OSINT: Grupo Telegram MOVIMENTO ANTI-NOVO NORMAL

Publicado em Outubro 31, 2021Novembro 5, 2021 por Mr. Cl0wn

Se não bastasse um vírus que já fez milhões de vítimas, ainda é preciso enfrentar uma onda forte de negacionismo da ciência. Adeptos da desinformação tentam boicotar a vacinação e contrariam o isolamento social e o uso de máscara, fortemente recomendados pela comunidade médica. Um exemplo recente é a fala do deputado federal Eduardo Bolsonaro (PSL-SP) sobre “enfiar a máscara no rabo” (palavras dele) em um vídeo divulgado nas redes sociais.

OSINT: Grupo Telegram MOVIMENTO ANTI-NOVO NORMAL

WARNING: Lembrando que os dados coletados são públicos e não foi necessário invasão de dispositivo eletrônico para tal Blog Post. Nenhum animal (Gado ou Jacaré ) foi ferido durante a criação de tal blog post

DIAS DE TREVAS Sob influência de Bolsonaro, cresce número de pessoas contrárias à obrigatoriedade das vacinas e que questionam sua eficácia (Crédito: Eduardo Mtysiak)

O negacionismo é o ato de negar-se a acreditar em uma informação estabelecida em áreas como a ciência e a história. Os negacionistas são vistos como irracionais, pois não acreditam em consensos obtidos por amplo e profundo estudo e escoram suas crenças em informações falsas e teorias conspiratórias. A negação do Holocausto é uma das principais manifestações negacionistas.

CONTEXTO DE GRUPOS NEGACIONISTAS

O negacionismo é uma tendência em larga escala, um movimento político que visa a negação tanto de fatos históricos quanto de evidências científicas
Tem como objetivo produzir nas pessoas uma espécie de ignorância, em uma situação social que inspira cuidado, tratamento e combate
A insistência na negação como único mecanismo de defesa diante de um sofrimento intenso implica em vulnerabilidade psíquica que demanda acompanhamento

START OSINT

Um belo dia me deparo no twitter com o seguinte post

Se o Ministro da Saúde, vacinado desde março, testou positivo….🤔
Como vão convencer JB de se vacinar se ele já está imune?
🤣😂😅🤣😂😅🤣😂😅🤣😂 pic.twitter.com/4hsHyJMy1k
— Iracema Horta (@IracemaHorta) September 22, 2021

Observando tal tweet é possível entender uma pequena organização vinculada, pois quado o individuo investe dinheiro ou tempo para produzir tal propaganda. claramente existe intenção de externar suas ideias e agregar seguidores ou criar uma comunidade fechada que não confronte seu ideal de realidade. Para enumerar as evidências usarei um esquema de IDs para cada asset.

Ponto de partida analisando o post do user @Iracema.

https://twitter.com/IracemaHorta/status/1440494109651730439/photo/1

0A, 0B, 0B-1: Observando o user IracemaHorta tem o comportamento básico de user que é feito basicamente para dar RT e tais ideias, não necessariamente é um BOT.

0C, 0C-1, 0C-2, 0C-3: A evidência (0C-1) podemos observar o possível nome de um grupo, concatenando tal informação com o ícone destacado no (0C-2) é possível ter uma alusão de uma grupo Telegram.

No destaque (0C-3) é identificado a sigla do grupo.

BUSCANDO GRUPO TELEGRAM

Usando a informação (0C-1) é possível localizar o grupo em questão, destaque para a foto profile é mesma usada na carteirinha de “antivacina“.

0D-1 : O grupo localização extremamente ativo com milhares de videos e links em apoio ao presidente ou falando sobre algo antivacina.

2k membros
6k fotos
4k vídeos
5k links

INTRODUÇÃO DO GRUPO

DADOS COMPARTILHADOS

ENUMERANDO ADMINISTRADORES

Nesta etapa foi identificado o administrador principal IkANN e os demais admins Dani, ceciliamf77 e Leedeebr, mas o esforço mais será direcionado ao user principal IkANN.

0D-2, 0D-6, 0D-7: Com uma pequena pesquisa dentro do grupo foi enumerado algumas informações sobre o admin IkANN, na evidência 0D-7 é possível observar a oferta de uma camiseta vinculada a propaganda do grupo.

0D-8: Com base no vídeo postado obtive sucesso em enumerar mais imagens relacionadas ao administrador IkANN.

FILTRO DE POST: ADMIN IkANN

A procura de algum post que contenha documenta, e-mail ou outra informação nova. consegui filtrar uma publicação que era ofertado uma carteirinha (0E-1, 0E-2) e recebia o pagamento via PIX CNPJ (0E-3).

0E-1: No cartão destacado foi grepado o potencial nome do user IkANN

Nome: Claudio Iki

0E-3: Em seu post de oferta o administrador IkANN disponibilizou um CNPJ para receber pagamentos via PIX.

CNPJ: 35786726000186

DADOS RELACIONADOS AO CNPJ

Usando o CNPJ (0E-3) como base para pesquisa é adquirido bastante conhecimento sobre o target principal (0D-2).

0F: O resultado do buscador cnpj.biz ajuda reforçar o contexto que o proprietário é Claudio e mais detalhes de sua localização.

0F-2: O nome completo coletado veiculado ao CPNJ reforça o vinculo com user IkANN

Nome completo: Claudio Henrique Avelar Rosa

0F-3: Dados referente potencial localização do target (0D-2) podem não ser atualizadas, mas é um filtro de partida para contextos regionais.

Endereço: Rua Dos Goitacazes 14 Sala 505 Centro Belo Horizonte MG 30190-908

BUSCANDO INFORMAÇÕES EM CONTEXTO REGIONAL

Usando GoogleHacking é possível enumerar um resultado satisfatório simplesmente usando a concatenação do nome da empresa (0F-1) mais parte do endereço (0F-3).

0G: Dork usada para busca regional.

DORK: “AVELAR CONSULTORIO” “Rua Dos Goitacazes 14”
- https://www.google.com/search?q=%22AVELAR+CONSULTORIO%22+%22Rua+Dos+Goitacazes+14%22

0G-1: O serviço diariocidade indexou CNPJ (0E-3) do nosso target (0D-2), mas com uma Razão Social diferente que disponibilizava um CPF concatenado.

https://www.diariocidade.com/mg/belo-horizonte/guia/avelar-consultorio-35786726000186/

0H: CPF encontrado pode ser do target principal (0D-2)

CPF: 913.563.426-04

CONFIRMANDO CPF

Para uma investigação “verdadeira” deve-se confrontar as evidências coletadas, neste caso confrontei o CPF (0H) e confirmando a linha de raciocino, que o CNPJ (0E-3) é de fato do target (0D-2).

0H-1: O CPF (0H) é de fato do nosso target, levando em conta todo contexto de como tais informações foram extraídas.

CONTEXTO QUE REFORÇA O RACIOCÍNIO: IkANN é dono do CNPJ e CPF coletado.

0D-2 IkANN
0E-1 Nome carteirinha: Claudio Iki
0E-3 CNPJ: 35786726000186
0F https://cnpj.biz/35786726000186
0F-1 Avelar Consultorio Claudio Henrique Avelar Rosa 35.786.726/0001-86
0F-2 Claudio Henrique Avelar Rosa
0F-3 Rua Dos Goitacazes 14 Sala 505 Centro Belo Horizonte MG 30190-908

BENEFÍCIO ATRELADO AO NOME DO TARGETUsando o portal de transparência do governo é possível detectar algum beneficio relacionado ao nome do target (0F-2)

0I: Pesquisa efetuada junto ao portal de transparência.

http://www.portaltransparencia.gov.br/busca?termo=%22Claudio%20Henrique%20Avelar%20Rosa%22
- ***.563.426-** (0H)
- CLAUDIO HENRIQUE AVELAR ROSA (0F-2)

BUSCANDO INFORMAÇÕES EM SITES CONTEXTO BRASIL

Efetuando buscas usando GoogleHacking foçando o filtro de sites .com.br.

0J: Dork usada para busca de sites .com.br

DORK: “Claudio Henrique Avelar Rosa” site:com.br
- https://www.google.com/search?q=%22Claudio+Henrique+Avelar+Rosa%22+site:com.br

0J-1: Perfil encontrado em rede social Brasileira. Referencias como localização (0F-3) e nome (0F-2) consolidam primeira foto para validações futuras.

https://www.espiritbook.com.br/profile/ClaudioHenriqueAvelarRosa

BUSCANDO INFORMAÇÕES ATRELADOS AO NOME COMPLETO

Efetuando buscas usando GoogleHacking usando somente a string de nome completo (0F-2).

0K: Dork usada para busca de sites relacionados ao nome completo (0F-2)

DORK: “Claudio Henrique Avelar Rosa”
- https://www.google.com/search?q=%22CLAUDIO+HENRIQUE+AVELAR+ROSA%22

0K-1: Perfil profissional do target principal (0D-2) encontrado na rede social Linkedin.

https://www.linkedin.com/in/claudio-henrique-avelar-rosa-44469422/

0K-2: Confirmação de nome (0F-2), localização (0F-3), evidência sobre profissão (OK-2) e local de trabalho antigo (0K-2).

Profissão: OPTOMETRISTA (0K-2)
Local / Empresa de trabalho: IKIOTICA (0K-2)
Nova foto para validações futuras (0K-1)

VALIDANDO CONJUNTO DE INFORMAÇÕES SOBRE OPTOMETRIA

Baseado no DUMP efetuado do Chat Group MOVIMENTO ANTI-NOVO NORMAL (0D-1).
O intuito é validar frames de vídeo vinculando o raciocínio ao cargo optometria (0K-2).

0K-3: Frames de vídeo extraídos do Chat group (0D-1), selecionando informações referente profissão optometria (0K-2).

0K-4, 0K-5, 0K-6: Validando frame onde constata ferramenta auto-refrator (0K-6) é um equipamento utilizado na optometria(0K-2) e oftalmologia.

EFETUANDO BUSCA COM BASE EM SOCIEDADE ANTIGA DO TARGET (0K-2)

0L: Usando GoogleHacking para filtrar informações sobre a empresa IKI ÓTICA (0K-2)

DORK: “Ikiotica” & “Claudio Henrique Avelar Rosa”
- https://www.google.com/search?q=%22Ikiotica%22+%26+%22Claudio+Henrique+Avelar+Rosa%22

0L-2: Canal youtube identificado é possível visualizar informações sobre IKI ÓTICA (0K-2) e o canal usa o nome completo do target principal (0D-2)

https://www.youtube.com/watch?v=Twn2bA5aVfM&ab_channel=claudiohenriqueavelarrosa

VALIDANDO FOTOS YOUTUBE (0L-2) X SPIRITBOOK (0J-1)

Efetuando uma validação simples de duas imagens coletadas, mas uma validação básica pois youtube não oferece um profile picture de qualidade.

USANDO O GOOGLE IMG PARA FILTRAR EVIDÊNCIAS

Depois de uma validação facial básica é possível ter noção das características do target (0D-2)

0M: Usando GoogleHacking para filtrar informações sobre a empresa IKI ÓTICA (0K-2) e Claudio (0F-2)

DORK: “Claudio” “Ikiotica”
- https://www.google.com/search?q=%22Claudio%22+%22ikiotica%22&hl=pt-BR&source=lnms&tbm=isch

0M-1: Rede social identificada

https://www.facebook.com/Primer-Optocenter-215686351906158/about/?ref=page_internal
- INFORMAÇÕES EXTRAÍDAS
  - (31) 98457-0549
  - +55 31 98457-0549
  - [email protected]
  - Twitter identificado: https://mobile.twitter.com/claudioiki (0M-3)

0M-2: Potencial blog identificada

https://www.findhealthclinics.com/BR/Belo-Horizonte/215686351906158/Primer-Optocenter

0M-3: Twitter identificado, onde o user confiar evidências Nome (0F-2), Nome usado em carteira antivacinação (0E-3) e fotos relacionadas ao perfil admin do Chat Group (0D-8).