Você pode fazer algumas coisas malucas de hacking apenas pesquisando no Google! 🤯
Sim, você ouviu direito. É chamado de Google Hacking ou Google Dorking.
Como redator de conteúdo, usei o Google Dorks várias vezes para fins de SEO e pesquisa. Isso me ajuda a encontrar postagens específicas de meus concorrentes e a bloquear tópicos mal atendidos para minha estratégia de conteúdo.
Da mesma forma, você pode usar os comandos do Google Dorking conforme sua necessidade.
No entanto, antes de mergulhar no Google Dorking, você deve compreender várias terminologias como Dorks, Recon e muito mais. Além disso, você precisa saber onde traçar o limite.
O Google Dorking não é ilegal, desde que as informações coletadas sejam utilizadas para fins de pesquisa. Se você usar as informações coletadas para chantagear o “alvo”, o Google Dorking pode rapidamente entrar no domínio da atividade ilegal⚠️.
E o Google não gosta disso. Penaliza até o endereço IP de onde vêm os comandos Dorking. E você também pode enfrentar uma acusação criminal, então tome cuidado.
Então, neste guia do Google Dorking, também conhecido como Google Hacking, compartilharei tudo o que você precisa saber sobre essa incrível técnica de hacking ético e como usá-la a seu favor.
últimas postagens
O que é o Google Dorking?
Google Dorking é uma técnica de pesquisa para encontrar informações que geralmente não são mostradas nos resultados de pesquisa do Google. Isso é feito usando operadores de pesquisa avançados e strings chamados idiotas.
Em outras palavras, o Google Dorking é um backdoor para contornar o algoritmo do Google para encontrar informações não exibidas nos resultados do mecanismo de pesquisa do Google – por exemplo, a página de administração de uma empresa específica ou uma página de login.
Você pode até encontrar documentos confidenciais, como PDFs, planilhas Excel, etc., usando comandos apropriados do Google Dorking.
Se usado de boa fé, o Google Dorking pode ajudá-lo a encontrar documentos ou páginas da web específicos – filtrando resultados de pesquisa irrelevantes e economizando tempo.
No entanto, se usado de má-fé, pode ajudar hackers a acessar dados e arquivos de uma empresa específica ou de um indivíduo que não são seguros ou foram carregados acidentalmente na Internet.
Assim, ser idiota ou não idiota depende de quão responsável você também pode ser!
Como funciona o Google Dorking?
Indivíduos como você e eu podem usar o Google Dorking para fins de pesquisa. No entanto, é usado principalmente por especialistas em segurança cibernética para compreender as lacunas do sistema. Em sua maioria, são hackers éticos, também conhecidos como hackers de chapéu branco.
Até mesmo hackers black-hat usam o Google Dorking para identificar sites com vulnerabilidades de segurança. Eles encontram dados e arquivos confidenciais sobre seus “alvos” e os usam de forma maliciosa.
(Sr. fã do Robô, alguém? 😃)
Desde o início dos anos 2000, os motores de busca têm sido usados como ferramenta para o Google Dorking. E os amplos recursos de rastreamento da web do Google facilitam o Dorking.
Com a consulta correta do Google Dork, os invasores podem acessar muitas informações que não conseguiriam com simples pesquisas no Google. Essas informações incluem o seguinte:
- Senhas e nomes de usuário
- Listas de endereços de e-mail
- Documentos confidenciais
- Informações pessoalmente identificáveis – financeiras, demográficas, localização, etc.
- Vulnerabilidades do site
De acordo com Estatísticas Norton, quase 88% das empresas testemunham um ataque à segurança cibernética no prazo de um ano. Isso significa que as empresas são visadas quase todos os dias.
Os hackers éticos utilizam as informações recolhidas para corrigir as vulnerabilidades nos seus sistemas, mas os hackers antiéticos utilizam-nas para atividades ilegais, como o cibercrime, o ciberterrorismo, a espionagem industrial, o roubo de identidade e a perseguição cibernética.
Os hackers também podem vender esses dados a outros criminosos na dark web por grandes somas de dinheiro. Aqui estão as fases de como um hacker usa os métodos do Google Dorking para roubar informações pessoais:
#1. Reconhecimento
A primeira etapa do hacking é coletar o máximo de informações possível sobre o alvo. De documentos confidenciais a nomes de usuário e senhas, todos os hackers podem encontrar. Este estágio também é conhecido como reconhecimento, pegada ou mesmo impressão digital.
O Google Dorking é uma forma de reconhecimento passivo, o que significa que os hackers acessam arquivos disponíveis publicamente online.
Os arquivos disponíveis publicamente podem ser acidentalmente colocados online. Por exemplo, eles carregaram acidentalmente um arquivo PDF contendo nomes de usuário e senhas ou deixaram suas webcams abertas para a Internet.
#2. Digitalizando
Nesta fase, o hacker coletou os dados – URLs de páginas da web, PDFs, planilhas Excel, listas de e-mail, etc. O hacker irá digitalizá-los abrindo e lendo os arquivos, limpando os links ou usando uma ferramenta de digitalização para encontrar as informações desejado.
#3. Ganhando acesso
Nesta fase, o hacker utiliza as informações coletadas e obtém acesso ao sistema/banco de dados.
#4. Mantendo o acesso
O hacker estabelece uma conexão (temporária ou permanente) com o sistema/banco de dados para se reconectar facilmente ao alvo, se e quando necessário.
Se a conexão for interrompida ou o hacker desejar retornar ao sistema/banco de dados posteriormente, ele poderá fazê-lo usando esta conexão.
#5. Saída
Nesse estágio, o hacker limpa seus rastros e sai do sistema/banco de dados sem deixar rastros. O hacker remove todas as explorações e backdoors e limpa os logs.
Legalidade do Google Dorking
Como mencionei, o Google Dorking não é ilegal se usado apenas para fins de pesquisa.
Na verdade, apenas a fase 1 (reconhecimento) se enquadra na definição do Google Dorking, ou seja, a busca de informações usando strings e operadores de pesquisa avançada.
No momento em que você clica nos resultados da pesquisa, acessa uma URL, baixa um documento ou acessa links sem a devida permissão, você entra na fase 2.
Após esta fase, você poderá ser responsabilizado por crimes informáticos puníveis por lei.
Então, clique com cautela e boa fé👍.
Além disso, no Google Dork, você usa consultas idiotas avançadas e strings de pesquisa para filtrar os resultados irrelevantes e encontrar exatamente o que deseja.
Consulta Google Dork – Significado e Exemplos
Algumas operações de consulta comuns no Google Dorking podem ajudá-lo a encontrar informações específicas enquanto filtra resultados irrelevantes.
Eu uso algumas dessas consultas do Google Dork – como allintitle, inurl, filetype, etc. – o tempo todo ao fazer análises SERP para um tópico. Isso me ajuda a definir a estratégia de conteúdo exata para aquele tópico específico.
Compartilharei algumas das consultas mais comuns e úteis do Google Dork. Compartilharei a função da consulta, os resultados e como usar as descobertas a seu favor. Aqui estão alguns dos operadores mais comuns usados no Google Dorking.
#1. Site
Se quiser procurar páginas da web apenas de um site específico, você pode usar o operador de consulta site:. Esta consulta restringe sua pesquisa a um determinado site, domínio de nível superior ou subdomínio.
Esta consulta mostrará as páginas públicas desse site, domínio de nível superior ou subdomínio específico. Você pode até combinar essa consulta com outras consultas para ser ainda mais específico nos resultados da pesquisa.
#2. Título/Allintitle
Inserir sua palavra-chave primária em seu título de SEO (também conhecido como meta título) é uma das práticas de SEO mais antigas e eficazes. Portanto, usando a consulta intitle: dork, você pode encontrar páginas da web específicas com palavras-chave em seus títulos SEO.
Você pode até combiná-lo com site: query para obter resultados ainda mais específicos. Por exemplo, se quiser encontrar artigos sobre etechpt.com, mas apenas sobre o Windows 10, você pode inserir esta consulta idiota.
Este método Google Dorking é realmente útil quando você deseja encontrar resultados em torno de um termo de pesquisa específico. Se você combiná-lo com outras consultas, poderá melhorar drasticamente sua análise SERP.
Alternativamente, você também pode usar a consulta idiota allintitle: se você tiver vários termos de pesquisa e quiser todos eles no título dos resultados. Então, você pode usar allintitle: query em vez de intitle:.
#3. Inurl/Allinurl
O comando inurl: dork é muito semelhante ao comando intitle:. A única diferença é que esta consulta procura um determinado termo de pesquisa nas URLs dos sites.
Alternativamente, você pode até usar a consulta allinurl: Dorking para encontrar URLs com vários termos de pesquisa. Esta consulta fornecerá URLs com todos os termos de pesquisa presentes nela.
Por exemplo, a palavra-chave primária no URL e uma estrutura de URL otimizada são essenciais para a classificação no Google. Portanto, se eu for uma nova agência de marketing digital em Nova York e quiser ver minha concorrência local, posso fazê-lo facilmente usando o comando allinurl:.
Você pode até incluir um operador adicional como “- (menos)” para excluir resultados de uma fonte específica. Você pode fazer o mesmo com allintitle:query. Aqui está um exemplo:
A consulta inurl:/allinurl: dork pode ser realmente útil para estimar quantas páginas da web você estará lutando para classificar esse termo de pesquisa específico e, o mais importante, a autoridade de domínio que você precisa classificar para esse termo de pesquisa.
#4. Em texto
A consulta intext: Dork encontra sites/páginas da web com o termo de pesquisa em seus textos. É realmente útil para os especialistas em SEO encontrar as páginas da web dos concorrentes com o termo de pesquisa – uma determinada palavra-chave.
Você pode até usar um operador adicional como aspas (“”) para encontrar as páginas da web com o termo de pesquisa exato no corpo do texto. Você pode combiná-lo com a consulta site: para encontrar resultados de um determinado site.
É um dos truques de pesquisa do Google que a maioria dos especialistas em SEO usa. 😉
#5. Tipo de arquivo
Usando o operador de pesquisa filetype:, você pode encontrar arquivos como PDFs, XLS, Doc, etc.. Esta consulta de pesquisa é extremamente útil se você estiver procurando por relatórios, manuais ou estudos específicos.
No Google Dorking, filetype: command é um dos comandos mais usados por hackers para encontrar documentos confidenciais e vazados acidentalmente. Esses documentos podem conter informações confidenciais, como endereços IP, senhas, etc.
Os hackers usam essas informações para testes de penetração (pentesting) e para contornar acessos pagos para acessar recursos.
#6. Cache
Usando o comando Cache:, a Pesquisa Google irá buscar a última cópia salva de um determinado site (cache do Google), se existir. É útil para redescobrir um site antes de seu tempo de inatividade ou atualização mais recente.
Sempre que um usuário acessa um site usando o Google, uma versão em cache dessa página é criada no sistema do Google. Você pode acessar esta versão em cache usando o comando cache: se o site original estiver temporariamente fora do ar ou se você quiser visualizar uma versão mais antiga do site.
#7. Link
O link: a consulta do Google Dork é útil se você deseja descobrir quais páginas da web estão vinculadas a um URL específico.
Se quiser analisar os backlinks que apontam para o seu site, você pode usar ferramentas como SEMrush ou Ahrefs.
No entanto, se você não quiser investir em uma ferramenta de análise de backlinks, este método do Google Dorking é uma maneira gratuita e útil de analisar a origem de seus backlinks.
#8. Mapa
Usando o mapa: o comando Dorking permite encontrar um mapa de um determinado local. A Pesquisa Google mostrará o mapa diretamente em vez das páginas da web.
No macOS, você poderá ver uma solicitação para abrir o aplicativo Maps. Esta consulta é útil para encontrar rapidamente o mapa de um local específico.
Banco de dados de hackers do Google é um repositório onde os usuários postam várias strings de operadores de pesquisa que você pode usar para começar a usar o Google Dorking.
No entanto, recomendo que você use essas strings de pesquisa com cautela porque algumas delas levam a webcams e páginas de login de empresas corporativas.
Como se proteger do Google Dorking?
Quer você seja um indivíduo ou uma empresa, você deve se proteger do Google Dorking. Você pode seguir os seguintes passos para garantir que seus dados na Internet estejam seguros.
- Certifique-se de que as páginas e documentos privados estejam protegidos por senha.
- Implemente restrições baseadas em IP.
- Criptografe informações confidenciais – nomes de usuário, senhas, IDs de e-mail, números de telefone, etc.
- Encontre e desative o Google Dorks usando ferramentas de verificação de vulnerabilidades.
- Faça você mesmo consultas idiotas regulares em seus sites para encontrar e corrigir as brechas antes que os invasores as encontrem.
- Use o Google Search Console para remover conteúdo confidencial do seu site
- Use o arquivo robots.txt para ocultar e bloquear o acesso de bot a arquivos confidenciais.
Embora 100% de segurança na Internet seja um mito, você pode implementar etapas para minimizar as chances de ser vítima de hackers antiéticos.
Penalidades de Dorking do Google pelo Google
O Google Dorking pode fornecer informações imensas, filtrando resultados de pesquisa desnecessários ou não relacionados. No entanto, se usado de forma antiética, pode chamar a atenção das autoridades responsáveis pela aplicação da lei.
Na maioria das vezes, o Google irá avisá-lo quando você exagerar no Dorking. Ele começará a verificar suas consultas de pesquisa. Se você exagerar, o Google pode até banir seu endereço IP.
Para idiota ou não para idiota?
Neste guia do Google Dorking, discutimos tudo sobre essa poderosa técnica de pesquisa que permite encontrar informações específicas e vulnerabilidades expostas publicamente. Para testadores de penetração, esse é o trabalho diário.
Além disso, com o Google Hacking Database, você obtém uma coleção de Google Dorks pré-fabricados. No entanto, gostaria de lembrá-lo novamente de usar o Dorking de forma ética e com permissão.
Siga as diretrizes éticas e solicite permissão ao usar o Dorking para auditorias de segurança.
Se o hacking ético é sua opção, você também deveria verificar como se tornar um caçador de recompensas de bugs em 2023.