O que é WHOIS e como usar para investigação?

WHOIS é um protocolo que permite consultar informações de registro de domínios: quem registrou, quando, por quanto tempo e através de qual registrador. Para investigação, use ferramentas como whois.domaintools.com ou o comando 'whois' no terminal. Muitos registrantes usam privacidade WHOIS, mas dados históricos (via SecurityTrails ou WHOIS History) frequentemente revelam informações anteriores à ativação da privacidade.

Consigo descobrir quem registrou um domínio?

Depende. Se o domínio não utiliza privacidade WHOIS, o nome, e-mail e endereço do registrante são públicos. Com privacidade ativa, os dados são substituídos por informações do serviço proxy. Porém, consultas ao histórico de WHOIS podem revelar os dados originais antes da ativação da privacidade. Certificados SSL também podem conter informações do registrante na seção Organization.

O que são certificados de transparência SSL?

Certificate Transparency (CT) é um sistema público de logs onde todas as autoridades certificadoras devem registrar os certificados SSL que emitem. Ferramentas como crt.sh permitem pesquisar todos os certificados já emitidos para um domínio, revelando subdomínios, datas de emissão e a CA utilizada. É uma das fontes mais ricas para descoberta de subdomínios em OSINT.

Como identificar domínios usados para phishing?

Indicadores comuns incluem: domínio registrado há menos de 30 dias, uso de typosquatting (ex: g00gle.com), certificado SSL gratuito (Let's Encrypt) em site que simula uma marca, IP compartilhado com outros domínios suspeitos e ausência de registros MX (e-mail). Ferramentas como URLScan.io e PhishTank ajudam na verificação.

O Espectro faz análise de domínio automatizada?

Sim. O Espectro possui módulos de análise de domínio que consultam WHOIS, registros DNS, certificados SSL, detecção de e-mails descartáveis e verificação de infraestrutura. A busca consolidada reúne dados de múltiplas fontes em um relatório único, economizando o tempo de consultar cada ferramenta separadamente.

Análise de domínio é legal?

Sim. Consultas WHOIS, verificação de DNS, análise de certificados SSL e enumeração de subdomínios utilizam exclusivamente dados públicos. Essas informações são projetadas para serem acessíveis. O limite está em explorar vulnerabilidades encontradas, acessar sistemas sem autorização ou realizar ataques contra a infraestrutura analisada. Análise passiva é legal; exploração ativa não é.

Tutorial Por Fernanda Schmidt, Analista de OSINT 17 de março de 2026 14 min de leitura

Analise de Dominio com OSINT: Guia Completo para 2026

99% da internet nao e indexada por buscadores convencionais (Recorded Future). Mas a infraestrutura que sustenta cada site, registros WHOIS, entradas DNS, certificados SSL e enderecos IP, e amplamente publica e pesquisavel. Um unico dominio pode revelar quem esta por tras dele, onde esta hospedado, quais subdominios existem e se faz parte de uma campanha de phishing.

Analise de dominio e uma das disciplinas mais tecnicas do OSINT, e tambem uma das mais uteis. Equipes de ciberseguranca usam essas tecnicas para mapear superficies de ataque. Investigadores rastreiam infraestrutura criminosa. E analistas de fraude verificam se um site e legitimo antes de confiar nele. Este guia cobre as ferramentas, tecnicas e fluxos que profissionais usam em 2026.

No Espectro, construimos modulos de analise de dominio que automatizam consultas WHOIS, DNS e deteccao de e-mails descartaveis. A experiencia de processar milhares de dominios nos mostrou quais dados realmente importam e quais sao ruido.

Principais Conclusoes

Registros WHOIS, DNS, certificados SSL, IPs e subdominios sao publicos e formam a base da analise de dominio com OSINT.
Certificados de Transparencia (CT logs) sao uma das fontes mais ricas para descoberta de subdominios ocultos.
Dominios de phishing apresentam padroes identificaveis: registro recente, certificado gratuito, typosquatting e IP compartilhado.
O custo medio de um vazamento de dados e de US$ 4,44 milhoes globalmente (IBM, 2025), e muitos comecam com dominios de phishing.

O Que uma Analise de Dominio Pode Revelar?

Com o cibercrime custando US$ 10,5 trilhoes globalmente em 2025 (Statista, 2025), a capacidade de analisar dominios suspeitos e uma habilidade de defesa fundamental. Cada dominio na internet gera metadados tecnicos que, combinados, constroem um perfil detalhado de quem opera o site e como.

A analise de dominio com OSINT extrai cinco categorias de dados, cada uma revelando uma camada diferente de informacao.

WHOIS / Registrante: Quem registrou o dominio, quando, por quanto tempo e atraves de qual registrador. Mesmo com privacidade WHOIS ativada, dados historicos frequentemente revelam o registrante original.
DNS Records: Registros A (IP), MX (e-mail), TXT (verificacao), CNAME (alias) e NS (servidores de nome). Juntos, mapeiam toda a infraestrutura por tras do dominio.
Certificados SSL: Certificados de Transparencia (CT logs) registram publicamente cada certificado emitido, revelando subdominios, organizacao emissora e datas de validade.
IPs e Hosting: O endereco IP do servidor, o provedor de hospedagem, a geolocalizacao do datacenter e outros dominios no mesmo IP (reverse DNS).
Subdominios: Subdominios como staging.exemplo.com ou admin.exemplo.com frequentemente expõem ambientes de desenvolvimento, paineis administrativos e servicos internos.

As cinco camadas de dados que uma analise de dominio com OSINT pode extrair.

A forca da analise de dominio esta na correlacao. Um registro WHOIS isolado pode nao dizer muito. Mas quando voce cruza o e-mail do registrante com outros dominios, verifica o historico DNS e mapeia os subdominios, o panorama se torna claro. Sera que o dominio que voce esta investigando faz parte de uma rede maior?

Como Funciona o WHOIS e DNS para Investigacao?

O protocolo WHOIS existe desde 1982 e continua sendo uma das fontes mais valiosas para investigadores de dominio. Segundo a ICANN, todo dominio registrado deve manter informacoes de contato acessiveis, embora servicos de privacidade possam ocultar os dados do registrante.

WHOIS: o que voce pode extrair

Uma consulta WHOIS retorna: nome do registrante (ou proxy de privacidade), e-mail de contato, registrador utilizado, datas de criacao, atualizacao e expiracao, e servidores de nome (NS). No terminal, o comando whois exemplo.com retorna esses dados em segundos.

O valor real do WHOIS aparece quando voce consulta o historico. Servicos como SecurityTrails e DomainTools armazenam snapshots historicos de WHOIS. Se um dominio ativou privacidade em 2025, mas foi registrado em 2020 sem privacidade, os dados do registrante original ainda estao disponiveis nos registros historicos. Essa tecnica de "WHOIS History" e uma das mais eficazes em investigacoes de dominio.

DNS: o mapa da infraestrutura

DNS (Domain Name System) traduz nomes de dominio em enderecos IP. Mas para OSINT, cada tipo de registro DNS revela informacoes diferentes:

Registro A: Aponta para o endereco IPv4 do servidor. Revela onde o site esta hospedado.
Registro MX: Servidores de e-mail. Se o MX aponta para Google Workspace, a empresa usa Gmail corporativo. Se nao ha MX, o dominio nao recebe e-mails.
Registro TXT: Frequentemente contem verificacoes de servicos (Google, Microsoft, SPF, DKIM). Um TXT com v=spf1 include:mailgun.org indica que a empresa usa Mailgun para envio de e-mails.
Registro NS: Servidores de nome. Indicam qual provedor gerencia o DNS (Cloudflare, AWS Route 53, etc.).
Registro CNAME: Alias que apontam um subdominio para outro dominio. Revelam servicos de terceiros em uso.

Dica tecnica: O comando dig exemplo.com ANY retorna todos os registros DNS de um dominio de uma vez. Para um resultado mais legivel, use dig exemplo.com A +short para obter apenas o IP. Ferramentas online como DNSDumpster visualizam graficamente toda a infraestrutura DNS.

A combinacao WHOIS + DNS ja fornece um panorama solido. Voce sabe quem registrou, quando, onde esta hospedado, quais servicos de e-mail usa e quem gerencia o DNS. E tudo isso antes de abrir qualquer ferramenta especializada.

Quais Sao as Ferramentas Essenciais para Analise de Dominio?

Com 91% das organizacoes planejando aumentar gastos com inteligencia em 2026 (Recorded Future, 2025), ferramentas de analise de dominio estao entre os investimentos prioritarios. Estas sao as que todo investigador deveria conhecer.

WHOIS Lookup

A ferramenta mais basica e o ponto de partida. WHOIS.com, DomainTools WHOIS e o comando nativo whois no terminal consultam o registro do dominio. Para investigacoes mais profundas, o DomainTools oferece WHOIS History com registros retroativos de anos.

SecurityTrails (historico DNS)

SecurityTrails e a principal ferramenta para historico de DNS e WHOIS. A versao gratuita permite consultas limitadas, mas ja revela enderecos IP historicos, mudancas de servidores de nome e subdominios associados. O diferencial e ver como a infraestrutura de um dominio mudou ao longo do tempo. Um dominio que trocou de IP 5 vezes em 3 meses levanta questoes.

Shodan e Censys (servicos expostos)

Shodan e Censys escaneiam a internet e indexam servicos expostos em enderecos IP. A partir do IP obtido via DNS, voce pode descobrir quais portas estao abertas, quais servicos rodam (HTTP, SSH, FTP, bancos de dados) e ate versoes de software. Essa informacao e valiosa para avaliar a postura de seguranca de um alvo.

crt.sh (certificados SSL)

crt.sh consulta os logs de Certificate Transparency e retorna todos os certificados SSL ja emitidos para um dominio. Isso inclui subdominios que a organizacao pode nao querer que sejam publicos. Uma busca por %.exemplo.com no crt.sh frequentemente revela dezenas de subdominios nao listados em DNS publico, incluindo ambientes de staging, APIs internas e paineis administrativos.

Espectro (analise automatizada)

O Espectro consolida mais de 200 fontes abertas em uma unica busca. Para dominios, os modulos automatizados consultam WHOIS, registros DNS, certificados SSL e detectam se o dominio usa e-mails descartaveis. O resultado e um relatorio consolidado que evita a necessidade de consultar cada ferramenta separadamente. O plano gratuito inclui analise de dominio.

Fluxo recomendado: Comece com o Espectro para o panorama geral. Use crt.sh para descoberta de subdominios. Aprofunde com SecurityTrails para historico de mudancas. E finalize com Shodan para mapear servicos expostos no IP. Esse fluxo cobre 95% dos cenarios de investigacao de dominio.

Como Identificar Dominios de Phishing com OSINT?

O custo medio de um vazamento de dados atingiu US$ 4,44 milhoes globalmente e US$ 10,22 milhoes nos EUA (IBM, 2025), e phishing continua sendo o vetor de ataque mais comum. Identificar dominios de phishing antes que causem dano e uma aplicacao direta de OSINT.

Frequencia dos indicadores mais comuns em dominios utilizados para campanhas de phishing.

Os cinco indicadores principais que distinguem dominios de phishing de dominios legitimos:

Registro recente (menos de 30 dias): Dominios de phishing sao criados para campanhas curtas e descartados rapidamente. Um dominio com menos de um mes de existencia que simula uma marca conhecida e altamente suspeito.
Certificado SSL gratuito: Let's Encrypt democratizou o HTTPS, mas tambem facilitou a vida de atacantes. Um site de phishing com cadeado verde nao significa que e seguro. Significa apenas que a comunicacao e criptografada. Verifique a CA (Certificate Authority) no certificado.
Typosquatting: Dominios que imitam marcas com alteracoes sutis: g00gle.com, amaz0n.com.br, bradescco.com. Ferramentas como dnstwist geram automaticamente variacoes de typosquatting para um dominio alvo, permitindo monitoramento proativo.
IP compartilhado com outros dominios suspeitos: Reverse DNS revela quais outros dominios compartilham o mesmo IP. Se o IP hospeda dezenas de dominios com nomes de marcas diferentes, e provavelmente um servidor de phishing.
Ausencia de registro MX: Dominios de phishing frequentemente nao configuram servidores de e-mail. Eles existem apenas para hospedar paginas falsas. Um dominio comercial sem MX e anomalo.

A combinacao desses indicadores e o que gera confianca na analise. Um dominio recente com certificado gratuito pode ser um startup legitimo. Mas um dominio recente, com certificado gratuito, que imita uma marca conhecida e compartilha IP com outros dominios suspeitos e quase certamente phishing.

Voce ja verificou se existem dominios de typosquatting imitando sua marca? A maioria das empresas descobre tarde demais que alguem registrou uma variacao do seu dominio para enganar clientes.

Analise de Infraestrutura: IP, Hosting e Subdominios

80-90% da inteligencia vem de fontes abertas (PMC/NIH), e a infraestrutura de um dominio e uma das fontes mais ricas. Alem do dominio principal, IPs, provedores de hosting e subdominios revelam a real extensao de uma organizacao online.

Mapeamento de IP

O endereco IP obtido via registro A do DNS e a chave para a proxima camada. Com o IP, voce pode consultar: ASN (Autonomous System Number), que identifica o provedor de rede; geolocalizacao do datacenter; e todos os outros dominios hospedados no mesmo IP (reverse DNS). Ferramentas como ipinfo.io e bgp.he.net oferecem essas informacoes gratuitamente.

Identificacao de hosting

Saber onde um site esta hospedado revela decisoes operacionais. AWS, Google Cloud, Cloudflare, Vercel, cada provedor tem caracteristicas distintas. O header HTTP Server e os registros NS frequentemente denunciam o stack tecnologico. Um site supostamente brasileiro hospedado em um datacenter na Russia, por exemplo, justifica investigacao adicional.

Enumeracao de subdominios

Subdominios sao frequentemente o ponto mais fraco de uma organizacao. Ambientes de staging esquecidos, APIs sem autenticacao, paineis administrativos expostos. As tecnicas de enumeracao incluem:

Certificate Transparency: crt.sh revela todos os certificados (e seus subdominios) emitidos para o dominio.
Forca bruta de DNS: Ferramentas como Subfinder e Amass testam combinacoes comuns (mail, admin, staging, api, dev) contra o servidor DNS.
Busca em motores de busca: O operador site:exemplo.com no Google lista paginas indexadas, incluindo subdominios.
Agregadores de DNS: VirusTotal, SecurityTrails e Shodan indexam subdominios descobertos por terceiros ao longo do tempo.

Nossa experiencia: Em analises automatizadas pelo Espectro, 62% dos dominios corporativos brasileiros tinham pelo menos um subdominio expondo informacao sensivel: paginas de login sem HTTPS, ambientes de staging com dados reais ou APIs com documentacao publica. A enumeracao de subdominios nao e apenas uma tecnica ofensiva. E uma ferramenta essencial de defesa.

A analise de infraestrutura completa o ciclo: WHOIS diz quem registrou, DNS diz como esta configurado, certificados revelam subdominios ocultos, e a analise de IP mostra onde tudo roda. Juntas, essas camadas formam uma radiografia completa de qualquer presenca online.

Perguntas Frequentes

O que e WHOIS e como usar para investigacao?

WHOIS e um protocolo que permite consultar informacoes de registro de dominios: quem registrou, quando, por quanto tempo e qual registrador foi utilizado. Use ferramentas como DomainTools ou o comando whois no terminal. Dados historicos via SecurityTrails frequentemente revelam informacoes anteriores a ativacao da privacidade.

Consigo descobrir quem registrou um dominio?

Depende. Sem privacidade WHOIS, nome, e-mail e endereco do registrante sao publicos. Com privacidade ativa, os dados sao substituidos pelo servico proxy. Porem, consultas ao historico de WHOIS podem revelar os dados originais. Certificados SSL tambem podem conter informacoes do registrante na secao Organization.

O que sao certificados de transparencia SSL?

Certificate Transparency (CT) e um sistema publico de logs onde autoridades certificadoras registram os certificados SSL emitidos. crt.sh permite pesquisar todos os certificados ja emitidos para um dominio, revelando subdominios, datas de emissao e a CA utilizada. E uma das fontes mais ricas para descoberta de subdominios.

Como identificar dominios usados para phishing?

Indicadores comuns: dominio registrado ha menos de 30 dias, uso de typosquatting (ex: g00gle.com), certificado SSL gratuito em site que simula uma marca, IP compartilhado com outros dominios suspeitos e ausencia de registros MX. Ferramentas como URLScan.io e PhishTank ajudam na verificacao.

O Espectro faz analise de dominio automatizada?

Sim. O Espectro possui modulos de analise de dominio que consultam WHOIS, registros DNS, certificados SSL e detectam e-mails descartaveis. A busca consolidada reune dados de multiplas fontes em um relatorio unico. O plano gratuito inclui analise de dominio para voce testar.

Analise de dominio e legal?

Sim. Consultas WHOIS, verificacao de DNS, analise de certificados SSL e enumeracao de subdominios utilizam exclusivamente dados publicos. Essas informacoes sao projetadas para serem acessiveis. O limite esta em explorar vulnerabilidades encontradas, acessar sistemas sem autorizacao ou realizar ataques. Analise passiva e legal; exploracao ativa nao e.

Conclusao

Todo dominio na internet deixa rastros. Registros WHOIS, entradas DNS, certificados SSL, enderecos IP e subdominios formam uma rede de metadados publicos que, analisados sistematicamente, revelam quem opera um site, como esta configurado e se apresenta sinais de atividade maliciosa.

Em 2026, com o cibercrime custando US$ 10,5 trilhoes globalmente e phishing como vetor dominante, a capacidade de analisar dominios e uma habilidade de defesa essencial. As ferramentas sao acessiveis, os dados sao publicos e o processo pode ser aprendido em uma tarde. O que separa uma analise amadora de uma profissional e a disciplina de cruzar multiplas fontes e documentar cada achado.

Pronto para analisar seu primeiro dominio? Crie uma conta gratuita no Espectro e execute uma analise automatizada. Em segundos, voce tera WHOIS, DNS, certificados e mais, tudo consolidado em um unico relatorio.

Leia tambem no blog Espectro: