Golpe Usando E-mail Institucional: O Alerta da Perícia Digital

Por Marco Aurélio – Perito em Segurança Digital | M A Segurança Digital

Sem dúvida, abrir a caixa de entrada da empresa e deparar-se com um “MANDADO DE CITAÇÃO URGENTE” assinado pela Secretaria de Justiça ou pela Polícia Civil é o pesadelo de qualquer empresário. Recentemente, no entanto, a nossa equipe de perícia forense identificou uma escalada assustadora de cibercriminosos a aplicar o golpe usando e-mail institucional.

Na maioria das vezes, os filtros de spam e antivírus bloqueiam ameaças comuns. Porém, os criminosos sofisticaram as suas táticas. Eles passaram a utilizar endereços de e-mail com terminações governamentais reais (como .gov.br ou .jus.br) para driblar as barreiras de segurança e aterrorizar os gestores corporativos.

Afinal, como é possível que um e-mail oficial envie um vírus? Como a sua empresa pode identificar essa armadilha antes que o clique fatal aconteça? Acompanhe a nossa análise pericial a seguir.

A Anatomia do Golpe: Medo e Falsa Autoridade

Primeiramente, precisamos dissecar a engenharia social aplicada neste crime. O criminoso não quer hackear o seu sistema à força; ele quer que você abra a porta para ele.

No caso analisado, o e-mail apresenta elementos psicológicos fortíssimos:

  1. Senso de Urgência Extrema: O assunto traz as palavras “URGENTE” e “Requisição Policial”.
  2. Ameaça Jurídica: O texto cita leis complexas (como a Lei de Lavagem de Dinheiro) e ameaça o gestor com “Consequências Legais por Descumprimento de Prazo”.
  3. Personalização: Eles inserem o CNPJ real e o nome da empresa alvo para gerar credibilidade.

Consequentemente, o gestor, temendo multas ou processos criminais contra a sua corporação, entra em pânico. O desespero desliga o senso crítico. Assim que o alvo tenta ler o “ofício” clicando no botão “Visualizar Certificado ANC”, o ataque acontece. O link, na verdade, faz o download de um malware (geralmente um Ransomware que sequestra os dados da empresa ou um Infostealer que rouba senhas bancárias).

Como ocorre o golpe usando e-mail institucional (.gov.br)?

De fato, a grande dúvida das vítimas é: “Mas Marco Aurélio, o e-mail veio de um endereço real do Governo. Como isso é um golpe?”

Como especialista em cibersegurança, explico que existem duas portas de entrada principais para essa técnica criminosa:

  • Spoofing (Falsificação de Remetente): Basicamente, o criminoso utiliza servidores clandestinos para “mascarar” o seu e-mail verdadeiro. No seu ecrã aparece que a mensagem veio de “policia@seap.pe.gov.br”, mas, nos códigos ocultos da mensagem, o e-mail real é de um servidor na Rússia.
  • Contas Comprometidas: Ainda pior, um servidor público real pode ter caído num golpe cibernético e tido a sua senha roubada. Dessa forma, os hackers usam a conta oficial e verdadeira do funcionário do Estado para disparar milhares de mensagens fraudulentas para empresas.

Protocolo Pericial: Recebi uma intimação por e-mail, o que fazer?

Em suma, as polícias judiciárias e os tribunais não enviam mandados de busca, citação ou prisão através de links de download soltos por e-mail, muito menos exigindo “validação de certificado”.

Para blindar a sua empresa contra o golpe usando e-mail institucional, exija que a sua equipa adote o seguinte protocolo de contenção:

  1. A Regra do Clique Zero: Nunca clique em links que dizem “Visualizar Ofício”, “Baixar Processo” ou “Ver Boleto”. Se acaso o documento for legítimo, ele deve estar anexado em formato PDF (e ainda assim deve ser verificado com antivírus).
  2. Verifique os Detalhes Técnicos: Passe o mouse (sem clicar) por cima do link de download. Você verá que o endereço que aparece no rodapé do seu navegador não tem nada a ver com sites governamentais.
  3. Busca Ativa (Zero Trust): Se porventura houver dúvidas sobre a veracidade de uma intimação, não responda ao e-mail. Procure o número de telefone oficial da delegacia ou órgão citado no Google e ligue para confirmar.

A importância do Treinamento e do Compliance Digital

Finalmente, a tecnologia por si só não impede que um funcionário assustado clique num link malicioso. A educação digital contínua é a única defesa real contra a engenharia social. Como detalho no meu livro “Filhos Conectados, Pais Preparados”, ensinar a desconfiar do ambiente digital é uma regra que vale desde as crianças em casa até os diretores dentro do ambiente corporativo.

Se a sua empresa suspeita que foi infectada por um e-mail falso ou precisa de uma análise técnica de vulnerabilidades, a nossa consultoria forense pode mapear a ameaça e garantir a preservação do seu patrimônio digital.

1. Análise Técnica e Forense (Cabeçalhos SMTP)

  • Autenticação SPF e DKIM Válidas (pass): Os cabeçalhos indicam que a mensagem efetivamente partiu dos servidores da Secretaria Executiva de Ressocialização de Pernambuco (SEAP-PE). O IP de origem (200.238.107.120) pertence ao bloco da rede governamental de Pernambuco, e a assinatura criptográfica DKIM confere. O que isso significa: Não estamos diante de um caso de spoofing tradicional. A conta rogerio.lima@seap.pe.gov.br foi, com quase absoluta certeza, invadida e está sendo utilizada como “zumbi” para disparar ataques. Isso garante uma alta taxa de entrega nas caixas de entrada, pois os Secure Email Gateways confiam no domínio remetente.
  • Ausência de DMARC: O registro dmarc=none reason="no DMARC policy record found" evidencia uma falha na governança de segurança do domínio remetente (seap.pe.gov.br), o que historicamente facilita o abuso dessas contas quando comprometidas.
  • Encaminhamento de Rota: O trajeto expresso.pe.gov.br -> mta.pe.gov.br -> asmail.peconectado.pe.gov.br confirma o trânsito interno pela infraestrutura oficial antes de atingir o servidor de destino (mx.flockmail.com).

2. Análise Jurídica e de Engenharia Social (Corpo da Mensagem)

O texto utiliza um forte apelo de “terrorismo jurídico” para forçar uma ação imediata (clique no link), apresentando diversas contradições estruturais:

  • Inconsistência de Autoria e Jurisdição: O e-mail parte de uma conta nomeada “Jose Rogerio Ferreira Lima” vinculada à Secretaria do Sistema Penitenciário (SEAP), mas é assinado por “Jose Alves”, um suposto Delegado de Polícia Civil. Além disso, cita uma cooperação bizarra com “PC DCIBBER RJ” (uma provável corruptela criada pelos criminosos, possivelmente tentando se referir à DRCI – Delegacia de Repressão aos Crimes de Informática do Rio de Janeiro).
  • Confusão Processual: O assunto fala em “MANDADO DE CITAÇÃO” (instrumento típico do Poder Judiciário em processos cíveis ou criminais), enquanto o corpo fala em “Requisição Policial” (fase inquisitorial).
  • Excesso de Fundamentação Legal (Isca): A citação à Lei de Lavagem de Dinheiro (Lei nº 9.613/98), à Circular do BACEN (nº 3.978/2020) e à Lei Anticorrupção (Lei nº 12.846/2013) é uma tática para intimidar o destinatário (o “Gestor” da *.*) e dar um verniz de legitimidade à cobrança.
  • O Vetor de Ataque (Link Malicioso): O link fornecido para baixar o suposto ofício aponta para [https://camaraparaguacu.sp.gov.br/oficio/gVGOwDQj3e](https://camaraparaguacu.sp.gov.br/oficio/gVGOwDQj3e). Este é o domínio legítimo da Câmara Municipal de Paraguaçu Paulista (SP). É evidente que o site desta câmara municipal sofreu uma invasão (como um defacement silêncioso ou exploração de vulnerabilidade de diretório) e está sendo utilizado pelos cibercriminosos para hospedar o artefato malicioso (geralmente um arquivo .ZIP contendo um executável ou um trojan bancário).

Conclusão e Recomendações

Este é um golpe que explora a confiança em domínios .gov.br. A mensagem e seus links devem ser categoricamente ignorados e bloqueados.

Caso alguma ação de resposta a incidentes seja necessária, é recomendável notificar a equipe de TI da SEAP-PE sobre o comprometimento da conta do servidor Rogério Lima, bem como alertar a administração da Câmara Municipal de Paraguaçu Paulista sobre o abuso de seus servidores web.

Fonte das informações técnicas processadas: A análise baseia-se estritamente na inspeção dos metadados SMTP fornecidos na sua requisição e em padrões documentados de Cyber Threat Intelligence (CTI) referentes a campanhas de phishing voltadas ao cenário corporativo brasileiro.

Tentei contato com a camara municipal de Paragaussu em SP no telefone  (18) 3361-1047, mas depois de quase 10 minutos aguardando nao fui atendido, e tentei contato do SEAP-PE, mas os telefone disponiveis nao atenderam

Agende imediatamente uma auditoria preventiva ou consultoria pericial via WhatsApp.

Por Marco Aurélio – Perito em Segurança Digital | M A Segurança Digital

Formado em Segurança Pública, Bacharel em Direito e Especialista em Perícia Digital Forense e Direito Digital, Marco Aurélio atua como palestrante em Segurança Digital, com foco na prevenção e análise de incidentes cibernéticos, proteção de dados e compliance digital. Criador da M A Segurança Digital, dedica-se a traduzir a tecnologia em linguagem jurídica e prática para empresas e profissionais do Direito.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *