OSINT: Grupo Telegram A Igreja que será arrebatada

Publicado em por

No dia 22 de junho de 1633, o astrônomo Galileu Galilei, considerado o criador do método científico, recebia sua sentença no tribunal da Inquisição. Pela acusação de defender o modelo de Copérnico, em que a Terra girava em torno do Sol, Galileu foi considerado um herético, forçado a repudiar as ideias heliocêntricas e sentenciado a prisão domiciliar, além de ter sua obra Diálogo incluída no Índice de Livros Proibidos do Vaticano.

Faz algumas semanas que dropou em minha timeline um post de uma pessoal denunciando o recebimento de cartas negacionistas em sua residência. analisando o primeiro post que tive acesso, fui em busca de outros relatos e identifiquei certa de 3 reports e um padrão que aponta um comportamento de potencial grupo religioso envolvido em tal ato spammer.

Galileu foi uma pessoa religiosa. O atrito que ocorria na realidade era entre a ciência e as interpretações literais dos escritos Bíblicos feitas pela Igreja Católica. Galileu lutou contra isso. O argumento usado era de que a Bíblia não tinha sido criada como um livro científico, mas sim buscando a nossa salvação.

O ponto principal de tal introdução. É como 2021 ainda estaria bem semelhante com 1633 onde a religião ( pessoas religiosas, lideres & instituições ) ignora a ciência e está abraçando uma escuridão de ignorância.

CONTEXTO OSINT

Há algumas semanas dropou em minha timeline um post denunciando o recebimento de cartas negacionistas em sua residência. Diante disso, analisando o primeiro post que tive acesso, fui em busca de outros relatos e identifiquei cerca de 3 reports e um padrão que aponta um comportamento de potencial grupo religioso envolvido em tal ato spammer.

WARNING: Lembrando que os dados coletados são públicos e não foi necessário invasão de dispositivo eletrônico para tal Blog Post. Nenhum animal (Gado ou Jacaré ) foi ferido durante a criação de tal blog post.

INFO: Neste blog post é possível entender uma pequena organização para disseminação de fake news via cartas, pois quando o individuo investe dinheiro e tempo para produzir tal propaganda, claramente existe intenção de externar suas ideias e agregar seguidores ou criar uma comunidade fechada que não confronte seu ideal de realidade. Para enumerar as evidências usarei um esquema de IDs para cada asset.

Sumário

PONTO DE PARTIDA

Evidência da fonte A deixa explícito que tal informação foi recebida no formato carta e com conteúdo antivacina.

Com informações básicas coletadas na primeira evidência A é possível efetuar um hunting na plataforma twitter e enumerar mais reports com mesmo contexto.

INF-C (source C): Evidência extraída de C indica data e local do post 8:59 PM · 24 de out de 2021 em Rio de Janeiro, Brasil·Twitter for Android, reforçando um contexto de um grupo local.

ESTRUTURA DE FLUXO INICIAL

EVIDÊNCIAS EXTRAÍDAS DAS FONTES A,B,C

ESTRUTURA DE FLUXO B4, C1

COMPARANDO EVIDÊNCIAS DE FLUXO B4, C1

Efetuando uma comparação de urls extraídas dos as evidências B4 e C1 é possível constatar que tais cartas são da mesma fonte / grupo spammer.

INF-B-1 ,
INF-B-2		INF-C-1 ,
INF-C-2
INF-B-3https://drive.google.com/drive/folders/1SoxLgXeWnOxbsUkauskdeX4_VsQd9TRvINF-C-3https://drive.google.com/drive/folders/1SoxLgXeWnOxbsUkauskdeX4_VsQd9TRv
INF-B-4https://t.me/medicospelavidaINF-C-4https://t.me/medicospelavida
INF-B-5https://t.me/vacinaseefeitoscolateraisINF-C-5https://t.me/vacinaseefeitoscolaterais
INF-B-6https://t.me/despertareinevitavelINF-C-6https://t.me/despertareinevitavel
INF-B-7https://t.me/FIM_DOS_TEMPOS_APOCALIPSEINF-C-7https://t.me/FIM_DOS_TEMPOS_APOCALIPSE
INF-B-8https://t.me/fimtaproximoINF-C-8https://t.me/fimtaproximo
INF-B-9https://t.me/antivacinas1INF-C-9https://t.me/antivacinas1
INF-B-10https://t.me/antivacinasINF-C-10https://t.me/antivacinas
INF-B-11https://t.me/oarrebatamentoINF-C-11https://t.me/oarrebatamento

INF-B-1, INF-C-1 (source B4,C1): Identificado link do Google drive usado para armazenar uma série de videos e textos sobre uma “verdade” sobre covid19 e 5G.

INF-B-2, INF-C-2 (source B4,C1): Identificado um conjunto de links para grupos telegram.

UNIFICANDO INFORMAÇÕES

Neste caso temos dois documentos de duas fontes diferentes, porem os assets principais que vamos basear nossa busca tem as mesmas características ( URLS / TEXTO ). com tais informações usarei o recurso de unificar os IDS de referências para ajudar na organização do processo.

Evidências INFOS ( INF ) das fontes B e C serão unificadas no ID INF-D.
Ex: INF-B-3 & INF-C-3 = INF-D-3

URLS IDENTIFICADAS

INF-D-3
https://drive.google.com/drive/folders/1SoxLgXeWnOxbsUkauskdeX4_VsQd9TRv
Identificado link do Google drive usado para armazenar uma série de videos e textos sobre uma “verdade” sobre covid19 e 5G.
INF-D-4
https://t.me/medicospelavida – MÉDICOS PELA VIDA ⛑
INF-D-5
https://t.me/vacinaseefeitoscolaterais – Vacinas, efeitos colaterais e Covid-19
INF-D-6
https://t.me/despertareinevitavel – DESPERTAR PARA A VERDADE SERÁ INEVITÁVEL⏰(OFICIAL) / Grupo Dani Viana
INF-D-7
https://t.me/FIM_DOS_TEMPOS_APOCALIPSE – FIM DOS TEMPOS APOCALIPSE
INF-D-8
https://t.me/fimtaproximo – O FIM ESTÁ PRÓXIMO
INF-D-9
https://t.me/antivacinas1 – Anti-vacinas
INF-D-10
https://t.me/antivacinas – ∀N⊥I-Λ∀ϽIN∀S

INF-D-11
https://t.me/oarrebatamento – O Arrebatamento

IDENTIFICANDO USER / EMAIL

Identificado e-mail e user responsável pelo gerenciamento do Google Drive destacados na evidência: INF-D-3.

INF-E-1INF-E-2

ADENTRANDO EM GRUPO TELEGRAM

Até o momento obtivemos contexto e algumas evidências sobre por onde começar a coleta de dados. temos conhecimento que é um grupo religioso e com forte cunho conspiracionista.

Usando o contexto citado acima a evidência INF-D-11 encaixa-se em tal padrão.

INF-D-11: https://t.me/oarrebatamento – O Arrebatamento

ESTRUTURA DE FLUXO F1, G1, H1

IDENTIFICANDO ADMINS DO GRUPO ( INF-D-11 )

Usando como base o administrador principal Monique Gimemes ( INF-G-2 ), foi identificado parceiro no mesmo grupo evidência Joaz ( INF-G-1 )

BUSCANDO ID GOOGLE DRIVE

Usando o ID 1SoxLgXeWnOxbsUkauskdeX4_VsQd9TRv ( INF-D-3 ) é possível identificar um determinado user efetuando spam ( INF-F-1 ) da URL evidenciada. O usuário ( INF-G-1 ) em questão é administrador do grupo e potencial esposo do administrador principal ( INF-G-2 )

CANAL YOUTUBE

INF-F-2,INF-D-11: Identificado canal Youtube usando mesmo tema do grupo em questão. – https://www.youtube.com/c/OArrebatamentoDaIgrejaSanta/videos

INF-F-3: Email coletado: [email protected]

INF-G-1,INF-D-11: Proprietário do canal O Arrebatamento é mesmo admin do canal telegram oarrebatamento .

H1: Canal oficial do grupo religioso. – https://www.youtube.com/watch?v=URYWHk81zHs&ab_channel=OArrebatamento

INF-H-1: Evidência identificada website do grupo religioso “Igreja do arrebatamento” – https://oarrebatamento.wixsite.com/site

INF-H-2, INF-D-11 : Evidência identificada mesmo grupo telegram oarrebatamento usado como fonte de pesquisa. – https://t.me/joinchat/M8s1mBq0AhrFcNfwGXJY7w

SITE IDENTIFICADO

Webhost usado como repositório de propaganda e contabilidade do grupo religioso. Nesta etapa da investigação farei uma busca de documentação, assets relacionados aos admins e algo que comprove seu vínculo direto com as cartas enviadas.

CARTA IDENTIFICADA

Dentro do site propagandista, foi identificar inúmeros comprovantes de pagamento relacionados a contabilidade do grupo e uma determinada “CARTA AOS QUE FICARÃO…“.

I-1: Evidência identificada post fixo com carta do grupo religioso “Igreja do arrebatamento”

M-1: Arquivo usado pelo grupo para propaganda antivacina:

INF-M-1: Meta dados do documento ( M-1 ) identificado no site citado anteriormente ( I-1 )

PropertyValueType
AuthorJoaz José da Fraga JuniorString
Bytes42200Number
Characters10649Number
CharactersWithSpaces12596Number
CreateTime2021-09-05T22:13:00ZDateTime
LastPrinted2021-09-06T11:29:00ZDateTime
LastSavedByJoaz José da Fraga JuniorString
LastSavedTime2021-09-27T05:10:00ZDateTime

INF-G-1: Meta dado Author valor Joaz José da Fraga Junior compatível com nick Joaz ( INF-G-1 ) usado como administrador do grupo telegram oarrebatamento ( INF-D-11, G1 )

CARTA IDENTIFICADA ( PÁGINAS )

INF-M-2,INF-M-3, INF-M-4, INF-M-5 , INF-M-6: O documento identificado é idêntico ao denunciado pelas fontes A-1, B-1 composto por 4 páginas em seu termino link Google drive ( INF-B-1,INF-C-1 ) e diversos endereços para canais telegram ( INF-M-6,INF-D-11 ).

REDE SOCIAL

J-1: Informações coletadas do rodapé do site.

INF-J-1: Email de contato identificado [email protected]

INF-J-2: Canal telegram identificado ( INF-D-11 )

INF-J-3: Canal youtube identificado ( INF-F-2 )

INF-J-4: Perfil instagram identificado https://www.instagram.com/aigrejaqueseraarrebatada

PERFIL INSTAGRAM

Informações coletadas no perfil é possível afirmar que tal grupo é principal ator no cenário spammer referente cartas negacionistas denuncias pelas fontes A, B, C

PERFIL INSTAGRAM ( POSTS )

N-1: Perfil em rede social identificado ( INF-J-4 ).

INF-N-1, INF-N-7: Evidência coletado compactua com report feito pela fonte A e B.
Trecho do texto referência: Essas palavras são fiéis e verdadeiras. Acredite!
A qualquer momento, pessoas que vivem para SERVIR A DEUS, que é servir ao próximo (não exatamente frequentadores de “igrejas evangélicas” conhecidas), incluindo grande multidão de crianças (as que ainda forem achadas em estado de pureza) ( A1,B1 )

INF-N-2, INF-N-3, INF-N-6: Milhares de cartas e resmas de papel acumuladas, caracterizando um envio massivo.

INF-N-4,INF-N-5: Impressora EPSON identificada, tal evidencia é ligada a notas fiscais da evidência ( INF-L-6 )

EXAMINANDO CONTABILIDADE DA IGREJA

É postado todo mês um pdf com a contabilidade da igreja é possível identificar cruzar informações do fluxo de caixa com envios de cartas antivacina.

K-1,INF-K-1: Blog post sobre dízimos da igreja –https://oarrebatamento.wixsite.com/site/post/arrecada%C3%A7%C3%A3o-dos-d%C3%ADzimos-e-ofertas-do-m%C3%AAs-de-setembro-de-2021

L-1: Arquivo de contabilidade identificado, formato pdf:

INF-L-1: Meta dados do documento ( L-1 ) identificado no site citado anteriormente ( K-1 ) é possível coletar informação sobre o autor do documento.

PropertyValue
Titlesetembro
KeywordsDAEgLeDojcs,BADoghxZmTc
Authordouglasbrj23
CreatorCanva
ProducerCanva
CreationDateThu Oct 28 00:08:46 2021 CEST
ModDateThu Oct 28 00:08:46 2021 CEST

ARQUIVO CONTABILIDADE ( PÁGINAS )

INF-L-11: Total fluxo de caixa foi direcionado para suprir necessidade do envio de spam antivacina ( INF-N-2, INF-N-3, INF-N-6 ).

INF-L-3: Endereço identificado de uma determinada escola que usa sobrenome do user administrador do grupo telegram MONIQUE GIMENES ( INF-G-2 ), foi possível coletar documentos, telefone e potencial localização do target investigado.

INF-L-4: Matéria prima direcionada para fabricação de cartas ( INF-N-2, INF-N-3, INF-N-6 ).

INF-L-7: Nome completo e CPF parcial do user administrador Joaz ( INF-G-2 ) coletado.

INF-L-2: Nome completo, endereço e CPF do user administrador MONIQUE GIMENES ( INF-G-2 ) coletados.

  • Q-1: ENDEREÇO: RUA PACONE, 214 ESCOLA BAIRRO: CEP: 20.745-090 MUNICÍPIO: RIO DE JANEIRO, UF: RJ
  • Q-1: GEOLOCALIZAÇÃO: -22.9027519,-43.3078255

O-1: Efetuando um simples Google Hacking para encontrar algo indexado – https://www.google.com/search?q=%22014.258.757-50%22.

INF-O-1,INF-O-2: Identificado documento comprovando vinculo do user MONIQUE GIMENES ( INF-G-2 ) com tal instituição de ensino – https://www.jusbrasil.com.br/diarios/130789331/dom-rj-normal-17-11-2016-pg-9 .

INF-L-5: Nome completo, endereço e CPF do user administrador Joaz ( INF-G-1 ) coletados, foi possível coletar documentos, telefone e potencial localização do target investigado.

  • ENDEREÇO: RUA PACONE, 245 BAIRRO: CEP: 20.745-090 MUNICÍPIO: RIO DE JANEIRO, UF: RJ
  • GEOLOCALIZAÇÃO: -22.9026614,-43.3082117

VALIDANDO CARACTERÍSTICAS DA RESIDÊNCIA

R-1: Identificando residência local de “culto” usando foto postada na rede social instagram ( N-1 )https://www.instagram.com/p/CEfMyvPpK6F/ X Imagem coletava via Google maps ( INF-L-5 ).

INF-R-1,INF-R-2: Identificando padrão de parafusos usados pelo modelo do portão e porta.

INF-R-3: Identificando padrão de cerâmica interna, cor, quantos de acordo com a ponta exporta.

INF-R-4: Cruzando as informações externas com padrão interno da residência é possível identificar o mesmo modelo de porta ( INF-R-2 ), portão ( INF-R-1 ) e cerâmica ( INF-R-3 ).

IDENTIFICANDO AUTOR DO ARQUIVO DE CONTABILIDADE ( INF-L-1 )

Nesta segmentação será efetuada uma pesquisa e cruzamento de dados focando na identificação do autor do arquivo setembro.pdf ( INF-L-1 ) disponibilizado no site do target. a busca será baseada na informação inicial de rede social ( N-1 ) e metadata coletado douglasbrj23 ( INF-L-1 ).

S-1: É usado como primeiro filtro de curtidores de posts ( N-1 ) e um segundo critério é sobrenome Gimenes.

INF-S-1, INF-S-2, INF-S-3: É identificado o perfil jessicagimenes o perfil tem como destaque endereço da loja maronpratas e foi possível coletar seu respectivo site maronpratas[.]com.br.

Whois ( INF-S-3 )

domain: maronpratas[.]com.br
owner: Douglas Barros Alves da Silva
ownerid: 150.380.227-23
provider: ENDURANCE-BRASIL (43)
nic-hdl-br: DBASI7
person: Douglas Barros Alves da Silva
e-mail: [email protected]

T-1: Usado dados identificados posteriormente NOME do potencial criador do documento ( INF-S-3 ) e cidade de atuação da igreja, Rio de Janeiro ( INF-L-3 ). Usando Google Hacking é possível encontrar informações indexadas sobre o target atual. – https://www.google.com/search?q=%22Douglas+Barros+Alves+da+Silva%22+%22rio+de+janeiro%2

RESULTADO GOOGLE HACKING

INF-T-1: Indexador com informações que reforçam contexto de proprietário da empresa DR2 DIGITALhttps://casadosdados.com.br/solucao/cnpj/douglas-barros-alves-da-silva-39995262000179

CNPJ39.995.262/0001-79
Razão SocialDOUGLAS BARROS ALVES DA SILVA
Nome FantasiaDR2 DIGITAL
TipoMATRIZ
Data Abertura02/12/2020
Situação CadastralATIVA
Data da Situação Cadastral02/12/2020
Natureza Jurídica
2135 – EMPRESARIO (INDIVIDUAL)
EndereçoLogradouro: R POCONE Número: 15 Complemento: APT 103 CEP: 20745-090 Bairro: ENCANTADO Município: RIO DE JANEIRO UF: RJ
Telefone21 9827-9634
E-MAIL[email protected]

INF-T-2: Informação indexada em site é possível coletar a data de nascimento do target atual – https://silo.tips/download/ano-xxviii-no-33-rio-de-janeiro-quarta-feira-07-de-maio-de-2014-2

VALIDANDO CPF, CNPJ, DATA NASCIMENTO

INF-T-3: O serviço do governo que consulta Certificado da condição MEI usa como base de sua busca CPF e Data de Nascimento assim é possível validar o vinculo do CPF ( INF-S-3 ) X CNPJ ( INF-T-1 ) e confirmando a data de nascimento coletada via ( INF-T-2 ) – http://www22.receita.fazenda.gov.br/inscricaomei/private/pages/certificado_acesso.jsf

INF-T-4: Usando serviço que consulta situação cadastral do CPF é possível validar veracidade do CPF X DATA NASCIMENTO ( INF-T-2 ) X NOME COMPLETO ( INF-S-3 ) , tal serviço usa como parâmetro de busca CPF ( INF-S-3 ) + Data de nascimento – https://servicos.receita.fazenda.gov.br/servicos/cpf/consultasituacao/consultapublica.asp

INF-T-5: Consultando CNPJ procurando algum dado diferente ou inconsistente, mas não foi encontrado. Todos dados batem com os anteriores coletados. Serviço usa como base somente o CNPJ ( INF-T-1 ) para consulta – https://servicos.receita.fazenda.gov.br/servicos/cnpjreva/cnpjreva_solicitacao.asp

IDENTIFICANDO REDE SOCIAL DO TARGET ( douglasbrj23 ) / Linkedin

U-1: Usando contexto de informações coletadas e validadas anteriormente a busca é focada em identificar o rosto do nosso target atual, então é usado técnica de Google Hacking concatenando strings como nome da empresa ( INF-T-1 ) e filtrando de forma externa a rede social linkedin.com – https://www.google.com/search?q=%22DR2+DIGITAL%22+site%3Abr.linkedin.com

INF-U-1: Página da empresa DR2 Digital ( INF-T-1 ) identificada – https://www.linkedin.com/company/dr2-digital/

INF-U-1: Perfil usado pelo target ( INF-L-3 ) fundador da empresa DR2 Digital ( INF-T-1 ) é identificado – https://www.linkedin.com/in/douglas-barros-59aa95202/

IDENTIFICANDO REDE SOCIAL DO TARGET ( douglasbrj23 ) / Instagram

INF-U-4: Efetuando uma simples busca com motor de busca do próprio instagram é possível identificar a rede social da empresa target ( INF-T-1 ) – https://www.instagram.com/agenciadr2digital/

INF-U-5,INF-U-6,INF-U-7: Analisando seguidores da página agenciadr2digital ( INF-U-4 ) é visualizado o perfil barrosdouglas e possível constatar que é a mesma pessoal das fotos linkedin. – https://www.instagram.com/barrosdouglas/

VALIDANDO NICK AUTOR DO DOCUMENTO ( setembro.pdf ):

VALIDANDO FOTOS COLETADAS:

Definitivamente o target Douglas Barros Alves da Silva vulgo:douglasbrj23 é autor do documento setembro.pdf. As fotos de perfil coletadas via redes sociais tem são idênticas. Especialmente uma usada em seu perfil moderador do grupo telegram https://t.me/oarrebatamento ( INF-D-11 )

GIT COM ASSETS

VISUALIZAR TODO FLUXO

Lembre-se

The only church that illuminates is a burning church

REF

Post feito ao som de: