Como Descobrir Senhas | Técnicas e Ferramentas | Aulão 09

Isso é muito bom para encontrar na sua empresa onde você trabalha se alguém usou um e-mail corporativo foi hackeado Cara isso aqui tem que ser rotina de uma empresa tá fala pessoal tudo bem Bruno Fraga por aqui dando início a mais um aulão semanal aqui no YouTube hoje aulão de número nove tá E esse aulão é muito especial porque vamos falar sobre como descobrir senhas inclusive geralmente quando eu Ministro uma aula assim eu encontro tá sua senha ao vivo aí durante a Live ou melhor eu te ajudo a encontrar ela eu vou te mostrar várias

técnicas ferramentas Qual que é a melhor forma para descobrir a senha de alguém e eu falo que é muito importante que você faça durante o aulão tá as pesquisas com seu e-mail para tentar encontrar né uma senha sua porque a gente precisa tá descobrir sempre se alguma credencial Nossa foi vazada faz parte aqui do trabalho aqui na empresa do serviço de blindagem de investigação digital de ptest de hacking a gente encontrar vazamentos e reportar eles porque gente talvez você pense assim Bruno mas descobrir uma senha de alguém investigar uma senha né é tão agressivo né

pegar senha de uma pessoa só que cara quando vamos fazer um Pain Test um teste de segurança um teste de invasão um relatório de blindagem digital para um cliente a gente precisa executar praticar ali o teste conforme um criminoso né conforme alguém realmente querendo hackar aquele cliente buscando os vazamentos buscando a senha dele porque dessa forma a gente encontra e mitiga para que o criminoso não encontra expor aquilo então é muito importante tá a gente realmente botar o sistema prova não somente na parte de Tecnologia do alvo diretamente mas também pesquisar encontrar aí vazamento de

uma pessoa de um cliente né seus também para que você saiba se se uma senha foi vazada você não use mais ela ok então é muito importante é por isso que eu falo aqui sobre vazamentos né cara você vai ver sua senha vazada hoje você vai ver vazamento seus e isso vai fazer com que você entenda que você precisa usar uma senha única para cada serviço enfim vou entrar em detalhes durante a aula é importante que você saiba que toda quinta-feira 8 horas da noite sempre estarei ao vivo aqui no YouTube com super aulão de

investigação digital Então já se inscreve aqui no canal para não perder aí as próximas aulas ao vivo de hacking de investigação feito isso bora começar deixa eu compartilhar a tela aqui pra gente dar início a aula de hoje tá seja sejam todos muito bem-vindos já prepara aí um café copo d'água forando de ouvido é uma aula com bastante técnica bastante ferramenta coisa prática tá você vai adorar o conteúdo de hoje então é importante aí que você esteja preparado né para receber esse conteúdo receba para aprender hack investigação junto com a gente aí esse receba foi

foi um show né então gente eu sempre envio tá apostila da aula o material PDF lá no canal do telegram se por algum motivo você não está no canal telegram entre agora na descrição do vídeo possui aí o link para você entrar no canal do telegram após a aula eu exporto esse PDF esse mapa envio no telegram certo ok agora para começar a aula uma pergunta para vocês aí tá pra gente começar a pensar aqui né o por descobrir uma senha né uma senha ela pode te dar acesso a me conta aí que que uma

senha te dá acesso hoje porque às vezes né as pessoas não estão totalmente presentes para que uma senha dá acesso cara ela pensa assim assim ah a senha do meu Facebook não vou criar uma senha segura a senha do meu e-mail tem nada aqui cara tem muita coisa tá seus dados informações inteligência uma coisa que acontece muito aqui na empresa tá é até interessante isso que as pessoas às vezes falam né ah eu não tenho nada se alguém me hackear só que eu atendo por exemplo executivo para fazer uma blindagem dele e uma pessoa que

ele tem relacionamento um amigo de infância por por exemplo tem a senha vasada hackeada e a conversa daquele executivo de uma grande empresa com aquele amigo o Executivo fala mal de uma pessoa de um colaborador reclama de alguma coisa comenta algum segredo cara compromete o Executivo porque aquele cara lá não tinha uma senha segura ou pensou que não tinha nada ele ignorou as conversas que tem com o amigo o que o amigo falou para ele os dados e informações do chat então gente proteger tem uma senha segura não é somente sobre nós né É sobre

as outras pessoas também que muitas vezes compartilham algo com a gente que não gostariam que vazasse que não gostaria que outra pessoa soubesse é para manter Segredos né para manter é para proteger também outras pessoas talvez você não se não tem nada mas um familiar próximo filha esposa amigo marido mandou alguma coisa para você no chat uma foto uma mensagem e se você nesse pensamento né de ah não tenho nada você pode atrapalhar aí a vida de alguém certo então não é sobre você somente tá senha protege aí todo mundo que confia em você e

que envia para você informações dados então senha te dar acesso a muita coisa pode ser coisas suas de outras pessoas de um sistema de inteligência uma senha vazada de um órgão de inteligência Pode pôr uma bomba uma uma guerra aí em jogo porque imagina que alguém teve acesso à conversa do presidente falando que escondeu não sei quantos mísseis próximo de tal país e outro país Descobre isso cara sem aqui hoje tá D acesso a coisas que ditam aí o seu futuro e o meu futuro também tá então qual hoje é a forma mais fácil de

descobrir uma senha né tá beleza entendi o que é uma senha a importância disso mas qual que é a forma mais fácil de descobrir uma senha na sua opinião Olha só eu perguntei isso hoje no Instagram fiz uma caixinha de pergunta e teve várias respostas o pessoal falou engenharia social o pessoal falou também olha só teve várias perguntas várias respostas aqui né engenharia social Fishing cck não sei o várias poas n foram enviadas brute Force e tal no hardware da pessoa no histórico no cash enfim vamos lá vou te mostrar as minhas formas aqui agora

tá deixa eu voltar aqui qual que é o jeito mais fácil tá você pode pesquisar no Google porém não é direcionado é muito genérico né pô eu poderia vir aqui aqui no Google Olha só poderia vir aqui no Google certo deixa mudar PR portugues aqui eu t na Coreia aqui né Beleza e digitar a palavra senha aparecer bastante resultado agora se eu filtrar a palavra senha no arquivo txt eu vou ter 9.000 resultados da palavra senha em arquivo TXT e gente eu vou chegar aqui em vários documentos com senhas vazadas tá de várias pessoas porém

de forma totalmente genérica né pô é damp de dados em massa aqui né não tem nada é específico de alguém né a senha de alguém eu tô buscando senhas vasadas aí em toda a internet e vou encontrar muita coisa com Cont certeza Beleza agora se eu inserir senha que no texto tenha por exemplo @ gmail.com.br ó que no texto tenha Gmail e também senha eu vou est buscando o arquivo de texto que dentro possuem a palavra senha e @gmail então e-mails aí que possuem senha tá Olha só senha ó um um Hotmail uma senha um

Gmail e uma senha tô direcionando a minha busca tá então de primeiro nível que você pode fazer é pesquisar um e-mail né de alguém daquela pessoa no Google para ver se está presente algum vazamento porém não é muito normal tá dificilmente você vai achar por exemplo o meu e-mail aqui t x e-mail antigo meu tá num TXT com a palavra senha e dificilmente você vai encontar alguma coisa sua também vamos ver ó não tem nada então o Google DS funciona para cara coisa genérica vazamento coisa exposta né não é a melhor forma beleza para quem

falou Google DS no chat aí tá então Bruno qual seria a melhor forma de achar a senha de alguém seria hackeando a pessoa seria o cara escreveu aqui né com com hashcat aqui ó destruindo criptografia qual seria né perguntando pra pessoa interessante tá se você souver perguntar engenheiria social pode ser muito efetivo né só que cara tem um jeito mais fácil ainda que você nem vai interagir com a pessoa tá E que vasa muitas senhas Inclusive a sua aqui é o seguinte eu participei de uma de até uma entrevista pra Rede Record Aonde eu compartilhei

na entrevista né O que é um dos maiores problemas da segurança digital hoje né foi inclusive nessa entrevista eu encontrei a senha do repórter tá a senha que ele usava em alguma das contas dele ele ficou chocado Falou cara que loucura que é essa eu falei então esse é o problema né Qual que é a parada tá pessoal é o seguinte hoje a gente tá vivendo aí vou te mostrar na prática aqui tá como que eu encontrei a senha dele a gente tá vivendo num problema n gigante que é o vazamento de base de dados

Como assim a todo instante o site da imobiliária da padaria da academia do seu condomínio a Netflix o PayPal o Google descomplica o Habibs a todo instante esses serviços são hackeados e são vazados e se você possuir a conta neles a sua senha foi vazada junto o canva o Linkedin a PlayStation tudo então você pode consultar esses vazamentos tá tem um mercado hoje de ferramentas que você consulta o vazamento da senha você vai lá e fala pô esse e-mail aqui teve algum vazamento você vai lá e consulta tá e eu quero te mostrar nessa aula

como consultar vazamentos tá esse é o objetivo dessa aula esse é o maior desafio hoje de segurança na minha opinião porque vou te mostrar aqui cara todo dia milhares de sites são hackeados e se você acha que é só no The o pessoal mandando aqui que é pago vou te mostrar o site gratuito hoje também para consultar vazamento de senha sinistro tá então Então cara tá muito acessível você pode pegar qualquer e-mail hoje Qualquer identificador nome de usuário telefone e ver o vazamento Beleza então olha só Vamos por partes é simples né Esse é o

problema atual é o vazamento aí existe um mercado gigante por trás disso deixa eu te mostrar até como que é um vazamento por dentro pera aí eu tenho um ar eu tava dando uma estudada aqui com a galera só para você ver como que é a ideia né de um de um vazamento aqui ó eu tenho aqui o vazamento recente tá de uma base de dados do Brasil inclusive de brasileiros Aonde esse arquivo de texto que ele agrega esse que foi um recente tá esse que foi semana passada esse arquivo de texto que ele tá

agregando deixa eu ver aqui ó pera aí ele tá agregando olha isso aqui olha a quantidade nem sei se dá para ler tá de linhas e cada linha é a credencial vasada ele tá travando tá muito grande não é assim que você abre um um skl XT isso aqui tava transformando aqui fazer um experimento é basicamente assim a gente tem vários domínios que foram hackeados aqui tá tudo junto tá pessoal por exemplo Netflix e-mail senha Netflix todos os sites tá do Brasil de usuários do Brasil Telecom aonde tem e-mail senha e várias pessoas muita gente

muita gente mesmo tá talvez o seu por exemplo então o vazamento é isso aqui tá geralmente é em texto puro geralmente é um es é um site que foi foi hack de um site foi hackeado e vai and vários hackeamento né num lugar só na mesma Database então não tem mistério pessoal o vazamento é isso aqui tá é um arquivo que possui a base de dados o cadastro de todo aquele site e isso Vai juntando vai se agregando até ter eu tenho vazamentos aqui base de vazamento de 750 GB de arquivo de texto assim 750

GB de TXT de texto você tem ideia do que que é isso deixa eu te mostrar aqui olha só só PR tangibilizar tá ontem eu tava conversando com um colega que el tava conando uma base e olha isso aqui foi um vazamento recente que tivemos aí olha o tamanho dessa base do vazamento isso são credenciais tá pessoal e-mail e senha quer ver pera aí deixa eu achar aqui olha o tamanho da base aqui ó ele até falou assim falou cara não tô nem acreditando tirar um print Olha isso aqui não sei se dá para ler

aí mas olha só vê se dá para ler aí 245 milhões de linhas 245 milhões de credenciais site e-mail e senha site e-mail 100ha você tem ideia cara que loucura que é essa Você sabe o que é 25 milhões de linhas e a gente tava com uma dificuldade de gerar inteligência sobre isso né ele consegui fazer uma um Big Data paraa consulta que olha só ele conseguiu consultar essa base né uma credencial em 453 MS super rápido né enfim vou te mostrar na prática aqui um pouco disso acontecendo tá então gente a questão é essa

tá todo gente você é vítima eu sou vítima a gente já foi vazado seu e-mail certo beleza então o vazamento é isso não tem nenhum mistério aqui é um site que tem uma falha é uma um restaurante que comprou um sistema de delivery um softw para alguém instalar e você criou uma conta e foi vazado eh a empresa que você usa foi vazada pô não tô com APP watch eu usava antes Uma pulseirinha cara da Fit Beach comce fitbit é fit Beach né faz bastante tempo eu usava a pulseirinha da fitbit para cuidar da saúde

e tal e um dia chegou um e-mail para mim da da fitbit falando olha pedimos desculpas né fomos hackeados e nossa base de dados foi vazada eu falei cara todas minhas caminhadas calorias todo meu registro de para onde eu vou para onde eu fui Como assim eu parei de usar né tô usando Apple watch agora mas enfim é muito louco né o vazamento é isso pessoal desde a empresa pequena até a grande ela é hackeada e é vazada OK agora Bruno onde consultar um vazamento como saber se o e-mail meu foi vazado se uma senha

minha foi vazada tá vamos lá onde consultar juízo aqui tá gente meu objetivo não é que você saia por aí consultando vazamentos sem todo mundo tá é que você proteja as pessoas que você mostre para elas que você fale Cara essa sua senha foi vazada a minha senha foi vasada seu cliente tem senha vazada durante o processo de ptest investigação u objetivo Ok então onde consultar um vazamento vamos lá vou começar na paz aqui tá existe um projeto do B que você pode nele consultar se o e-mail já foi vazado have é um site super

famoso aí né super simples de usar esse site aqui Have been nesse site você insere o seu e-mail ou e-mail que você qu consultar eil username praga.net gmail.com faz com o seu aí tá vou botar o link aqui no chat ó para você consultar aí tá olha só vou dar um enter e Esse site é do bem tá gente é um projeto várias empresas mantém ele que ele vai falar ó Opa o seu e-mail já foi vazado em sete databases e foi encontrado 11 pastes 11 vezes que ele foi num arquivo de t num Fórum

em algum lugar compartilhado tá olha só Have been pounded botou e-mail ele falou isso aqui é uma empresa tá pessoal que ela tem como objetivo né ajudar as pessoas empresas Então ela eles estão sempre monitorando vazamentos e avisam se teve um vazamento tá Inclusive eu uso um serviço que é o One password pras minhas senhas One password consulta esse site aqui o Have been PED e se alguma senha minha mesmo que alertó tá foi vazada ele me avisa tá então só para ter uma ideia aí tá só que esse site é do bem né ele

não faz nada fora isso ele somente te fala se tá no vazamento ou não né ele não fala qual que é o vazamento então assim se você tá começando na investigação digital e vai gerar um relatório de inteligência uma blindagem e não sabe onde consultar a senha mesmo ou não tem um serviço pago você pode usar o para incentivar o seu cliente ali a mudar a senha né cara ir lá e alterar só que a gente consegue ler o vazamento também muito louco né Então isso que aparece aqui tá foi vazado isso aqui também como

que eu lei essa parada pessoal alguém mais aí teve resultado aqui no Have been PED Alguém mais foi vazado aí me fala no chat aí quero saber então ó uma coisa importante tá caso você não saiba o e-mail username telefone de quem você vai investigar cara pesquisa aí no Google hacking Hunter painel clandestino chega até o telefone até o e-mail até usuário aí tá que você precisa né para encontrar uma senha tem que ter um identific né OK beleza Como ler o vazamento então ó pessoal anixa te mostrar aqui isso é importante tá acontece muitas

vezes de você investigar alguém e você não encontrar um e-mail o e-mail da pessoa não tem vazamento só que se você usar uma busca reversa um painel Clandestino Um telefone você pode chegar até o e-mail mais antigo da pessoa um outro e-mail o que não é o e-mail que ela te passou e aquele e-mail pode ter um vazamento tá então é importante também você mapear todos os e-mails de uma pessoa né Então usa aí o painel clandestino usa o Google USA ferramentas de ocin para isso tá sempre mapei todos os e-mails eu já tive investigação

aqui que o cara tinha dois e-mails de trabalho né só que eu encontrei mais cinco e-mails o cara tinha s e-mails e um dos e-mails tava vazado a senha então assim é importante você ter ter quantidade né para analisar todos os e-mails realmente daquela pessoa beleza legal ou seja não é só um tá pô Olha só o meu e-mail atual que é esse aqui é o que eu uso hoje tá trabalhar para se comunicar tmail aqui ele não tem vazamento tá que legal porque eu t cuidando muito mais dele tá ele é de trabalho eu

só insiro ele onde trabalhar mas o e-mail mais antigo meu que eu usava antes que eu não uso mais tá offline Ele tá em S um outro e-mail meu o mais antigo ainda tá ele tá em sete também então Depende você tem que tá buscando aí agora se você pegasse só meui atual né você ia pensar assim pô o Bruno Fraga não tem vazamento né não foi vazado mas talvez o e-mail antigo é senha do atual enfim pesquise todos os e-mails todos os telefones todos os nomes de usuários OK agora aonde pesquisar hum mais uma

coisinha tá principalmente olha que louco muitas vezes o e-mail de recuperação do e-mail novo é o e-mail antigo e se você ent entra no e-mail antigo de uma pessoa ou no seu talvez você recupera o e-mail novo eu já fui hackeado assim cara não sei se eu falei PR vocês já mas um dia cara nunca eu tava aqui na Coreia né que eu fus horaro ao contrário eram umas 3 da tarde duas da tarde tava no sofá assim tava descansando eu tava no sofá e cara Eu senti alguma coisa ruim eu senti algo ruim cara

eu falei algo não tá certo é muito estranho porque eu senti algo realmente eu falei cara tem alguma coisa errada eu peguei meu celular fui abrir meu Facebook deslogou o aplicativo falei ué eu eu senti algo ruim mas não sabia que era um ataque tá pessoal nem um hackeamento nada eu só senti algo estranho abri o Facebook e deslogou eu falei que estranho né abri o Facebook de novo botei minha senha tal não entrou então entrei no meu e-mail o e-mail tava normal eu falei cara peguei os o telefone da minha esposa Fui ver meu

Facebook né se existia porque fazia muito tempo que eu não entrava tava a foto de um o cara entrou no meu Facebook fazia tipo uns 8 minutos e botou a foto de um pênis no perfil pênis tipo é hacker mesmo era era alguma coisa assim tá era um pênis na fta do perfil e fazia tipo 8 minutos que mudou cara eu falei Como assim só que eu acho que ele não sabia que eu tava na Coreia que era madrugada né aqui era dia no caso daí eu falei cara como assim eu fui lá investigar falei

cara como esse cara fez isso meu e-mail tava normal eu falei cara meu e-mail tá normal Caiu a Ficha eu criei meu Facebook com e-mail muito antigo não era meu e-mail atual era um e-mail cara muito esse e-mail que foi vazado que eu te mostrei aqui brunofabil daí eu botei o telefone que eu tinha tal tal tal tentei pediu a senha umas perguntas e entrei na conta quando entrei na conta eu vi os e-mails do Facebook assim sem alterada sem alterada acesso a conta eu falei cara que mancada Então olha só eu fui hackeado tá

porque o e-mail antigo foi vazado alguém entrou nele e logou no me Facebook porque era o e-mail de recuperação lá do Facebook e aí beleza então vamos lá continuando tá aonde consultar o vazamento onde o cara encontrou minha senha tá vou te mostrar vamos lá o herbin Power é um site do bem mas tem o site do mal né do mal não né pessoal a tem que usar o nosso favor porque usam contra a gente né Quais são os sites primeiro site mais popular que é pago esse aqui é pago ainda tá já vou te

passar o gratuito calma mas ele é um site muito estável ele nunca cai ele tá sempre lá o modelo de negócio dessa empresa é vender vazamento tá dehashed.com esse site aqui ele é pago tá porém send não sincero com você ele é muito barato Olha só ó você consulta durante uma semana ilimitado Olha só 5 somente tá nada mais do que isso com Ó você consulta no theh de forma ilimitada durante uma semana Pera aí que ele está carregando aqui não gostou de mim hoje né aqui ó 5 d uma semana de consulta tá após

você pagar e ativar sua conta caso você faça isso tá você vai inserir aqui na busca o e-mail tô logado aqui pera aí deixa ver se logado pessoal calma aí porque era PR mim tá logado aqui Eita gente só um segundinho tá que eu vou só pegar minha senha aqui para mostrar para vocês na prática que eu estou deslogado eu deixo me assim aqui no cofre de S só um segundinho aqui calma aí pessoal que eu vou só logar no sistema aqui e vocês vão ver ó quem quiser consultar um vazamento tá de graça aqui

escreve o e-mail no chat que eu consulto para você aqui se tem algum vazamento tá só digitar eil no chat que eu faço a consulta aqui eu falei que encontrar senha de alguém né Então escreve no chat aí olha só beleza estou com the rashed aberto aqui cara eu posso agora inserir Aqui tá um um e-mail né vou inserir aqui brof Fraga net @ Opa gmail.com e olha só ele vai trazer aqui os vazamentos que apareceu lá no theh se eu clicar aqui tá ele vai começar a trazer as informações e essa era a minha

senha daquele Facebook daquele e-mail que foi hackeado tá Security post ISO aqui era um telefone que eu tinha muito tempo atrás tipo quando tinha sei lá 14 15 anos eu usei durante um ano esse telefone era Security post esse aqui era meu telefone 968 9643 e Essa aqui era minha senha Gente pô tava lá no começo né não faria mais isso né mas foi aqui é vazamento consultado né alguém tem algum e-mail para verificar aí pessoal pode escrever no chat tá alguém quer verificar algum vazamento aí deixa eu pegar no Google algum e-mail aqui pra

gente testar site só pegar algum ó algum e-mail PR para testar aqui que ninguém escreve e-mail aí né Ó olha só este e-mail aqui tá que eu peguei no Google ele retornou pra gente un hash password que é isso tá gente para verificar o e-mail de vocês tem que escrever o e-mail de vocês no chat tá porque eu não consigo ver o eu não sei o e-mail de vocês ainda tá é o que que é esse hash and password tá o theh ele te entrega o vazamento do site o banco de dados que vazou se

o programador criptografa senha não tava em texto puro né já é alguma coisa boa né agora se não tava criptografado vai est em texto puro aqui a senha quando está criptografado você pode quebrar essa senha é você ver criptografia se é um md5 se é um cara você vai lá e quebra ela tá então tem um processo a mais aqui que é quebrar o hash Ok não sei se alguém digitou tá pessoal a senha aqui o e-mail porque não aparece para mim tá deixa eu ver aqui pera aí parece que eu tô parece que o

YouTube bloqueia aqui É YouTube apaga né ó ao invés de @ um hash assim ó a invés do @ escreve se e-mail com hash A tá deixa eu ver aqui se eu consigo pegar pelo chat do YouTube pera aí aqui ó o YouTube ele apaga ver eil de vocês ó põe um hash aí ao invés de botar um um ar Tá beleza vou pegar algum outro aqui só para ter como como prática tá ó este e-mail aqui de alguém vamos consultar então the hash é um site simples e faz aí olha esse e-mail cara a

quantidade de vazamento aqui ó Peguei do Google tá gente alertó e-mail senha cara importante gente muito importante esqueci de falar isso no The rashed não é somente a senha tá muitas vezes na investigação eu não encontrei a 100 em texto puro mas eu encontrei algo muito mais inteligente o quê nome de usuário da pessoa no banco do sistema endereço IP porque se no vazamento vazou também o endereço o IP nome da conta nome completo aparece aqui também tá então quando foi vasado por exemplo a base de dados do descomplica tinha seu nome seu CPF seu

e-mail tudo isso foi vazado e tá atrelado àquele identificador tá então não éessa sobre asenha tá olha só has password usuário daquela pessoa posso agora tentar encontrar esse usuário de quem é certo então vamos ver aqui usuário e-mail nome password usuário Olha só username password telefone has password telefone nome certo então gente é muito importante né a gente entender que cara isso aqui é um programador esse cara aqui ele é um programador parece que louco ó mais um só tá esse aqui por último Então uma coisa interessante também do The Rest tá gente que você

pode pesquisar não somente um e-mail mas um domínio por exemplo itao.com.br eu posso consultar vazamentos de um domínio de uma empresa Isso é muito bom para encontrar na sua empresa onde você trabalha se se alguém usou um e-mail corporativo foi hackeado Cara isso aqui tem que ser rotina de uma empresa tá ao menos de 40 em 45 dias você fazer uma consulta para ver se algum colaborador da empresa não foi hackeado se não teve um vazamento tá Então olha só itau.com.br eu tô pesquisando se na base de vazamentos tem algo do domínio Itau e todo

colaborador que em algum momento tá usou o domínio Itaú Ricardo em algum site que foi hackeado né Olha só o Juan Gimenes @u essa era a senha dele o Aldo a Natália num site que ela usava ó do LinkedIn quando o Linkedin foi hackeado O Thomas teve assim a exposta em hash então ter esse monitoramento ele é muito importante tá olha senha da da Jenny seguro então pegar sua empresa verificar o seu domínio né é muito importante você fazer isso sempre tá no Adobe Esse e-mail foi hackeado vasado no Adobe sempre faça aí essa essa

consulta tá gente dá um ok aí se deu para entender do The hashed ele é um site pago Tá mas que ajuda aí a consultar senha já encontrei muita senha vazada já fiz relatório de inteligência para um CEO que a senha dele tava no The Essa é sua senha sim essa é e foi no The que eu encontrei tá a senha do jornalista da Record Durante a entrevista eu abri o e-mail dele no The H apareceu a senha dele falou cara e a senha dele vazou num site de leilão de móveis não não acho que

era uma rádio online web rádio não lembro agora tá mas as vezes tá o der a gente consegue informar aqui ó a fonte Olha esse site aqui ó ó esse site vazou Qual que é o nome heon web que que étron web deixa eu ver que site que é esse aqui Opa a princípio tá até offline esse site já ver heon web não sei o que que é isso Não mas esse site ó vazou o e-mail dessa pessoa aqui login dela Olha só cá heon web então às vezes aparece também aqui ó olha esse aqui

diário Dio dias leis.com.br esse site diariodasleis.com.br foi vazado aí também tá então tem que ter esse monitoramento ativo aí acontecendo sempre Ok beleza theed é um dos Sites que consulta hoje vazamentos tá outro site para consultar vazamentos seus de uma empresa para tirar isso do ar né para mudar a senha para você conseguir apresentar um relatório de Pain test de blindagem de inteligência falar cara Olha só pessoal seguinte Vamos sentar aqui a senha vazada desse colaborador essa senha precisamos mudar precisamos usar um gerador de senhas precisamos usar senhas únicas para cada serviço porque assim a

todo instante vazamento acontece ol ess vazamentos aqui sit tudo certinho né É você usar isso implementar a seguran na a segurança da pessoa A sua também né outras alternativas tá o maior é o intelx.io cara é o site que mais agrega vazamentos porém ele é absurdamente caro 3000 por ano mas é o principal site para encontrar vazamentos tá porém ele é 3000 por ano é caro você consultar nele de graça não mostra para você o vazamento tá ele só mostra aqui ó é ocultado né informação mas aqui você pode consultar gratuitamente aí né ver se

tem um vazamento inclusive ele informa tá a Pet do arquivo que foi vazado Fata Brasil Mais kells Brasil tal com Ruiz a base do Ruiz brasilcard Brasil tá ópera full Database Então você consegue ver arquivos né que vazaram a aquele endereço Ok outro site gratuito que estava offl voltou ATRS o Ter rock tá ele tá redirecionando para esse serviço o responsável pelo searching list ele tirou o site do ar só que a comunidade voltou aí em outro servidor né esse site ele é gratuito ó vou dar uma atividade para vocês tá pessoal abram esse site

aí abra esse site aí ó e digita aí muda para e-mail aqui tá ó e-mail e digita aí o seu e-mail atividade prática enquanto tomo água tá abre esse site aí e digita nele o seu e-mail tá escreve aqui ó e-mail e digita nele aí o seu e-mail e me fala se alguma coisa vai aparecer quero saber de vocês aí olha isso aqui até mais do que o outro lá vamos lá para vocês tá abre esse site aqui e digita nele o seu e-mail vou esperar aqui tá vou esperar botei o link no chat aqui

tá ó o link está no chat para vocês e tá fixado na tela aqui também vou esperar tá vou aguardar um pouquinho aí vou dar um minutinho abram esse site e escrevam aqui se encontrou alguma coisa aí quero saber é um site gratuito tá gente às vezes ele cai às vezes não cai tem que tentar sempre né quero ver blindado é mas procura mais um e-mail antigo né não vai pegar um e-mail de D ano recente e tal pesquisa o nome de usuário pesquisa algo mais antigo aí tá duas informações olha só a senha criptografada

boa apareci uns trens aí então qual que é a questão tá gente o meu username e-mail vazou Zero criptografada ao menos isso né porém Caso seja um alvo direto direcionado alguém pode tentar criptografar né OK então qual que é a ideia aqui tá pessoal você consegue nesse site também fazer gratuitamente consulta aí a Vaz é um projeto da comunidade é um cara que mantém lá tinha caído tá voltou agora no outro servidor mas rapaz Caiu a casa deu ruim molou então qual que é a questão tá gente olha só o meu aqui por exemplo né

aparece vazamentos né do do Intel exel link aqui mas aparece também ó nome e sobrenome dessa base de dados aqui ó nome e sobrenome aparece meu cara isso aqui é meu nome de usuário muito tempo atrás cara quando eu comecei a usar internet a pesquisar hacking era esse usuário aqui Bruno frag net usava do Twitter é um e-mail muito antigo né de muito traço aí ou seja vazou meu número informações do dis vazada o meu vazou meus dados é pessoal cinco vazamentos então é um dos sites para você utilizar tá agora outro serviço extremamente poderoso

e gratuito tá é o Universal search Robot é um canal do Tel que tá bombando aí é gratuito aproveitem não cai tá deixa eu abrir meu telegram para vocês visualizar aqui esse canal el esse boot né aqui é o boot esse boot tá ele pesquisa aqui ó telefone e-mail faz Busca reversa de usuário também e para utilizar ele dei um exemplo aqui ó eu inseri meu e-mail né Bruno frag net Gmail e ele trouxe ó encontrei sua foto de usuário que eu usava antigamente encontrou também no duoling com vazamento vazamento aqui vazamento aqui o trelo

o github então você pode entrar nesse boot aqui tá enviar um e-mail o nome completo que ele também vai consultar em várias fontes e vai te trazer aí todos os vazamentos seu tá pode ser um IP pode ser uma imagem cara ele faz pesquisa do que você quiser você bandar uma foto para ele ele vai investigar foto para você se você mandar um domínio ele vai investigar o domínio um carro também é um boot do telegram que você pode usar aí e ele é Fodástico sério ele é muito bom mesmo e cara tipo é é

muito louco tá recomendo aí que você use né O link tá aqui na apostila de vocês é gratuito por enquanto por enquanto porque às vezes cai né Então tá bombando hoje esse bo aqui para fazer pesquisas outro site que é pago mas não tem por se você paga o theh tá que é o le check é uma empresa bem famosa também e ela compartilha as databases que ela agrega né deum site Olha só app ticket ela fala as bases de dados que vazou que ela tem aqui disponível né app ticket instante virtual Pharma delivery home

refel vaquinha Então são dominios.com.br que foram vazados que ela possui aqui agregado para você consultar estes estes eh olha A quantidade de e-mail que tem na vaquinha cara então se você tinha uma conta na vaquinha tá vazado aqui o seu as informações da sua conta lá tá bom ou seja são algumas ferramentas tá 1 2 3 4 ferramentas aí para consultar vazamentos posso dar um passo além aqui mas quero antes saber de vocês como que tá aí a aula tá legal está dando para entender vou falar como se proteger já já mas me conta no

chat aí de 0 a 10 Como que tá a aula eu vi algumas pessoas escrevendo no chat que a aula tava muito Como que fala não é agressiva eh tava muito tava errado né o conteúdo Como pode mostrar isso gente eu acredito muito tá muito mesmo que quando eu não mostro isso para vocês ou pro meu cliente ou no serviço que eu presto Isso vai ser usado contra meu cliente contra você se eu não reporto uma senha vazada alguém que quer hackear ele que realmente quer encontrar senha para hack a fará agora se eu reporto

né pro meu cliente Ó sua senha foi vazada antes de alguém encontrar e explorar eu evito de ele ser invadido Esse é um trabalho Esse é o trabalho né de um durante um Pain test durante um teste de segurança durante uma auditoria durante uma blindagem durante um relatório de Inteligência é isso que se faz né esse canal aqui ele tem como objetivo formar hackers investigadores esse que é o nosso objetivo aqui tá talvez você fale mas ok mas é um conteúdo que deveria ser pago ser restrito aos alunos que pagaram para aprender eu não acredito

que o o ato de o o pagar né ele classifica alguém que vai ser profissional ou não não acredito nisso tá é porque o cara pagou eu posso ensinar ele não certo ó OK boa então se estão gostando aprenderam isso que é importante legal eh até porque gente tem gente que me oferece muito dinheiro tá para aprender coisas ou fazer coisas que eu sei que eu tá pagando para fazer coisa errada ela quer me pagar cara uma quantidade de dinheiro absurda talvez eu não consiga nem contar para fazer algo para ela ou para mostrar para

ela como fazer algo eu não faço não é sobre não é o pagar que vai te dar acesso a um conhecimento entendeu eu não acredito nisso eu acredito não não faz sentido isso entendeu de ser privado só para quem pagou Beleza então vamos lá agora qual que é a questão aqui né ó legal esse site eles consultam senhas porém calma aí pessoal agora tem um um Agora vai ficar um pouquinho mais louca essa parada só que esse vocês não vão ter acesso mas eu quero mostrar tá que envolve também vazamentos que eu preciso fazer sempre

numa empresa eu preciso deixa eu entrar no site aqui pera aí Preciso sempre fazer essa consulta também tá aí pronto olha só que é deixa eu voltar minha tela legal esses sites agregam vazamentos de credencial Mas você pode caçar não credenciais mas comprar dispositivos hackeados acessos a um certo serviço existem Hoje existe hoje no mercado negro aí que a gente chama que é os Dark markets são mercados aonde o que é vendido não é a senha é o aparelho da pessoa então da forma que eu comprei a senha do e-mail digamos na consulta ali né

Oi @ banco.com.br eu não quero consultar isto não quero comprar senha disso eu quero comprar o dispositivo que tem acesso a isso aqui comprar o smartphone da pessoa hackeado seria possível isso seria possível seu Android agora estar hackeado ter sido feito download seu computador mostrar vou te mostrar por dentro aqui o que é Dark Market russ Market é russo e é uma plataforma onde é comercializado dispositivos hackeados então eu posso por exemplo aqui aqui em V buscar logs aqui tá gente aqui tem de tudo tá tem cartões cara é sinistro Mas eu posso aqui agora

buscar por exemplo um domínio específico Será que algum aluno V botar aqui [Música] eh faculdade login ó Será que algum aluno que faz login nesse site aqui ó Croton como que eu uso isso tá gente eu uso isso muito PR para identificar domínios internos de uma empresa se algum colaborador for hackeado tá deixa pegar algum exemplo aqui ó ó que que a gente precisa para fazer esse tipo de análise tá a gente tendo aqui domínio deixa eu te mostrar aqui pera aí como que eu faço esse tipo de análise tá só a gente tendo um

domínio tá por exemplo Digamos que a minha empresa né que meus colaboradores eles entram nesse site aqui aqui é um domínio interno perceba um domínio que nem todo mundo sabe que existe é um domínio interno da aplicação do sistema vou aqui pera aí que travou o computador aqui é um domínio interno do sistema né eu posso pesquisar se algum dispositivo hackeado em todos os computadores smartphones hackeados que estão à venda aí se algum deles tinha credencial de acesso a esse domínio aqui logo eu posso encontrar um colaborador da minha empresa que foi hackeado e eu

vou te explicar como que eu encontrei tá um amigo no dia seguinte que ele foi hackeado aqui nesse site vou te mostrar vou te explicar como que foi tá mas olha só beleza se esse aqui é o site eu quero verificar eu dou um pesquisar e ele vai me trazer aqui todos os dispositivos hackeados que possuem histórico credencial nesse domínio aqui e assim você pode encontrar na sua empresa se algum colaborador da empresa foi hackeado pegando um domínio interno da empresa sabe tipo o intranet.empresa.com.br bar painel você pega um domínio interno ali e consegue consultar

e ver se alguém foi foi hackeado gente eu já tive casos aqui tá aonde toda a Polícia Civil de um estado tava comprometida Porque encontramos um sistema interno da polícia tá dispositivos hackeados com acesso a ele aonde conseguia conseguir até mover um Detento né move esse cara para t o presídio sistema de gerenciamento ali do acho que caiu o site pera aí calma aí Acho que muita gente abriu aí Ixi muita gente abriu pessoal caiu o site ali tá Depois eu mostro uma outra Live tá Acho que muita gente abriu o site junto aí e

derrubamos o site né enfim Qual que é a parada tá gente vamos lá vou esperar voltar um pouquinho aqui tá daqui a pouco já volta e eu ia te mostrar agora né o rusa market o Genesis Mark ele foi fechado tá pelo pelo FBI não está mais o FBI derrubou o site tá então não está mais disponível o Pax Roll não mostro que ele é muito forte nem recomendo que vocês abram porque tem muita gente T hackar quem acessa é muito perigoso caso volte até o final da aula eu pesquiso aqui de novo mas é

o seguinte tá se voltar eu faço a pesquisa Esse era o conteúdo da aula de hoje que que eu vou fazer aqui tá que eu prometi no começo da Live para quem tá vendo o replay não sei se vai est disponível ainda eu fiz um mural de livros do técnicas de invasão e cara eu quero realmente tem mais gente aqui no mural Olha só então em aulão ao vivo tá toda semana quinta-feira eu vou liberar 20 livros do técnicas com frete gratuito por r$ 7 cara preço de custo para quem quiser garantir um livro aí

tá então vou liberar aqui agora no chat esse link para quem quiser ter um livro R 27 é realmente o valor da impressão ali da da logística do envelope e tal e é realmente porque eu quero crescer esse mural aí quero ter maior mural de leitoras de livro do Brasil então a única coisa que eu peço tá ass livro chegar para você cara manda uma foto para mim marca nos Stories @bruna PME que vai ser uma honra poder botar você no mural aí junto com a gente tá deixa eu pegar aqui o link para quem

quiser garantir o livro vou liberar aqui 20 livros tá durante a Live calma aí ó este aqui é o link para quem quiser garantir um livro tá testar aqui o link tá funcionando mesmo né calma aí rapidinho ó é só preencher seu e-mail nome celular CPF você põe o CP tá que ele vai o frete gratuito tá gente demora até 18 dias dependendo em que lugar do Brasil você mora por eu falo isso tá quem mora muito longe de São Paulo demora às vezes 18 dias tá São Paulo demora 10 mas você pode pagar o

frete se quiser tá tem você pode pagar o pack o correio e tal o frete gratuito só demora um pouquinho mais porque é um flash gratuito né gente é uma postagem o estilo carta né então demora um pouquinho mais para chegar não é três dias é não é cedex Tá ok então quem quiser o livro aí r$ 7 durante a Live vai estar disponível aí tá bom feito isso a postagem é feita no dia seguinte tá você recebe o código de rastreio e tal tudo esperar voltar aqui ó voltou Então feito isso tá o livro

tá rolando aí para vocês vou deixar o link fixado aqui na na Live pera aí como que eu abro essa Live aqui pera aí vou deixar o link fixado aqui para quem quiser o livro dando Eco pera aí pessoal que perdi o link calma aí gente achei vou deixar o link fixado aqui tá para quem quiser e pessoal por enquanto é issoa Mark abriu né vou pesquisar para vocês ver Calma aí ó O link tá fixado aí deixa eu ver o r Market abriu ó abriu tá agora vou pesquisar então aquele domínio novamente o.com.br pesquisar

vamos ver olha só não encontrou nada deixa só fazer uma coisinha acho que tá com esse tá meio estranho esse http aqui pera aí calma aí tá tá bugado aqui assim vai ah pronto então assim ó ele encontrou tá dispositivos computadores que estão que possuem acesso à aquele Croton né Então olha só login Croton possui login Deixa eu tirar esse link daqui possui login senha Facebook são todos os sites que esse compador que foi hackeado possui acesso tá olha só olha que louco cara pro unifies Croton login Croton então eu posso pagar literalmente 10 e

fazer download desse computador com todos os dados com tudo de acesso a WiFi cadastro escola então quando eu compro né um download um dump eu tenho acesso ao a senha em texto puro histórico navegador da pessoa tudo aqui da da conta dela tá eu já usei muito isso eu nunca vou esquecer um ecommerce que eu atendi gigante o e-commerce tá e ele foi hackeado o YouTube deles né e ninguém entendia o que aconteceu foi fizeram uma live de Bitcoin no canal deles eu cheguei lá primeira coisa que eu fiz pessoal tem algum domínio interno aqui

da empresa tem peguei o domínio botei noar apareceu o computador ali eu falei cara alguém com acesso ao domínio interno foi hackeado vi que era recente comprei o vazamento 10 e quando eu baixei o vazamento quando eu abri tinha um print do computador do videomaker instalando o Sony Vegas porque quando o computador é hackeado Tá tira um print da tela na hora que é hackeado e o cara tava instando um Plugin do Sony Vegas e foi hackeado Então mostrei pro cara ó pessoal tá aqui essa máquina da empresa que foi hackeada tá aqui vazou os

acessos tudo do YouTube porque el tinha acess YouTube né como que funciona o vazamento deixa eu te mostrar aqui ó deixa eu pegar algum que eu tenho aqui gente como eu falei tá eu uso isso para sempre que eu vou eh sempre que eu vou relatório de inteligência eu sempre compro vazamento eu consulto eu encontro funcionários hackeados e sempre reporto paraa empresa isso tá então é muito importante fazer isso tá encontrar também um um colaborador que foi hackeado aí vamos esperar um pouquinho aqui ó Quem tá comprando o livro tá pessoal tá chegando aqui já

o as compras de vocês deixa eu ver acho que passou de 20 Eita passou de 20 eu vou encerrar o link já tá S te mostrar aqui aqui ó Dea te mostrar como que é um vazamento só para você ter uma ideia tá olha só deixa eu pegar vou abrir dois aqui aqui então só deixa eu só cuidar o que eu abro aqui pessoal calma aí só para você ver ter uma ideia aqui ó olha só isso aqui é um vazamento tá isso aqui foi um arquivo comprado né um ele vem compactado se descompacta ele

e tem um screenshot da tela da pessoa quando foi hackeada Então esse usuário aqui ó ele baixou um arquivo na hora que ele executou pum tudo do computador dele foi haqueado aqui daí aparece ó as senhas do navegador eh os processos do computador que esta rodando naela hora informações do computador eh Cook sessões senhas do navegador tudo aparece você compra né o hackeamento daquele computador então gente por enquanto é isso tá eu acho que essa foi Opa essa foi a nossa aula de hoje eh para quem está garantindo o livro até o final da Live

Tá disponível no replay não sei tá Tenta aí e é isso aí pessoal Muito obrigado a todos que participaram todo aulão Tá vou trazer um uns 30 livros aí para para enviar para vocês aqui ó ó o livro do técnicas de invasão para quem perguntou se está atualizado tá o livro ele é de fundamentos tá atualizado 100% algumas ferramentas tá pô de mês em mês muda mas assim que você compra Eu Sempre mando um conteúdo apó você receber o livro e tal de atualização tá po pode ficar tranquilo que eu mando e-mail PR os leitores

sempre que sair alguma coisa nova aí o meu tá até rabiscado aqui ó Mas enfim pessoal por enquanto é isso tá muito obrigado a todos pela participação na aula aí de verdade espero que tenha gostado gostaram e Espero te ver quinta-feira que vem para mais uma aula Lembrando que vou enviar no telegram de vocês lá no canal vou enviar a apostila com os links algumas anotações que eu fiz aqui esteja no canal do telegram para entrar no canal o link está na descrição aqui do YouTube a melhor forma de você agradecer por essa aula você

que curtiu aí tá é fazer um Stories é marcar no Instagram @bruna Este é o meu Instagram tá aqui ó deixa botar aqui @bruna cara tira um print da tela aí tira um faz um um print marca no Instagram que é incrível Sempre quando você marca você compartilha com os amigos quinta-feira que vem temos mais uma aula aqui 8 horas da noite muito obrigado pela presença de todos e te vejo quinta-feira que vem para mais conteúdo de hacking e investigação digital aqui o Bruno Fraga um grande abraço e espero que tenha cumprido com a proposta

lá no início da Live quero te mostrar a forma mais fácil de descobrir a senha de alguém tentar descobrir né e perceba que não hacke nada aqui não quebramos nenhum Pilar de segurança digamos assim né na no braço ali nem abriu C Linux não fiz ataque nada foi hackeado tudo foi pesquisado encontrado É isso aí te vejo uma próxima Live quinta-feira que vem no próximo aulão fui muito muito obrigado anything you want anything you need your mind goty ing