PF aplica “golpe forjado” em servidores para testar segurança digital

Servidores da Polícia Federal (PF) levaram um susto nesta quinta-feira (21/8) ao receberem um e-mail suspeito, aparentemente institucional, que pedia atualização de dados pessoais no Sistema de Gestão de Pessoas (SIGEPE).

O detalhe passou despercebido por alguns: em vez do domínio oficial “.gov”, o endereço vinha escrito como “.g0v” — alteração sutil que caracteriza o chamado phishing, prática usada por criminosos para enganar vítimas e capturar informações sensíveis.

O e-mail fraudulento citava até uma suposta Instrução Normativa nº 131/2025, mencionava a Diretoria de Gestão de Pessoas e a Diretoria de Tecnologia da Informação da PF e pedia que os policiais clicassem em um link para cadastrar um “segundo fator de autenticação”.

2 imagens

Fechar modal.

1 de 2

2 de 2

Pegadinha oficial

O que parecia um golpe externo, na verdade, era uma simulação organizada pela própria corporação.

Acionada pela coluna, a PF confirmou que a Divisão de Segurança da Informação da Diretoria de Tecnologia da Informação e Inovação (DTI) havia realizado um teste de phishing com 10% dos servidores, como parte do Programa de Segurança Cibernética.

A iniciativa atende a exigências do TCU e do Programa de Privacidade e Segurança da Informação (PPSI) do Ministério da Gestão e da Inovação em Serviços Públicos.

Segundo a corporação, o objetivo foi medir a vulnerabilidade dos servidores diante de tentativas de ataque digital. O número de policiais que “caíram” no golpe simulado ainda está sendo levantado.

Por que isso importa

O phishing é hoje a principal porta de entrada para crimes cibernéticos. De acordo com a Microsoft, 91% dos ataques no mundo começam com um e-mail desse tipo.

Criminosos normalmente se passam por bancos, empresas confiáveis ou até órgãos públicos, induzindo vítimas a clicar em links falsos que roubam credenciais e dados bancários.