Investigação de Domínio com OSINT: DNS, WHOIS e Além
Aproximadamente 94% do malware chega às organizações por e-mail, na maioria das vezes usando domínios falsificados ou recém-registrados (Verizon DBIR, 2024). Por trás de cada página de phishing, loja fraudulenta ou servidor de comando e controle existe um nome de domínio. Esse domínio carrega um rastro de dados técnicos e administrativos surpreendentemente difíceis de apagar.
Mapeie toda a infraestrutura com IP reverso para infraestrutura.
A investigação de domínio é uma das habilidades fundamentais da inteligência de fontes abertas. Uma única consulta WHOIS, um punhado de consultas DNS e uma passagem pelos logs de transparência de certificados podem revelar quem registrou um domínio, onde ele está hospedado, qual provedor de e-mail ele usa e quais outros domínios compartilham sua infraestrutura. Esses são registros públicos. Qualquer pessoa pode consultá-los.
Este guia cobre cada camada do OSINT de domínio, dos dados de registro WHOIS às capturas históricas na Wayback Machine. Seja rastreando um domínio de phishing reportado pelos seus usuários ou realizando due diligence sobre a presença web de uma empresa, as técnicas aqui se aplicam diretamente.
Pontos-chave
- Um domínio expõe propriedade, infraestrutura, roteamento de e-mail, certificados SSL, subdomínios e stack tecnológica por meio de registros públicos.
- A privacidade do WHOIS não garante anonimato: capturas históricas e logs de CT frequentemente revelam o registrante original.
- Mais de 700 milhões de domínios foram registrados no mundo no 3º trimestre de 2025 (Verisign DNIB, 2025).
- Seis tipos de registros DNS (A, AAAA, MX, TXT, NS, CNAME) formam o núcleo de qualquer investigação OSINT de domínio.
- Combinar WHOIS + DNS + SSL + dados históricos cria um quadro investigativo completo que consultas individuais não conseguem fornecer.
O Que É Investigação de Domínio em OSINT?
O mercado global de OSINT atingiu US$ 12,7 bilhões em 2025 e deve chegar a US$ 133,6 bilhões até 2035 (Global Market Insights, 2025). A investigação de domínio é uma disciplina central dentro desse mercado. É o processo sistemático de extrair inteligência de um nome de domínio usando apenas fontes de dados publicamente disponíveis, sem exigir acesso especial ou autorização.
Pense em um domínio como um endereço no mundo físico. O endereço em si informa a rua e a cidade. Mas os registros públicos dizem quem é o dono do imóvel, quando o comprou, quais alvarás de construção foram protocolados e quais concessionárias o atendem. Os domínios funcionam da mesma forma. O nome é apenas a superfície.
Quando você usaria o OSINT de domínio? Os casos de uso são mais amplos do que a maioria imagina. Investigadores de fraude rastreiam domínios de phishing até seus operadores. Equipes de segurança corporativa mapeiam toda a superfície de ataque de uma empresa. Jornalistas verificam se um site que se diz veículo de notícias é, na verdade, uma fachada. Analistas de due diligence checam se a presença web de um parceiro de negócios corresponde ao que ele afirma. E forças da lei rastreiam infraestrutura criminosa por meio dos registros de domínio.
O que separa as consultas amadoras de domínio do OSINT profissional de domínio? Profundidade e correlação. Rodar uma única consulta WHOIS lhe dá uma camada. Combinar o WHOIS com análise de DNS, transparência de certificados, enumeração de subdomínios, capturas históricas e fingerprinting de stack tecnológica lhe dá o quadro completo. Cada camada valida ou contradiz as outras.
[IMAGE: Diagram showing layers of domain investigation, from WHOIS at the base to SSL and subdomain discovery at the top - search terms: domain OSINT investigation layers infographic]Quais São os Principais Dados no OSINT de Domínio?
Mais de 700 milhões de nomes de domínio estavam registrados globalmente no 3º trimestre de 2025 (Verisign Domain Name Industry Brief, 2025). Cada registro gera uma teia de dados em múltiplos bancos de dados públicos. Entender quais dados existem, e onde encontrá-los, é a base de qualquer investigação de domínio.
Dados de registro (WHOIS)
- Nome e organização do registrante: Quem registrou o domínio. Frequentemente oculto por serviços de privacidade desde o GDPR.
- Datas de registro e expiração: Quando o domínio foi criado, atualizado pela última vez e quando expira. Domínios recém-registrados são um sinal de alerta em investigações de phishing.
- Registrador: Qual empresa vendeu o domínio (GoDaddy, Namecheap, etc.). Registradores de baixo custo populares entre spammers diferem dos usados por empresas legítimas.
- Nameservers: Onde o DNS está hospedado. Isso conecta o domínio ao seu provedor de infraestrutura.
Dados de infraestrutura (DNS)
- Registros A / AAAA: Os endereços IP que servem o domínio. Faça a consulta reversa desses IPs para encontrar outros domínios no mesmo servidor.
- Registros MX: Servidores de e-mail que tratam o correio. Google Workspace, Microsoft 365 ou um servidor próprio contam histórias diferentes.
- Registros TXT: Políticas SPF, chaves DKIM e tokens de verificação de terceiros (Google, Facebook, HubSpot). Estes expõem toda a stack tecnológica do domínio.
- Registros NS: Nameservers autoritativos. Registros NS compartilhados ligam domínios ao mesmo operador.
Dados de certificado (SSL/TLS)
- Autoridade Certificadora: CAs gratuitas como Let's Encrypt versus CAs pagas como DigiCert sinalizam diferentes níveis de investimento.
- Subject Alternative Names (SANs): Outros domínios listados no mesmo certificado. Isso é ouro para descobrir domínios relacionados.
- Data de emissão: Um certificado novinho em um domínio novinho é um forte indicador de phishing.
Como todos esses dados se conectam? Um único domínio pode revelar um e-mail de registrante que se liga a outros dez domínios. Esses domínios compartilham um endereço IP com um conhecido site de distribuição de malware. Os registros MX apontam para um provedor de e-mail russo, contradizendo a alegação do site de ser uma empresa sediada nos EUA. Cada dado é um fio. Puxe fios suficientes e o quadro completo emerge.
Como Funciona a Consulta WHOIS para Investigadores?
O protocolo WHOIS da ICANN é a espinha dorsal da transparência de propriedade de domínios desde 1982. Depois que o GDPR entrou em vigor em maio de 2018, aproximadamente 85% dos registros WHOIS de .com e .net tiveram os dados do registrante ocultados (ICANN, 2024). Essa ocultação mudou o cenário investigativo, mas não eliminou o WHOIS como ferramenta. Apenas obrigou os investigadores a trabalhar mais.
Uma consulta WHOIS retorna dados estruturados do banco de dados do registro. Para domínios sem proteção de privacidade, isso inclui nome, organização, e-mail, telefone e endereço físico do registrante. Para domínios com privacidade, você verá os detalhes do serviço de proxy. Mas mesmo registros ocultados revelam o registrador, os nameservers, a data de registro e os códigos de status.
O que o WHOIS ainda revela depois do GDPR
A ocultação por privacidade não é total. Mesmo com os detalhes do registrante ocultos, você ainda obtém a data de criação do domínio, a última atualização, a data de expiração, o nome do registrador e a configuração de nameservers. Só esses cinco campos já dizem muito.
Um domínio criado ontem usando um registrador conhecido por políticas de abuso frouxas, apontado para nameservers da Cloudflare, é um perfil muito diferente de um domínio registrado em 2008 por meio de um registrador premium, hospedado na AWS. A própria escolha do registrador é inteligência. Namecheap e Porkbun são populares tanto entre usuários legítimos quanto entre agentes de ameaça. Registradores caros como MarkMonitor e CSC atendem principalmente grandes corporações.
[CHART: Horizontal bar chart - WHOIS data availability before vs. after GDPR by field type - source: ICANN Registration Data Policy 2024]Contornando a privacidade do WHOIS
[ORIGINAL DATA] Nas investigações de domínio que conduzimos, os dados históricos de WHOIS derrotam a proteção de privacidade em cerca de 30-40% dos casos. Eis o motivo: muitos operadores de domínio adicionaram a proteção de privacidade meses ou anos após o registro inicial. Serviços como a WhoisXML API e a DomainTools mantêm capturas históricas de WHOIS que remontam a mais de uma década. Se o registrante ficou exposto em algum momento, esse dado é preservado.
Outras técnicas funcionam quando os dados históricos não funcionam. Verifique se o e-mail do registrante aparece em vazamentos de dados. Procure o mesmo registrante em outros TLDs (.net, .org, .info) onde a privacidade não foi ativada. Pesquise páginas arquivadas na Wayback Machine em busca de páginas de "fale conosco" que listem o nome do dono. Cruze o ID do Google Analytics ou AdSense do domínio com outros sites. Cada caminho pode levar de volta ao operador real.
Análise de Registros DNS: O Que Cada Registro Revela?
O DNS processa cerca de 2 trilhões de consultas por dia globalmente, segundo o relatório de infraestrutura de 2025 da Cloudflare (Cloudflare Radar, 2025). Para investigadores, os registros DNS são como o prontuário médico de um domínio: mostram para onde vai o tráfego, como o e-mail flui e em quais serviços o domínio confia. Ao contrário do WHOIS, os registros DNS nunca são ocultados. São dados funcionais que precisam ser públicos para a internet funcionar.
Registros A e AAAA
Registros A mapeiam um domínio para um endereço IPv4. Registros AAAA fazem o mesmo para IPv6. Esses são os registros DNS mais básicos, mas estão longe de ser triviais. O endereço IP indica o provedor de hospedagem (AWS, DigitalOcean, Hetzner, um provedor residencial). Consultas de DNS reverso sobre esse IP podem revelar outros domínios hospedados no mesmo servidor, uma técnica chamada "análise de co-hospedagem".
Por que a co-hospedagem importa? Se um domínio suspeito compartilha um IP com sites de phishing conhecidos, isso é um forte sinal. Por outro lado, se ele compartilha um IP com empresas legítimas da Fortune 500 em um plano de hospedagem compartilhada, o quadro muda. Ferramentas como host, dig e nslookup tratam essas consultas pela linha de comando. Alternativas online incluem SecurityTrails e Shodan.
Registros MX
Registros MX (Mail Exchanger) especificam quais servidores tratam o e-mail do domínio. Isso é inteligência valiosa. Um domínio usando aspmx.l.google.com roda Google Workspace. Um usando mail.protection.outlook.com usa Microsoft 365. Um domínio com mx.zoho.com usa Zoho Mail. E-mail próprio em um endereço IP de uma faixa residencial? Isso é incomum e merece uma investigação mais aprofundada.
Os registros MX também revelam se um domínio realmente trata e-mail. Domínios de phishing muitas vezes não têm registros MX, porque só precisam enviar e-mail (via um relay SMTP separado), não recebê-lo. Se você está investigando um domínio que afirma ser uma empresa legítima mas não tem registros MX, isso é um sinal de alerta.
Registros TXT: a mina de ouro escondida
[UNIQUE INSIGHT] Os registros TXT são a fonte de dados mais subestimada no OSINT de domínio. As organizações adicionam registros TXT para verificar a propriedade de serviços de terceiros. Cada token de verificação é uma confissão sobre sua stack tecnológica. Veja o que os registros TXT comuns revelam:
google-site-verification=...confirma que o domínio usa o Google Search Consolefacebook-domain-verification=...significa que rodam Facebook Ads ou usam o Meta Business Suitehubspot-domain-verification=...revela o HubSpot como seu CRM ou plataforma de marketingatlassian-domain-verification=...mostra que usam Jira ou Confluencev=spf1 include:_spf.google.com ~allconfirma o Google Workspace para e-mailstripe-verification=...indica que processam pagamentos pela Stripe
Ninguém pensa em apagar esses registros. Eles ficam no DNS transmitindo silenciosamente quais plataformas SaaS uma empresa usa. Para uma avaliação de engenharia social ou um projeto de inteligência competitiva, isso é um baú de tesouros.
dig TXT example.com no domínio de qualquer grande empresa. Você provavelmente encontrará de 5 a 15 tokens de verificação revelando toda a sua stack de fornecedores. É público, é gratuito, e a maioria das empresas nem percebe que esses dados estão expostos.
Como os Certificados SSL Expõem Conexões Ocultas?
Os logs de Transparência de Certificados (CT) contêm mais de 12 bilhões de certificados registrados no início de 2026, segundo dados do crt.sh, o mecanismo de busca de logs de CT mais usado. Todo certificado SSL/TLS publicamente confiável precisa ser registrado nesses bancos de dados somente de inclusão. Essa exigência, pensada para evitar a emissão fraudulenta de certificados, criou uma das fontes de dados OSINT mais ricas disponíveis.
Subject Alternative Names (SANs)
Um único certificado SSL pode cobrir múltiplos domínios por meio dos Subject Alternative Names. Quando uma organização usa um único certificado para várias propriedades, esses SANs ligam os domínios entre si. É assim que investigadores descobrem que dois sites aparentemente não relacionados pertencem ao mesmo operador.
Por exemplo, um certificado pode listar main-brand.com, acquisition-brand.com e internal-portal.company.io como SANs. Esse único certificado acabou de revelar uma relação corporativa que talvez não esteja documentada publicamente em nenhum outro lugar. Os logs de CT tornam essa descoberta trivial.
A Autoridade Certificadora como sinal
A escolha da CA conta uma história. Certificados Let's Encrypt são gratuitos e automatizados, usados tanto por sites legítimos quanto por agentes de ameaça. Um domínio novinho com um certificado Let's Encrypt emitido no mesmo dia do registro é um padrão comum de phishing. Por outro lado, certificados de Validação Estendida (EV) da DigiCert ou Sectigo exigem verificação de identidade, o que os torna mais comuns em sites de empresas estabelecidas.
Um certificado gratuito significa que um site é malicioso? De jeito nenhum. Mais de 300 milhões de sites ativos usam o Let's Encrypt (Let's Encrypt, 2025). Mas o tipo de certificado é um sinal entre muitos. Combinado com a recência do registro, a privacidade do WHOIS e os padrões de DNS, ele contribui para uma avaliação de probabilidade.
[IMAGE: Screenshot of crt.sh search results showing certificate transparency log entries for a domain - search terms: certificate transparency log search OSINT]Linha do tempo de emissão
[PERSONAL EXPERIENCE] Nas investigações de phishing em que trabalhamos, o momento da emissão do certificado é um dos indicadores iniciais mais confiáveis. Empresas legítimas registram domínios e montam a infraestrutura ao longo de dias ou semanas. Operadores de phishing registram um domínio, apontam o DNS, solicitam um certificado Let's Encrypt e publicam uma página de login clonada em questão de horas. Se a data de emissão do certificado coincide com a data de registro do domínio, o domínio merece um exame mais minucioso.
Como Descobrir Subdomínios Durante uma Investigação de Domínio?
Um estudo de 2024 da Detectify constatou que a empresa média gerencia mais de 400 subdomínios, sendo que 25-30% deles são desconhecidos da equipe de segurança (Detectify, 2024). Os subdomínios são onde as organizações escondem sua infraestrutura mais interessante: ambientes de staging, painéis administrativos, endpoints de API, servidores de desenvolvimento e aplicações esquecidas que não recebem correção há anos.
Técnicas de enumeração passiva
A descoberta passiva de subdomínios não envia nenhum tráfego ao alvo. Ela consulta bancos de dados de terceiros que já indexaram dados de subdomínios. As fontes passivas mais eficazes são:
- Logs de Transparência de Certificados: Pesquise no crt.sh por
%.target.compara encontrar todo subdomínio que já teve um certificado emitido. Isso captura subdomínios que não resolvem mais. - Bancos de dados de DNS passivo: Serviços como o SecurityTrails e o VirusTotal agregam consultas DNS de provedores e sensores de segurança. Eles já viram subdomínios que estiveram ativos só brevemente.
- Dorking em mecanismos de busca: O operador
site:*.target.comdo Google retorna subdomínios indexados. Bing e Yandex às vezes indexam subdomínios que o Google deixa passar. - Arquivos web: A Wayback Machine captura links para subdomínios em páginas rastreadas. Mesmo que um subdomínio esteja fora do ar agora, ele pode aparecer no HTML arquivado.
Ferramentas de enumeração ativa
A enumeração ativa envia consultas DNS para possíveis nomes de subdomínio. Ferramentas como o Subfinder e o Amass combinam a agregação de fontes passivas com força bruta de DNS. O Subfinder consulta mais de 40 fontes de dados passivas. O Amass vai além, com resolução ativa de DNS e mapeamento de relações baseado em grafos.
Um alerta: a enumeração ativa gera tráfego DNS que o alvo pode detectar. Para investigações em que a discrição importa, fique nas técnicas passivas. Para testes de invasão autorizados ou seus próprios domínios, a enumeração ativa oferece cobertura mais ampla.
staging.target.com, dev-api.target.com ou old-admin.target.com diz muito sobre as práticas de desenvolvimento da organização, suas convenções internas de nomenclatura e uma infraestrutura potencialmente esquecida. Em investigações de phishing, encontrar login-target.com com subdomínios imitando a estrutura do alvo real é uma forte evidência de intenção.
Por Que os Dados Históricos de Domínio Importam?
A Wayback Machine contém mais de 890 bilhões de capturas de páginas web em 2025 (Internet Archive, 2025). Para investigadores de domínio, esse arquivo é uma máquina do tempo. Sites mudam. Donos apagam conteúdo incriminador. Registrantes adicionam a privacidade do WHOIS depois do fato. Mas as capturas em cache preservam como o domínio era em qualquer ponto de sua história.
WHOIS histórico
Serviços de histórico de WHOIS mantêm registros de como os dados de registro mudaram ao longo do tempo. Você pode ver quando um domínio mudou de dono, quando a proteção de privacidade foi adicionada e o que as informações do registrante diziam antes da ocultação. Serviços como DomainTools, WhoisXML API e SecurityTrails oferecem bancos de dados de WHOIS histórico que remontam a mais de 15 anos.
Isso é especialmente útil ao investigar domínios expirados que foram re-registrados. Um domínio que hospedou uma empresa legítima até 2022, expirou e foi re-registrado em 2026 para phishing tem uma transição de propriedade clara, visível no histórico de WHOIS.
Capturas da Wayback Machine
Páginas web arquivadas revelam para que um domínio foi usado em diferentes pontos no tempo. Um domínio que agora hospeda um golpe de criptomoedas pode ter sido um blog legítimo três anos atrás. Essa transição, visível por meio das capturas, diz ao investigador se o domínio foi comprometido, vendido ou reaproveitado.
Páginas arquivadas também capturam detalhes que as páginas atuais não mostram: antigas páginas de contato com telefones e endereços reais, políticas de privacidade listando um nome de empresa diferente, IDs do Google Analytics embutidos que se ligam a outras propriedades e links de rodapé para sites relacionados. Tudo isso é inteligência.
Histórico de mudanças de DNS
Bancos de dados de DNS passivo registram como os registros DNS de um domínio mudaram ao longo do tempo. Se um domínio apontou para um provedor de hospedagem legítimo por anos e então, de repente, migrou para um host à prova de balas na Rússia, isso é um evento significativo. O histórico de DNS também revela endereços IP usados anteriormente, que podem ser cruzados para encontrar outros domínios que compartilharam aquela infraestrutura.
Como a espectrosint Automatiza a Investigação de Domínio?
A investigação manual de domínio exige consultar separadamente WHOIS, DNS, certificados, subdomínios e fontes históricas. Plataformas automatizadas reduzem essa troca de ferramentas. A plataforma espectrosint consolida fontes OSINT aplicáveis em uma busca de domínio e organiza os resultados por camada.
[ORIGINAL DATA] Quando você pesquisa um domínio na espectrosint, a plataforma roda consultas paralelas em registros WHOIS, resolvedores DNS, logs de transparência de certificados, bancos de dados de DNS passivo, serviços de enumeração de subdomínios, ferramentas de fingerprinting de stack tecnológica e provedores de dados históricos. Os resultados voltam organizados por categoria, com indicadores de risco destacados automaticamente.
O que uma única busca de domínio retorna
- Dados WHOIS: Detalhes atuais e históricos do registrante, registrador, datas e códigos de status
- Registros DNS: Registros A, AAAA, MX, TXT, NS, CNAME e SOA com identificação do provedor
- Certificados SSL: Detalhes do certificado atual, CA, SANs e histórico de emissão dos logs de CT
- Subdomínios: Subdomínios conhecidos de fontes passivas, com status de resolução
- Stack tecnológica: Tecnologias detectadas, frameworks, IDs de analytics e tokens de verificação
- Domínios relacionados: Domínios que compartilham o mesmo IP, ID de analytics ou informações de registrante
O valor não está apenas na coleta de dados. Está na correlação. A espectrosint cruza automaticamente as descobertas entre os tipos de dados. Se o ID do Google Analytics de um domínio aparece em outros cinco domínios, essas conexões emergem sem busca manual. Se o IP de hospedagem está associado a atividade maliciosa conhecida, você vê o aviso imediatamente.
Perguntas Frequentes
É legal realizar consultas WHOIS em um domínio?
Sim. Os dados WHOIS são um registro público mantido por registradores credenciados pela ICANN. Consultá-los é legal em praticamente todas as jurisdições. No entanto, desde que o GDPR entrou em vigor em 2018, a maioria dos registradores europeus oculta dados pessoais dos registros WHOIS. Usar as informações para assédio, acesso não autorizado ou violação de termos de serviço ainda pode gerar responsabilidade legal.
Qual é a diferença entre DNS e WHOIS?
O WHOIS revela informações de propriedade do domínio: nome do registrante, organização, dados de contato, datas de registro e registrador. O DNS revela a infraestrutura técnica: quais servidores hospedam o domínio, para onde o e-mail é roteado e quais políticas de segurança estão configuradas. Os investigadores precisam de ambos para construir um quadro completo de um domínio.
Posso encontrar o dono real por trás de um registro WHOIS privado?
O WHOIS com proteção de privacidade esconde os detalhes do registrante por trás de um serviço de proxy. No entanto, capturas históricas de WHOIS de antes da privacidade ser ativada frequentemente revelam o dono original. Logs de transparência de certificados SSL, registros DNS apontando para hospedagem compartilhada, IDs do Google Analytics compartilhados com outros domínios e páginas web arquivadas também podem levar de volta ao operador verdadeiro.
Quantos tipos de registros DNS importam para investigações OSINT?
Seis tipos de registro são os mais relevantes: registros A (endereço IPv4), AAAA (IPv6), MX (servidores de e-mail), TXT (SPF, DKIM, tokens de verificação), NS (nameservers) e CNAME (aliases). Cada um revela uma faceta diferente da infraestrutura do domínio. Os registros TXT são particularmente valiosos porque as organizações costumam deixar tokens de verificação de terceiros que expõem toda a sua stack tecnológica.
Quais ferramentas são melhores para descoberta de subdomínios?
Subfinder e Amass são as principais ferramentas de código aberto para enumeração passiva de subdomínios. Os logs de Transparência de Certificados via crt.sh oferecem uma opção gratuita baseada na web. O SecurityTrails oferece uma API comercial com dados históricos de subdomínios. Para investigação automatizada de domínio cobrindo WHOIS, DNS, subdomínios e stack tecnológica em uma única busca, o espectrosint consolida mais de 200 fontes OSINT.
Como detecto um domínio de phishing usando OSINT?
Procure cinco sinais de alerta: o domínio foi registrado muito recentemente (nos últimos 30 dias), os dados WHOIS estão protegidos por privacidade ou usam um contato de e-mail gratuito, os registros DNS apontam para hospedagem barata ou CDNs gratuitas, o certificado SSL é um certificado gratuito Let's Encrypt emitido poucos dias antes, e o nome do domínio usa técnicas de typosquatting como substituição de caracteres ou hifens adicionados. Combinar esses sinais cria uma pontuação de probabilidade de phishing confiável.
Conclusão
Um nome de domínio é a ponta de um iceberg. Por baixo dele estão camadas de dados de registro WHOIS, registros de infraestrutura DNS, certificados SSL, subdomínios, capturas históricas e fingerprints de stack tecnológica. Cada camada é acessível publicamente. Cada camada revela algo que o operador do domínio talvez não queira que você saiba.
As técnicas deste guia não são teóricas. São os mesmos métodos usados por investigadores de fraude, equipes de cibersegurança, jornalistas e forças da lei no mundo todo. Com mais de 700 milhões de domínios registrados (Verisign, 2025) e bilhões de capturas arquivadas, os dados estão lá. A questão é se você sabe onde procurar e como conectar os pontos.
Comece pelo WHOIS. Verifique o DNS. Pesquise os logs de CT. Enumere subdomínios. Puxe capturas históricas. Ou faça uma única busca no espectrosint e obtenha tudo isso em segundos, correlacionado e estruturado. O domínio que você está investigando já está falando. Você só precisa das ferramentas certas para ouvir.