Na era digital, em que as informações fluem por meio de várias plataformas on-line, a capacidade de investigar e discernir a autenticidade das fontes torna-se fundamental.

Neste post, falaremos sobre os sock puppets ("fantoches" em tradução livre). Explicaremos por que esses elementos são fundamentais antes de qualquer pesquisa de OSINT e por que devemos saber como detectar e observar os sock puppets durante a busca de informações.

O que são "Sock Puppets"?

Sock Puppets são identidades ou perfis fictícios usados para obter anonimato em fóruns de discussão, plataformas de comentários, redes sociais, serviços de e-mail, entre outros.

Esses perfis são apresentados como usuários genuínos, mas são controlados por uma pessoa ou instituição que pode ser um criminoso tentando enganar, manipular e influenciar a percepção das informações, mas também podem ser usados por um pesquisador de código aberto.

"Sock Puppets" como uma ferramenta para pesquisadores

Os sock puppets permitem que os pesquisadores ajam sem serem descobertos ou deixarem rastros de seu trabalho; com esses perfis, eles evitam acessar de contas pessoais e serem rastreados. Esse anonimato normalmente é acompanhado do uso de outros recursos, como VPNs ou proxies, para ser mais eficaz.

Uma vez criado o sock puppet, o pesquisador pode se identificar em sites, fazer pesquisas em redes sociais, rastrear dados e pessoas, infiltrar-se em fóruns, comunidades ou contatos-alvo. Ele pode observar seus alvos à distância ou de pontos mais próximos e acessar informações, como relatórios, em sites que solicitam um e-mail.

Não se trata apenas de criar uma conta fictícia, pois alguns fóruns e comunidades exigem antiguidade para participar ou acessar determinadas informações. Nestes casos, é necessário considerar o uso de contas que tenham mantido atividade ao longo do tempo em várias comunidades e aplicativos; quanto mais antigas forem as contas e quanto mais atividade elas tiverem, mais naturais elas parecerão e, portanto, serão menos suspeitas.

É importante ser estratégico e preciso ao criar essas contas - quais redes fornecem mais informações, quais aplicativos são mais usados atualmente? Essas são algumas perguntas que ajudam a discriminar onde criar contas, como mantê-las e se elas serão temporárias - contas ad-hoc que não exigem manutenção e são descartáveis - ou contas de longo prazo que precisam ser alimentadas e mantidas com informações.

Também é importante entender a natureza do serviço em que precisamos criar uma conta. Se, por exemplo, o pesquisador precisar usar um perfil do LinkedIn - que é uma mina de informações - ao tentar observar um alvo, ele precisará saber que o usuário alvo será notificado de que visitou seu perfil - tudo dependendo das configurações de cada conta. Se essa visita for feita a partir de um perfil recém-criado, por exemplo, você levantará suspeitas. Além disso, a plataforma exige um determinado volume de atividade e número de contatos para visualizar algumas informações, e é nesse ponto que um bom sock puppet com anos de interações pode servir a esse propósito.

Classificação dos Sock Puppets

Podemos classificar os sock puppets em dois tipos: os de natureza ad-hoc temporária, que servirão para conseguir algo específico, como registrar-se em um site, deixar um e-mail, fazer download de algo etc.; e os de natureza de longo prazo, que exigem manutenção com anos de atividade em redes sociais como Facebook, Twitter ou LinkedIn, ou em comunidades de interesse, como filtragem de dados ou fóruns de hackers.

Vamos dar uma olhada nas características e considerações de cada tipo de conta e na função que elas desempenham em uma pesquisa:

Características de um Sock Puppet temporário

Essas contas servirão apenas por um curto período de tempo e não exigem tanta consideração ao serem criadas, pois são descartadas após o uso.

O caso mais comum é quando você precisa deixar um endereço de e-mail para fazer download de um documento de um site que pode ser de interesse para sua pesquisa, ou também ao precisar se registrar em um site para acessá-lo e dar uma olhada geral no conteúdo da página web. Para esse último caso, basta criar uma conta no site de destino com dados aleatórios; podemos usar serviços de contas temporárias como Gmailnator, Temp-Mail ou Yopmail.

Características de um Sock Puppet de longo prazo

Essas contas geralmente precisam ser criadas nas principais redes sociais e exigem mais esforço, pois por trás de cada conta você precisará criar uma identidade tão genuína quanto possível, gerando atividade na conta. Quanto mais antigas elas forem, melhor se passarão por contas legítimas.

Especificamente, estamos falando de contas que passam despercebidas e para as quais será necessário criar uma história que inclua nome, sobrenome, profissão, local de residência, interesses, comentários, publicações e até mesmo fotos.

Todas essas informações devem compor uma biografia em que é importante ser específico com os dados e, ao mesmo tempo, deixar as informações em aberto: informar sobre uma atividade, por exemplo, mas não sobre quando e onde. Isso dará mais trabalho para alguém que esteja fazendo contrainteligência nesse perfil falso.

Ao usar fotos, o mais lógico é pensar em utilizar ferramentas de IA para gerá-las, mas isso não é recomendado, pois é muito fácil validar se uma foto foi criada com essa tecnologia ou não. Nesse ponto, a criatividade e a experiência permitirão que o pesquisador decida qual imagem usar para não ser traído e evitar uma contrainteligência bem-sucedida.

É claro que os sock puppets são criados e trazidos à vida muito antes de serem necessários para uma pesquisa; quando chegar a hora de pesquisar, precisaremos deles operacionais e bem constituídos. Graças às medidas tomadas pelas redes sociais e aplicativos para monitorar a presença de bots e contas falsas, está se tornando cada vez mais difícil gerar esses perfis e eles precisam ser feitos mais manualmente.

Considerações sobre o gerenciamento dos sock puppets

As contas temporárias não exigirão muito esforço. As contas de longo prazo precisarão ser mantidas em mente e gerar atividades regulares, além de ter uma agenda que organize essas atividades: quando fazer login e visitar outras contas, marcar publicações como favoritas, fazer alguns comentários que não gerem ruído e fazer isso em dias e horas fora de ordem para dar uma impressão mais natural e emular o comportamento humano da forma mais real possível.

Com esse tipo de prática, você evitará os mecanismos de controle e exclusão de contas falsas pelas redes sociais e também de ser descoberto caso alguém execute uma contrainteligência, algo que, em qualquer pesquisa, devemos presumir que sempre ocorrerá.

O anonimato não é coberto apenas pelo uso dessas contas sock puppet, mas também é necessário usar VPNs, proxies e navegar fora de seu ambiente pessoal. Você pode ter um computador especificamente para essa finalidade ou pode ter uma máquina virtual (VM) na qual você só realiza tarefas de pesquisa.

Nessa máquina, você pode instalar ferramentas para gerenciar os sock puppets, como o Keepass para gerenciamento de senhas, ou os Firefox Multi Account containers  para separar as diferentes contas on-line e trocá-las; ou o Firefox Profile Manager e, assim, escolher o que você precisa para a pesquisa.

Entre todas essas considerações, algo que nunca falha é ter papel e lápis, escrever as biografias e outros dados em um dossiê com todos os sock puppets e tê-lo à mão, pois é importante lembrar-se de cada história e evitar erros que nos coloquem em evidência.

Embora isso possa parecer tedioso, é importante que cada sock puppet tenha seus próprios e-mails, senhas, contas de sites e, sem organização, em algum momento tudo se torna incontrolável.

Os sock puppets em ação

Depois de criar a história de fundo de um personagem, é importante que você reúna informações suficientes sobre seu alvo antes de começar a pesquisar. É aconselhável que você faça isso usando várias contas para evitar o rastreamento, caso alguém faça uma contrainteligência.

Antes de começar, é importante que você entenda os limites e o escopo dos sock puppets, pois não se trata de pesquisar aleatoriamente, mas tudo deve ser pensado e ter um motivo, pois qualquer comentário ou visita não calculada pode complicar ou estragar a pesquisa.

Ao pesquisar, a experiência do operador é importante, pois ele poderá intuir a melhor estratégia de comunicação, por exemplo, que seus sock puppets estão relacionados uns aos outros para atrair a atenção do alvo.

Nesse estágio, é necessário não se sentir tentado a fazer contato direto com o alvo, mesmo com sock puppets, e tomar todas as precauções de segurança habituais. Além disso, não se esqueça de que, se fizermos contato para descobrir informações que não são divulgadas publicamente, estaremos saindo da esfera da OSINT, o que pode levar a complicações legais e comprometer a utilidade do nosso sock puppet que trabalhamos tanto para manter. Devemos ter isso claro como premissa antes de colocar qualquer pesquisa de OSINT em ação, pois OSINT não é HUMINT ou IMINT, é tudo o que é obtido publicamente e, a partir desse ponto, faz ainda menos sentido fazer contato direto com um alvo.

Sock Puppets como uma ameaça em uma pesquisa

Aprendemos os conceitos básicos dos sock puppets e como eles podem ser usados em uma pesquisa de OSINT. No entanto, também fornecemos algumas chaves para evitar que você, como pesquisador, caia em contas de sock puppets que podem ser usadas por pessoas que estão fazendo contrainteligência ou têm propósitos criminosos. Em uma pesquisa, saber como identificá-las é crucial e, para essa tarefa, é importante considerar o pensamento lateral, que, em termos de segurança, é essencial para ser eficaz e expandir nossa atividade de jogo.

Quem defende deve saber como pode ser atacado, e quem ataca deve saber como defender seus alvos (Blue Team/Red Team), situação que transforma qualquer área de segurança em um desafio constante e onde a experiência e a criatividade dos especialistas fazem a diferença entre os resultados obtidos.

Identificação de possíveis "Sock Puppets"

Os Sock Puppets representam uma ameaça à integridade das informações on-line. No contexto da pesquisa OSINT, sua detecção é essencial para garantir a confiabilidade e a credibilidade dos dados coletados e ajudar a garantir a precisão.

A identificação precoce desses perfis fictícios permite que os pesquisadores filtrem a desinformação e preservem a autenticidade no processo de coleta de dados, pois a manipulação de informações pode ter consequências significativas para a tomada de decisões.

Considerar que sempre encontraremos esses perfis nos dará uma maneira diferente de observar, e não "compraremos" a primeira coisa que aparecer sem antes verificar as informações.

Para identificá-los, você pode:

  • Observar a análise do padrão de comportamento: Os sock puppets tendem a seguir padrões de comportamento semelhantes. A atividade deles pode revelar falta de autenticidade, como replicação de mensagens, interação entre perfis falsos ou falta de interações com usuários reais;
  • Examine os detalhes do perfil: a falta de informações pessoais detalhadas, fotos genéricas desenhadas por IA ou imagens de bancos de imagens e a ausência de interações humanas autênticas podem ser sinais de alerta;
  • Faça verificação cruzada: a comparação das informações fornecidas por esses perfis com outras fontes e a verificação cruzada da autenticidade de imagens ou dados podem revelar inconsistências. Essa tarefa é muito importante para validar as informações que estamos coletando.

Vantagens e desvantagens dos sock puppets na pesquisa de OSINT

A essa altura, você já deve ter tirado suas próprias conclusões, mas devemos concordar que os sock puppets, além de serem a primeira etapa de qualquer pesquisa de OSINT, têm outras vantagens, como o anonimato e a proteção por trás de uma pessoa fictícia; a possibilidade de criar um relacionamento com uma fonte sem ter contato com ela, fazendo com que ela nos conheça e saiba algo sobre nós, o que significa que não somos completos estranhos escondendo nossa verdadeira identidade; e algo não menos importante é que, se os sock puppets forem bem gerenciados, podemos considerá-los como agentes externos ou agentes a serviço de nossa pesquisa com a capacidade de pesquisar e se infiltrar sempre que necessário.

No lado negativo, é fácil ser descoberto como um sock puppet caso não seja cuidadoso com o que faz - como não ocultar seu IP, usar imagens triviais ou não ter um sistema de gerenciamento de contas decente que tenha perfis específicos para cada finalidade; é preciso tempo e esforço para criar e manter uma nova persona, e é nesse ponto que muitos pesquisadores desistem e o sock puppet perde valor e se torna mais identificável para terceiros.