Cuidados com Phishing: Quando até e-mails institucionais podem esconder golpes

Por Marco Aurélio – Perito em Segurança Digital | M A Segurança Digital
Publicado em 29 de setembro de 2025

O phishing continua sendo uma das práticas mais perigosas no mundo digital. O golpe se apoia em mensagens falsas, que muitas vezes usam nomes e domínios de empresas ou órgãos públicos para enganar usuários. Mesmo com mecanismos de autenticação avançados, como SPF, DKIM e DMARC, criminosos encontram brechas — e, em alguns casos, exploram contas institucionais comprometidas para dar legitimidade às fraudes.

Recentemente, recebi um e-mail suspeito que aparentava ter sido enviado por um servidor da Polícia Militar do Distrito Federal (PMDF). Abaixo, apresento o relatório técnico da análise pericial desse caso, que demonstra claramente como um ataque de phishing pode se disfarçar até mesmo com cabeçalhos oficiais.


Relatório Técnico – Análise de E-mail Suspeito

1. Identificação do Documento

2. Cabeçalhos Relevantes

  • Return-Path: sop.asgab@pm.df.gov.br
  • Servidor de origem: smtp054.gdfnet.df.gov.br (131.72.222.254)
  • Organização do servidor: Rede oficial do Governo do Distrito Federal – GDF
  • Autenticações:
    • SPF → pass (servidor autorizado)
    • DMARC → pass (política aplicada corretamente)
    • ARC/DKIM → válidos
  • X-Originating-IP: 10.230.70.15 (endereço interno, não roteável externamente)

3. Análise do Conteúdo

  • A mensagem inicia em inglês com “Hi Pete”.
  • Informa que 68,78 BTC (≈ R$ 7,8 milhões) teriam sido creditados em uma carteira.
  • Fornece ID e senha de acesso.
  • Faz referência ao site InvesteD.SU, hospedado em domínio russo “.SU”.
  • Incompatibilidade evidente: cabeçalho oficial, mas conteúdo fraudulento e sem ligação com funções da PMDF.

4. Indícios Técnicos de Comprometimento

  • O domínio pm.df.gov.br foi realmente autenticado.
  • Conteúdo fraudulento, típico de phishing.
  • Forte indício de acesso indevido à conta institucional ou mau uso interno.
  • O domínio InvesteD.SU é claro indicativo de golpe.

5. Conclusão Pericial

  • O e-mail partiu dos servidores oficiais do GDF/PMDF.
  • O conteúdo traz características típicas de fraude digital (phishing com criptomoedas).
  • Há indícios de comprometimento da conta institucional ou uso indevido da infraestrutura.
  • O uso de domínio externo confirma tentativa de fraude.

6. Recomendações

  • Registrar o incidente junto ao CERT.br e ao Centro de Segurança Digital do GDF.
  • Notificar a PMDF para verificar comprometimento da conta institucional.
  • Preservar o arquivo .eml como prova digital (manter metadados originais).
  • Realizar análise de logs do servidor smtp054.gdfnet.df.gov.br para apurar a origem real do acesso.

Conclusão

Este caso deixa claro que nem sempre um cabeçalho autêntico garante legitimidade do conteúdo. Contas institucionais podem ser comprometidas e usadas para fraudes sofisticadas. Para usuários comuns, a lição é simples: nunca confiar apenas no remetente, desconfiar de mensagens fora de contexto e, sempre que possível, acionar profissionais de segurança digital para validar suspeitas.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *