Galileu foi uma pessoa religiosa. O atrito que ocorria na realidade era entre a ciência e as interpretações literais dos escritos Bíblicos feitas pela Igreja Católica. Galileu lutou contra isso. O argumento usado era de que a Bíblia não tinha sido criada como um livro científico, mas sim buscando a nossa salvação.
O ponto principal de tal introdução. É como 2021 ainda estaria bem semelhante com 1633 onde a religião ( pessoas religiosas, lideres & instituições ) ignora a ciência e está abraçando uma escuridão de ignorância.
CONTEXTO OSINT
Há algumas semanas dropou em minha timeline um post denunciando o recebimento de cartas negacionistas em sua residência. Diante disso, analisando o primeiro post que tive acesso, fui em busca de outros relatos e identifiquei cerca de 3 reports e um padrão que aponta um comportamento de potencial grupo religioso envolvido em tal ato spammer.
WARNING: Lembrando que os dados coletados são públicos e não foi necessário invasão de dispositivo eletrônico para tal Blog Post. Nenhum animal (Gado ou Jacaré ) foi ferido durante a criação de tal blog post.
INFO: Neste blog post é possível entender uma pequena organização para disseminação de fake news via cartas, pois quando o individuo investe dinheiro e tempo para produzir tal propaganda, claramente existe intenção de externar suas ideias e agregar seguidores ou criar uma comunidade fechada que não confronte seu ideal de realidade. Para enumerar as evidências usarei um esquema de IDs para cada asset.
Sumário
- COLETA DE REPORT
- EXTRAINDO INFORMAÇÕES INICIAIS
- FILTRANDO INFORMAÇÕES
- INCURSÃO AO GRUPO
- PRIMEIRAS EVIDÊNCIAS
- CARTA
- ARQUIVO CONTABILIDADE
- VALIDAÇÃO RESIDÊNCIA
- ENCONTRANDO AUTOR DO ARQUIVO CONTABILIDADE ( METADATA )
- GIT COM ASSETS
- VISUALIZAR TODO FLUXO
- REF
Evidência da fonte A deixa explícito que tal informação foi recebida no formato carta e com conteúdo antivacina.
Com informações básicas coletadas na primeira evidência A é possível efetuar um hunting na plataforma twitter e enumerar mais reports com mesmo contexto.
INF-C (source C): Evidência extraída de C indica data e local do post 8:59 PM · 24 de out de 2021 em Rio de Janeiro, Brasil·Twitter for Android, reforçando um contexto de um grupo local.
EVIDÊNCIAS EXTRAÍDAS DAS FONTES A,B,C
COMPARANDO EVIDÊNCIAS DE FLUXO B4, C1
Efetuando uma comparação de urls extraídas dos as evidências B4 e C1 é possível constatar que tais cartas são da mesma fonte / grupo spammer.
INF-B-1 , INF-B-2 | INF-C-1 , INF-C-2 | ||
INF-B-3 | https://drive.google.com/drive/folders/1SoxLgXeWnOxbsUkauskdeX4_VsQd9TRv | INF-C-3 | https://drive.google.com/drive/folders/1SoxLgXeWnOxbsUkauskdeX4_VsQd9TRv |
INF-B-4 | https://t.me/medicospelavida | INF-C-4 | https://t.me/medicospelavida |
INF-B-5 | https://t.me/vacinaseefeitoscolaterais | INF-C-5 | https://t.me/vacinaseefeitoscolaterais |
INF-B-6 | https://t.me/despertareinevitavel | INF-C-6 | https://t.me/despertareinevitavel |
INF-B-7 | https://t.me/FIM_DOS_TEMPOS_APOCALIPSE | INF-C-7 | https://t.me/FIM_DOS_TEMPOS_APOCALIPSE |
INF-B-8 | https://t.me/fimtaproximo | INF-C-8 | https://t.me/fimtaproximo |
INF-B-9 | https://t.me/antivacinas1 | INF-C-9 | https://t.me/antivacinas1 |
INF-B-10 | https://t.me/antivacinas | INF-C-10 | https://t.me/antivacinas |
INF-B-11 | https://t.me/oarrebatamento | INF-C-11 | https://t.me/oarrebatamento |
INF-B-1, INF-C-1 (source B4,C1): Identificado link do Google drive usado para armazenar uma série de videos e textos sobre uma “verdade” sobre covid19 e 5G.
INF-B-2, INF-C-2 (source B4,C1): Identificado um conjunto de links para grupos telegram.
Neste caso temos dois documentos de duas fontes diferentes, porem os assets principais que vamos basear nossa busca tem as mesmas características ( URLS / TEXTO ). com tais informações usarei o recurso de unificar os IDS de referências para ajudar na organização do processo.
Evidências INFOS ( INF ) das fontes B e C serão unificadas no ID INF-D.
Ex: INF-B-3 & INF-C-3 = INF-D-3
INF-D-3 |
---|
https://drive.google.com/drive/folders/1SoxLgXeWnOxbsUkauskdeX4_VsQd9TRv |
INF-D-4 https://t.me/medicospelavida – MÉDICOS PELA VIDA ⛑ | INF-D-5 https://t.me/vacinaseefeitoscolaterais – Vacinas, efeitos colaterais e Covid-19 | INF-D-6 https://t.me/despertareinevitavel – DESPERTAR PARA A VERDADE SERÁ INEVITÁVEL⏰(OFICIAL) / Grupo Dani Viana |
INF-D-7 https://t.me/FIM_DOS_TEMPOS_APOCALIPSE – FIM DOS TEMPOS APOCALIPSE | INF-D-8 https://t.me/fimtaproximo – O FIM ESTÁ PRÓXIMO | INF-D-9 https://t.me/antivacinas1 – Anti-vacinas |
INF-D-10 https://t.me/antivacinas – ∀N⊥I-Λ∀ϽIN∀S | INF-D-11 https://t.me/oarrebatamento – O Arrebatamento |
IDENTIFICANDO USER / EMAIL
Identificado e-mail e user responsável pelo gerenciamento do Google Drive destacados na evidência: INF-D-3.
INF-E-1 | INF-E-2 |
---|---|
Até o momento obtivemos contexto e algumas evidências sobre por onde começar a coleta de dados. temos conhecimento que é um grupo religioso e com forte cunho conspiracionista.
Usando o contexto citado acima a evidência INF-D-11 encaixa-se em tal padrão.
INF-D-11: https://t.me/oarrebatamento
– O Arrebatamento
ESTRUTURA DE FLUXO F1, G1, H1
IDENTIFICANDO ADMINS DO GRUPO ( INF-D-11 )
Usando como base o administrador principal Monique Gimemes
( INF-G-2 ), foi identificado parceiro no mesmo grupo evidência Joaz
( INF-G-1 )
Usando o ID 1SoxLgXeWnOxbsUkauskdeX4_VsQd9TRv
( INF-D-3 ) é possível identificar um determinado user efetuando spam ( INF-F-1 ) da URL evidenciada. O usuário ( INF-G-1 ) em questão é administrador do grupo e potencial esposo do administrador principal ( INF-G-2 )
INF-F-2,INF-D-11: Identificado canal Youtube usando mesmo tema do grupo em questão. – https://www.youtube.com/c/OArrebatamentoDaIgrejaSanta/videos
INF-F-3: Email coletado: [email protected]
INF-G-1,INF-D-11: Proprietário do canal O Arrebatamento é mesmo admin do canal telegram oarrebatamento .
H1: Canal oficial do grupo religioso. – https://www.youtube.com/watch?v=URYWHk81zHs&ab_channel=OArrebatamento
INF-H-1: Evidência identificada website do grupo religioso “Igreja do arrebatamento” – https://oarrebatamento.wixsite.com/site
INF-H-2, INF-D-11 : Evidência identificada mesmo grupo telegram oarrebatamento usado como fonte de pesquisa. – https://t.me/joinchat/M8s1mBq0AhrFcNfwGXJY7w
Webhost usado como repositório de propaganda e contabilidade do grupo religioso. Nesta etapa da investigação farei uma busca de documentação, assets relacionados aos admins e algo que comprove seu vínculo direto com as cartas enviadas.
Dentro do site propagandista, foi identificar inúmeros comprovantes de pagamento relacionados a contabilidade do grupo e uma determinada “CARTA AOS QUE FICARÃO…“.
I-1: Evidência identificada post fixo com carta do grupo religioso “Igreja do arrebatamento”
M-1: Arquivo usado pelo grupo para propaganda antivacina:
Carta de alerta ao Corpo de Cristo e aos que ficarão. 15.docx
https://7be49dff-5b72-4093-a347-a501d650004d.filesusr.com/ugd/6bb193_e4bac62545964d6480bd70e037822511.docx?dn=Carta%20de%20alerta%20ao%20Corpo%20de%20Cristo%20e%20aos%20que%20ficar%C3%A3o.%2015.docx
INF-M-1: Meta dados do documento ( M-1 ) identificado no site citado anteriormente ( I-1 )
Property | Value | Type |
---|---|---|
Author | Joaz José da Fraga Junior | String |
Bytes | 42200 | Number |
Characters | 10649 | Number |
CharactersWithSpaces | 12596 | Number |
CreateTime | 2021-09-05T22:13:00Z | DateTime |
LastPrinted | 2021-09-06T11:29:00Z | DateTime |
LastSavedBy | Joaz José da Fraga Junior | String |
LastSavedTime | 2021-09-27T05:10:00Z | DateTime |
INF-G-1: Meta dado Author valor Joaz José da Fraga Junior
compatível com nick Joaz
( INF-G-1 ) usado como administrador do grupo telegram oarrebatamento
( INF-D-11, G1 )
CARTA IDENTIFICADA ( PÁGINAS )
INF-M-2,INF-M-3, INF-M-4, INF-M-5 , INF-M-6: O documento identificado é idêntico ao denunciado pelas fontes A-1, B-1 composto por 4 páginas em seu termino link Google drive ( INF-B-1,INF-C-1 ) e diversos endereços para canais telegram ( INF-M-6,INF-D-11 ).
J-1: Informações coletadas do rodapé do site.
INF-J-1: Email de contato identificado [email protected]
INF-J-2: Canal telegram identificado ( INF-D-11 )
INF-J-3: Canal youtube identificado ( INF-F-2 )
INF-J-4: Perfil instagram identificado https://www.instagram.com/aigrejaqueseraarrebatada
Informações coletadas no perfil é possível afirmar que tal grupo é principal ator no cenário spammer referente cartas negacionistas denuncias pelas fontes A, B, C
N-1: Perfil em rede social identificado ( INF-J-4 ).
INF-N-1, INF-N-7: Evidência coletado compactua com report feito pela fonte A e B.
Trecho do texto referência: Essas palavras são fiéis e verdadeiras. Acredite!
A qualquer momento, pessoas que vivem para SERVIR A DEUS, que é servir ao próximo (não exatamente frequentadores de “igrejas evangélicas” conhecidas), incluindo grande multidão de crianças (as que ainda forem achadas em estado de pureza)
( A1,B1 )
INF-N-2, INF-N-3, INF-N-6: Milhares de cartas e resmas de papel acumuladas, caracterizando um envio massivo.
INF-N-4,INF-N-5: Impressora EPSON
identificada, tal evidencia é ligada a notas fiscais da evidência ( INF-L-6 )
EXAMINANDO CONTABILIDADE DA IGREJA
É postado todo mês um pdf com a contabilidade da igreja é possível identificar cruzar informações do fluxo de caixa com envios de cartas antivacina.
K-1,INF-K-1: Blog post sobre dízimos da igreja –https://oarrebatamento.wixsite.com/site/post/arrecada%C3%A7%C3%A3o-dos-d%C3%ADzimos-e-ofertas-do-m%C3%AAs-de-setembro-de-2021
L-1: Arquivo de contabilidade identificado, formato pdf:
INF-L-1: Meta dados do documento ( L-1 ) identificado no site citado anteriormente ( K-1 ) é possível coletar informação sobre o autor do documento.
Property | Value |
---|---|
Title | setembro |
Keywords | DAEgLeDojcs,BADoghxZmTc |
Author | douglasbrj23 |
Creator | Canva |
Producer | Canva |
CreationDate | Thu Oct 28 00:08:46 2021 CEST |
ModDate | Thu Oct 28 00:08:46 2021 CEST |
ARQUIVO CONTABILIDADE ( PÁGINAS )
INF-L-11: Total fluxo de caixa foi direcionado para suprir necessidade do envio de spam antivacina ( INF-N-2, INF-N-3, INF-N-6 ).
INF-L-3: Endereço identificado de uma determinada escola que usa sobrenome do user administrador do grupo telegram MONIQUE GIMENES
( INF-G-2 ), foi possível coletar documentos, telefone e potencial localização do target investigado.
INF-L-4: Matéria prima direcionada para fabricação de cartas ( INF-N-2, INF-N-3, INF-N-6 ).
INF-L-7: Nome completo e CPF parcial do user administrador Joaz
( INF-G-2 ) coletado.
INF-L-2: Nome completo, endereço e CPF do user administrador MONIQUE GIMENES
( INF-G-2 ) coletados.
- Q-1: ENDEREÇO:
RUA PACONE, 214 ESCOLA BAIRRO: CEP: 20.745-090 MUNICÍPIO: RIO DE JANEIRO, UF: RJ
- Q-1: GEOLOCALIZAÇÃO:
-22.9027519,-43.3078255
O-1: Efetuando um simples Google Hacking para encontrar algo indexado – https://www.google.com/search?q=%22014.258.757-50%22
.
INF-O-1,INF-O-2: Identificado documento comprovando vinculo do user MONIQUE GIMENES
( INF-G-2 ) com tal instituição de ensino – https://www.jusbrasil.com.br/diarios/130789331/dom-rj-normal-17-11-2016-pg-9
.
INF-L-5: Nome completo, endereço e CPF do user administrador Joaz
( INF-G-1 ) coletados, foi possível coletar documentos, telefone e potencial localização do target investigado.
- ENDEREÇO:
RUA PACONE, 245 BAIRRO: CEP: 20.745-090 MUNICÍPIO: RIO DE JANEIRO, UF: RJ
- GEOLOCALIZAÇÃO:
-22.9026614,-43.3082117
VALIDANDO CARACTERÍSTICAS DA RESIDÊNCIA
R-1: Identificando residência local de “culto” usando foto postada na rede social instagram ( N-1 )https://www.instagram.com/p/CEfMyvPpK6F/
X Imagem coletava via Google maps ( INF-L-5 ).
INF-R-1,INF-R-2: Identificando padrão de parafusos usados pelo modelo do portão e porta.
INF-R-3: Identificando padrão de cerâmica interna, cor, quantos de acordo com a ponta exporta.
INF-R-4: Cruzando as informações externas com padrão interno da residência é possível identificar o mesmo modelo de porta ( INF-R-2 ), portão ( INF-R-1 ) e cerâmica ( INF-R-3 ).
IDENTIFICANDO AUTOR DO ARQUIVO DE CONTABILIDADE ( INF-L-1 )
Nesta segmentação será efetuada uma pesquisa e cruzamento de dados focando na identificação do autor do arquivo setembro.pdf
( INF-L-1 ) disponibilizado no site do target. a busca será baseada na informação inicial de rede social ( N-1 ) e metadata coletado douglasbrj23
( INF-L-1 ).
S-1: É usado como primeiro filtro de curtidores de posts ( N-1 ) e um segundo critério é sobrenome Gimenes
.
INF-S-1, INF-S-2, INF-S-3: É identificado o perfil jessicagimenes
o perfil tem como destaque endereço da loja maronpratas
e foi possível coletar seu respectivo site maronpratas[.]com.br
.
Whois ( INF-S-3 )
domain: maronpratas[.]com.br owner:Douglas Barros Alves da Silva
ownerid:150.380.227-23
provider: ENDURANCE-BRASIL (43) nic-hdl-br: DBASI7 person: Douglas Barros Alves da Silva e-mail: [email protected]
T-1: Usado dados identificados posteriormente NOME do potencial criador do documento ( INF-S-3 ) e cidade de atuação da igreja, Rio de Janeiro
( INF-L-3 ). Usando Google Hacking é possível encontrar informações indexadas sobre o target atual. – https://www.google.com/search?q=%22Douglas+Barros+Alves+da+Silva%22+%22rio+de+janeiro%2
RESULTADO GOOGLE HACKING
INF-T-1: Indexador com informações que reforçam contexto de proprietário da empresa DR2 DIGITAL
– https://casadosdados.com.br/solucao/cnpj/douglas-barros-alves-da-silva-39995262000179
CNPJ | 39.995.262/0001-79 |
Razão Social | DOUGLAS BARROS ALVES DA SILVA |
Nome Fantasia | DR2 DIGITAL |
Tipo | MATRIZ |
Data Abertura | 02/12/2020 |
Situação Cadastral | ATIVA |
Data da Situação Cadastral | 02/12/2020 |
Natureza Jurídica | |
2135 – EMPRESARIO (INDIVIDUAL) | |
Endereço | Logradouro: R POCONE Número: 15 Complemento: APT 103 CEP: 20745-090 Bairro: ENCANTADO Município: RIO DE JANEIRO UF: RJ |
Telefone | 21 9827-9634 |
[email protected] |
INF-T-2: Informação indexada em site é possível coletar a data de nascimento do target atual – https://silo.tips/download/ano-xxviii-no-33-rio-de-janeiro-quarta-feira-07-de-maio-de-2014-2
VALIDANDO CPF, CNPJ, DATA NASCIMENTO
INF-T-3: O serviço do governo que consulta Certificado da condição MEI usa como base de sua busca CPF
e Data de Nascimento
assim é possível validar o vinculo do CPF
( INF-S-3 ) X CNPJ
( INF-T-1 ) e confirmando a data de nascimento coletada via ( INF-T-2 ) – http://www22.receita.fazenda.gov.br/inscricaomei/private/pages/certificado_acesso.jsf
INF-T-4: Usando serviço que consulta situação cadastral do CPF é possível validar veracidade do CPF X DATA NASCIMENTO
( INF-T-2 ) X NOME COMPLETO
( INF-S-3 ) , tal serviço usa como parâmetro de busca CPF
( INF-S-3 ) + Data de nascimento – https://servicos.receita.fazenda.gov.br/servicos/cpf/consultasituacao/consultapublica.asp
INF-T-5: Consultando CNPJ procurando algum dado diferente ou inconsistente, mas não foi encontrado. Todos dados batem com os anteriores coletados. Serviço usa como base somente o CNPJ
( INF-T-1 ) para consulta – https://servicos.receita.fazenda.gov.br/servicos/cnpjreva/cnpjreva_solicitacao.asp
IDENTIFICANDO REDE SOCIAL DO TARGET ( douglasbrj23 ) / Linkedin
U-1: Usando contexto de informações coletadas e validadas anteriormente a busca é focada em identificar o rosto do nosso target atual, então é usado técnica de Google Hacking concatenando strings como nome da empresa ( INF-T-1 ) e filtrando de forma externa a rede social linkedin.com – https://www.google.com/search?q=%22DR2+DIGITAL%22+site%3Abr.linkedin.com
INF-U-1: Página da empresa DR2 Digital
( INF-T-1 ) identificada – https://www.linkedin.com/company/dr2-digital/
INF-U-1: Perfil usado pelo target ( INF-L-3 ) fundador da empresa DR2 Digital
( INF-T-1 ) é identificado – https://www.linkedin.com/in/douglas-barros-59aa95202/
IDENTIFICANDO REDE SOCIAL DO TARGET ( douglasbrj23 ) / Instagram
INF-U-4: Efetuando uma simples busca com motor de busca do próprio instagram é possível identificar a rede social da empresa target ( INF-T-1 ) – https://www.instagram.com/agenciadr2digital/
INF-U-5,INF-U-6,INF-U-7: Analisando seguidores da página agenciadr2digital
( INF-U-4 ) é visualizado o perfil barrosdouglas
e possível constatar que é a mesma pessoal das fotos linkedin. – https://www.instagram.com/barrosdouglas/
VALIDANDO NICK AUTOR DO DOCUMENTO ( setembro.pdf ):
Definitivamente o target Douglas Barros Alves da Silva
vulgo:douglasbrj23
é autor do documento setembro.pdf
. As fotos de perfil coletadas via redes sociais tem são idênticas. Especialmente uma usada em seu perfil moderador do grupo telegram https://t.me/oarrebatamento ( INF-D-11 )
Lembre-se
The only church that illuminates is a burning church
- https://github.com/osintbrazuca/OSINT-Brazuca#busca-de-informa%C3%A7%C3%B5es-via-cpfcnpjcrmcna–
- https://www.bellingcat.com/resources/2021/11/01/a-beginners-guide-to-social-media-verification/
- https://pt.wikipedia.org/wiki/Heresia
- https://www.bbc.com/portuguese/internacional-52803301
- https://www.em.com.br/app/noticia/internacional/bbc/2020/05/31/interna_internacional,1152216/desde-o-tempo-de-galileu-negacao-da-ciencia-passou-do-campo-religioso.shtml
- http://www.jornaldocampus.usp.br/index.php/2021/07/o-ciclo-do-negacionismo-para-alem-da-gripezinha/
- https://www.filosofia.com.br/historia_show.php?id=67
- https://pt.wikipedia.org/wiki/Nicolau_Cop%C3%A9rnico
- https://products.aspose.app/words/metadata
- https://media.kasperskydaily.com/wp-content/uploads/sites/92/2018/12/20150519/how-not-to-be-spammer-featured.jpg
Post feito ao som de:
Foda, mano!
Ótimo! 👏👏👏
Mano, virei teu fã, tu é foda demais cara.Tu deveria estar na PF.