Capa do Ebook gratuito Investigador de Polícia Civil: Teoria, Prática e Técnicas de Investigação

Investigador de Polícia Civil: Teoria, Prática e Técnicas de Investigação

Novo curso

16 páginas
Todos os cursos > Concursos > Polícia Civil ::

Investigação Digital e Crimes Cibernéticos no Contexto da Polícia Civil

Capítulo 11

Tempo estimado de leitura: 14 minutos

+ Exercício

Panorama operacional dos crimes cibernéticos na Polícia Civil

Investigação digital é o conjunto de procedimentos para identificar autoria, materialidade e dinâmica de fatos praticados por meios eletrônicos (internet, aplicativos, redes sociais, e-mail, serviços em nuvem e dispositivos). Em crimes cibernéticos, o “local” do fato pode estar distribuído: aparelho da vítima, contas online, provedores, intermediadores de pagamento e registros de rede. O objetivo prático é transformar rastros digitais (logs, metadados, URLs, cabeçalhos, identificadores de conta e transações) em elementos documentados, preservados e passíveis de verificação.

Ocorrências comuns no contexto da Polícia Civil incluem: fraudes digitais (golpes de pagamento, marketplace, falso suporte, phishing), invasões e acessos não autorizados, perfis falsos e impersonação, extorsões com conteúdo íntimo, difamação/injúria em redes, sequestro de contas, e crimes envolvendo criptomoedas. A atuação deve combinar: (1) coleta inicial correta, (2) preservação de evidências, (3) requisições/ordens para obtenção de dados, (4) análise técnica e (5) relatório descritivo com distinção entre indícios e prova técnica.

Conceitos essenciais: rastro, evidência, indício e prova técnica

Rastro digital

Rastro digital é qualquer registro gerado por uso de sistemas: mensagens, publicações, arquivos, registros de acesso, metadados (data/hora, ID de dispositivo), logs de servidor, dados de transação, e cabeçalhos de e-mail. Nem todo rastro é evidência; ele precisa ser coletado e preservado de forma adequada.

Evidência digital

Evidência digital é o rastro digital coletado e documentado com integridade e contexto, permitindo reprodutibilidade e auditoria. Exemplo: captura de tela acompanhada de URL completa, data/hora, identificação do dispositivo, e método de coleta, além de preservação do arquivo original (quando houver).

Indício x prova técnica

  • Indício: elemento que sugere uma hipótese, mas pode ser ambíguo. Exemplo: um perfil com foto e nome semelhantes ao do suspeito; um número de telefone exibido em anúncio; um print sem URL.

    Continue em nosso aplicativo

    Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

    ou continue lendo abaixo...
    Download App

    Baixar o aplicativo

  • Prova técnica: elemento obtido por meio idôneo e verificável, geralmente com suporte de registros de provedores, perícia, extrações forenses ou validação por logs. Exemplo: resposta de provedor confirmando titularidade/registro de conta e IPs de acesso; laudo pericial de extração de dados; cabeçalho completo de e-mail que permite rastreio de origem.

Base legal e limites de atuação (noções aplicadas)

Na investigação digital, a coleta inicial deve respeitar limites legais e de privacidade. Em termos operacionais, é útil separar três camadas de dados:

  • Dados publicamente acessíveis: conteúdo aberto na internet (posts públicos, páginas abertas, anúncios). Podem ser coletados e documentados, preservando contexto (URL, data/hora, caminho de acesso).

  • Dados fornecidos voluntariamente pela vítima: mensagens recebidas, e-mails, comprovantes, prints, links, extratos, conversas em aplicativos no aparelho da vítima. Podem ser copiados/extraídos conforme procedimento interno e com documentação do consentimento e do método.

  • Dados sob guarda de terceiros: registros de conexão/acesso, dados cadastrais, conteúdo de comunicações, dados de geolocalização, dados bancários e de intermediadores. Em regra, exigem requisição formal, ordem judicial ou procedimento previsto em lei, conforme a natureza do dado.

Limites práticos: evitar “testes” que impliquem invasão, acesso não autorizado, engenharia social contra provedores, uso de credenciais obtidas irregularmente ou manipulação do ambiente do suspeito. A atuação deve priorizar preservação, requisições e análise, mantendo cadeia de custódia e rastreabilidade do que foi feito.

Metodologia de preservação de evidências digitais (coleta inicial)

Checklist de preservação: o que capturar sempre

  • Identificadores: URLs completas, @/ID de usuário, número de telefone, e-mail, ID de anúncio, ID de transação, chaves Pix, hashes/IDs de arquivo, endereços de carteira cripto.

  • Contexto: data/hora local e fuso, plataforma, caminho de navegação (como chegou ao conteúdo), perfil/conta logada (se aplicável), e se o conteúdo é público ou restrito.

  • Conteúdo: texto integral, imagens, vídeos, áudios, anexos, mensagens, e eventuais comentários/respostas relevantes.

  • Metadados disponíveis: data de publicação, link permanente, ID do post, número de visualizações (se relevante), e cabeçalhos (no caso de e-mail).

  • Integridade: salvar arquivos originais quando possível (ex.: .eml de e-mail, PDF de comprovante, arquivo de mídia), e registrar o método de obtenção.

Passo a passo: captura de conteúdo web e redes sociais (sem depender só de print)

Objetivo: preservar conteúdo e contexto de forma verificável.

  • 1) Registrar URL canônica: copiar a URL completa da barra de endereços (incluindo parâmetros quando relevantes). Em apps, buscar “copiar link”/“compartilhar link” para obter link permanente.

  • 2) Captura visual contextual: realizar capturas que mostrem (a) conteúdo, (b) identificador do perfil, (c) data/horário exibidos, (d) URL quando em navegador. Se o app não exibe URL, capturar telas que mostrem o caminho (perfil → post → detalhes).

  • 3) Exportar/baixar quando possível: baixar a mídia original (foto/vídeo) ou usar recurso de “salvar”/“download” do serviço. Guardar o arquivo com nome padronizado e registrar origem.

  • 4) Captura em PDF/arquivo: quando em navegador, gerar “imprimir → salvar em PDF” para preservar layout e texto pesquisável. Registrar data/hora do sistema e do conteúdo.

  • 5) Hash e controle de versões: quando houver arquivo (PDF, mídia, .eml), calcular hash (ex.: SHA-256) e registrar em relatório. Se houver nova coleta (conteúdo alterado), manter versões separadas.

  • 6) Preservar ambiente: anotar navegador/app, versão, sistema operacional e se houve login. Isso ajuda a explicar diferenças de visualização e acesso.

Passo a passo: preservação de conversas em aplicativos (vítima)

Objetivo: preservar mensagens e anexos com contexto temporal e identificação.

  • 1) Identificar a conta: registrar número/ID do contato, nome exibido, foto, link do perfil (se houver), e qualquer dado de verificação (ex.: “nome de usuário”).

  • 2) Capturas sequenciais: capturar a conversa mostrando topo (identificação do contato) e sequência de mensagens com datas/horários. Evitar capturas isoladas sem contexto.

  • 3) Exportação de conversa: quando o app permitir, exportar a conversa (com/sem mídia) e guardar o arquivo exportado. Registrar o procedimento utilizado.

  • 4) Preservar anexos: salvar arquivos recebidos (imagens, PDFs, áudios) separadamente, mantendo nomes originais quando possível e registrando data/hora de recebimento.

  • 5) Evitar contaminação: orientar a vítima a não apagar mensagens, não bloquear o contato antes de preservar, e não interagir com links suspeitos. Se for necessário manter contato para coleta, registrar cada ação e motivo.

Passo a passo: e-mail (cabeçalhos e arquivo original)

Objetivo: obter elementos técnicos para rastreio e validação.

  • 1) Não usar apenas print: solicitar o e-mail original em formato .eml/.msg (quando possível) ou encaminhamento como anexo.

  • 2) Coletar cabeçalho completo: orientar a vítima a copiar “cabeçalho completo” (full headers). O cabeçalho contém linhas como “Received”, “Message-ID”, “Return-Path”, úteis para análise.

  • 3) Preservar links: extrair URLs do corpo do e-mail (sem clicar) e registrar. Se houver encurtadores, registrar o link encurtado e, se houver procedimento seguro institucional, registrar também o destino resolvido.

  • 4) Anexos: salvar anexos originais e registrar hashes. Se houver suspeita de malware, isolar o arquivo e seguir protocolo interno de segurança.

Pontos de coleta: onde buscar rastros em fraudes, invasões e perfis falsos

Fraudes digitais (golpes de pagamento, marketplace, falso suporte)

  • Vítima: comprovantes (Pix/transferência/boleto), prints de conversa, links do anúncio, e-mails/SMS, dados do destinatário, data/hora do pagamento, extrato bancário.

  • Instituição financeira/intermediador: dados do recebedor, chaves, contas de destino, logs de autenticação, IPs de acesso, dispositivos, contestação/chargeback (quando aplicável).

  • Plataforma: ID do anúncio, dados do vendedor, histórico de alterações, IPs de login, e-mails/telefones vinculados, registros de mensagens internas.

  • Telecom: titularidade de linha, registros associados (conforme hipótese e medida cabível).

Invasão/sequestro de conta

  • Conta afetada: e-mails de “novo login”, “alteração de senha”, “alteração de e-mail/telefone”, códigos de verificação recebidos, data/hora do evento.

  • Provedor do serviço: IPs e user agents de login, data/hora, mudanças cadastrais, métodos de recuperação usados, dispositivos confiáveis, logs de sessão.

  • Dispositivo da vítima: indícios de phishing, apps suspeitos, redirecionamentos, histórico de navegação (com cuidado para não alterar evidências).

Perfis falsos e impersonação

  • Plataforma: URL do perfil, ID interno, data de criação, e-mails/telefones vinculados (quando obtidos por via formal), IPs de criação e acessos.

  • Conteúdo: posts, mensagens enviadas a terceiros, anúncios, links para pagamentos, e conexões com outras contas.

  • Vítimas secundárias: pessoas que receberam pedidos de dinheiro, links ou sofreram prejuízo, para mapear padrão e ampliar materialidade.

Solicitação de informações: como estruturar pedidos e preservar dados

Preservação urgente (retenção)

Em crimes digitais, dados podem expirar rapidamente (logs com retenção curta, contas apagadas, conteúdo removido). Uma medida operacional é formalizar pedido de preservação/guarda de registros ao provedor, com identificação precisa do alvo (URL, ID de conta, e-mail, telefone, datas e horários). O pedido deve ser objetivo e delimitado no tempo.

Estrutura prática de um pedido de informações (modelo de itens)

  • Identificação do caso: número do procedimento, natureza do fato, período investigado.

  • Alvo: URL/ID do perfil, e-mail, telefone, identificador de anúncio, Message-ID (e-mail), ID de transação, hash de arquivo.

  • Janela temporal: data/hora inicial e final (com fuso).

  • Dados requeridos (exemplos):

    • Dados cadastrais disponíveis e histórico de alterações.

    • Registros de acesso (IPs, data/hora, user agent, dispositivo).

    • Registros de criação da conta e IP de criação.

    • Registros de recuperação de conta (método, data/hora).

    • Conteúdo específico (quando cabível e autorizado): mensagens, posts, arquivos.

  • Forma de resposta: preferencialmente em formato que mantenha integridade (arquivos, logs, carimbo temporal, identificação do responsável técnico).

  • Preservação: solicitar preservação imediata dos registros relacionados, evitando expurgo automático.

Cuidados: pedidos genéricos tendem a gerar respostas incompletas. O ideal é “perguntar com precisão”: qual conta, qual período, quais eventos (criação, logins, alterações), e quais identificadores técnicos.

Casos práticos (com pontos de coleta e relatório descritivo)

Caso 1: golpe do falso vendedor em marketplace com pagamento via Pix

Situação: vítima compra produto anunciado, conversa migra para aplicativo de mensagens, recebe chave Pix e paga; produto não é entregue.

Pontos de coleta imediata:

  • Link do anúncio (URL), ID do anúncio, perfil do vendedor (URL/ID), data/hora da negociação.

  • Conversa completa (capturas sequenciais + exportação), incluindo proposta, dados de pagamento e promessas de envio.

  • Comprovante Pix com identificadores: chave, nome/CPF/CNPJ exibidos, instituição, ID/EndToEnd (quando presente), data/hora.

  • Dados de entrega fornecidos (endereço, nome), para verificar padrão de fraude.

Indícios típicos: print de perfil, número de telefone, nome exibido no Pix (podendo ser “laranja”), conta recém-criada.

Prova técnica buscada:

  • Resposta do marketplace: dados de criação do anúncio, IPs de login do vendedor, e-mails/telefones vinculados, histórico de alterações.

  • Resposta do banco/intermediador: dados do recebedor, conta de destino, movimentações subsequentes (conforme medida cabível), logs de autenticação do recebedor.

Relatório técnico descritivo (trecho-modelo):

Item: Anúncio em marketplace (URL: https://.../item/123; ID: 123; coletado em 10/01/2026 14:32 BRT) Método: acesso via navegador institucional; salvamento em PDF + capturas contendo URL e identificação do perfil. Observação: o anúncio exibe preço X e instrução para contato externo. Indício: perfil com criação recente (informação exibida na plataforma). Necessário: requisição ao provedor para logs de criação e acessos do perfil no período 08/01/2026 a 10/01/2026.

Caso 2: invasão de conta de rede social com pedidos de dinheiro a contatos

Situação: vítima perde acesso; criminoso usa a conta para solicitar transferências a amigos.

Pontos de coleta imediata:

  • E-mails/SMS de alerta de login e alteração de senha (coletar .eml e cabeçalhos quando aplicável).

  • Registro de data/hora em que a vítima perdeu acesso e quando os pedidos foram enviados.

  • Mensagens enviadas pelo invasor (capturas dos destinatários + links/contas de pagamento).

  • URL do perfil e ID (se a plataforma exibir).

Indícios típicos: “novo dispositivo” exibido na conta, mensagens com padrão repetido, urgência, mudança de foto/biografia.

Prova técnica buscada:

  • Do provedor: IPs e user agents de logins, eventos de alteração de e-mail/telefone, método de recuperação usado, data/hora e localização aproximada (se fornecida).

  • Do recebedor do dinheiro: dados bancários e trilha de transações para identificar beneficiários.

Observação operacional: orientar a vítima a recuperar a conta pelos canais oficiais e ativar autenticação em dois fatores, mas registrar o que foi feito e quando, pois mudanças podem afetar logs e sessões.

Caso 3: perfil falso com difamação e uso indevido de imagem

Situação: criação de perfil com nome/foto da vítima, publicações ofensivas e contato com terceiros.

Pontos de coleta imediata:

  • URL do perfil falso e de cada postagem relevante (links permanentes).

  • Capturas mostrando: nome de usuário, ID, conteúdo, data/hora, e contexto (comentários, compartilhamentos).

  • Lista de testemunhas digitais: pessoas que receberam mensagens ou viram as postagens (para coletar links e horários).

  • Comparativo: perfil verdadeiro da vítima (para demonstrar impersonação), preservando o mínimo necessário.

Indícios típicos: semelhança visual, uso de fotos públicas, seguidores recém-criados.

Prova técnica buscada:

  • Do provedor: dados de criação do perfil, IP de criação, e-mails/telefones vinculados, logs de acesso no período.

  • Se houver monetização/extorsão: trilha de pagamento e contas receptoras.

Elaboração de relatório técnico descritivo (padrão operacional)

O relatório técnico descritivo organiza o que foi coletado, como foi coletado e o que aquilo significa (sem extrapolar). Ele deve permitir que outra pessoa reproduza a verificação.

Estrutura recomendada

  • 1) Escopo: qual fato, qual período, quais plataformas/contas analisadas.

  • 2) Fontes: vítima, testemunhas, acesso público, documentos de provedores, registros bancários, etc.

  • 3) Metodologia: ferramentas e métodos (captura, PDF, exportação, coleta de cabeçalhos, hash), ambiente (dispositivo/navegador) e datas/horários.

  • 4) Achados: descrição objetiva, com identificadores (URLs, IDs, Message-ID, EndToEnd, IPs) e anexos referenciados.

  • 5) Classificação: separar “indícios” (hipóteses) de “elementos técnicos confirmados” (respostas oficiais, logs, laudos).

  • 6) Diligências sugeridas: requisições específicas (o quê, para quem, período), preservação urgente e cruzamentos necessários.

Exemplo: distinção explícita entre indício e prova técnica

Indício: O perfil @exemplo utiliza fotografia idêntica à da vítima e nome semelhante, sugerindo impersonação. (Base: comparação visual e URL do perfil coletada em 12/01/2026 09:10 BRT.) Prova técnica a obter: confirmação do provedor quanto à data de criação do perfil, IP de criação e registros de acesso no período 10/01/2026 a 12/01/2026, vinculados ao ID interno da conta.

Erros comuns e como evitar

  • Print sem URL/sem contexto: sempre que possível, incluir URL, ID e caminho de acesso; complementar com PDF e arquivo original.

  • Coleta tardia: solicitar preservação de registros rapidamente quando houver risco de expurgo.

  • Pedidos genéricos a provedores: delimitar alvo e janela temporal; pedir logs de eventos específicos (criação, login, alteração, recuperação).

  • Confundir titularidade com autoria: conta bancária/linha telefônica pode estar em nome de terceiro; tratar como pista e buscar confirmação por logs e vínculos.

  • Extrapolar conclusões: no relatório, descrever fatos observáveis e apontar o que falta para confirmação técnica.

Agora responda o exercício sobre o conteúdo:

Ao preservar conteúdo de um perfil/post em rede social para futura verificação, qual abordagem melhor transforma rastros digitais em evidência digital com integridade e contexto?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

A evidência digital exige contexto e integridade: URL/IDs, data/hora, método e ambiente de coleta, além de preservação de arquivos (PDF/originais) e, quando aplicável, hash. Isso permite reprodutibilidade e auditoria, evitando depender apenas de prints.

Próximo capitúlo

Raciocínio Lógico e Análise de Problemas para Investigador de Polícia Civil

Arrow Right Icon
Aprenda Polícia Civil

AprendaPolícia Civil

Curso com aulas específicas para concurso público de Policia Civil. Materiais gratuitos imersos com legislação para você tirar suas dúvidas e se preparar.

 Aprenda Concursos

AprendaConcursos

Acesse cursos online gratuitos para concursos como INSS, PF e PRF. Certificação gratuita e simulados exclusivos para conquistar sua vaga com confiança!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store