Por Marco Aurélio – Perito em Segurança Digital | M A Segurança Digital
Publicado em 29 de setembro de 2025
O phishing continua sendo uma das práticas mais perigosas no mundo digital. O golpe se apoia em mensagens falsas, que muitas vezes usam nomes e domínios de empresas ou órgãos públicos para enganar usuários. Mesmo com mecanismos de autenticação avançados, como SPF, DKIM e DMARC, criminosos encontram brechas — e, em alguns casos, exploram contas institucionais comprometidas para dar legitimidade às fraudes.
Recentemente, recebi um e-mail suspeito que aparentava ter sido enviado por um servidor da Polícia Militar do Distrito Federal (PMDF). Abaixo, apresento o relatório técnico da análise pericial desse caso, que demonstra claramente como um ataque de phishing pode se disfarçar até mesmo com cabeçalhos oficiais.
Relatório Técnico – Análise de E-mail Suspeito
1. Identificação do Documento
- Objeto da análise: Arquivo de e-mail no formato .eml
- Data de recebimento: 29/09/2025 – 08:31:49 (PDT) / 12:31:46 (BRT)
- Destinatário: marcoaurelio0308@gmail.com
- Assunto: RE;
- Remetente declarado (From): sop.asgab@pm.df.gov.br
2. Cabeçalhos Relevantes
- Return-Path: sop.asgab@pm.df.gov.br
- Servidor de origem: smtp054.gdfnet.df.gov.br (131.72.222.254)
- Organização do servidor: Rede oficial do Governo do Distrito Federal – GDF
- Autenticações:
- SPF → pass (servidor autorizado)
- DMARC → pass (política aplicada corretamente)
- ARC/DKIM → válidos
- X-Originating-IP: 10.230.70.15 (endereço interno, não roteável externamente)
3. Análise do Conteúdo
- A mensagem inicia em inglês com “Hi Pete”.
- Informa que 68,78 BTC (≈ R$ 7,8 milhões) teriam sido creditados em uma carteira.
- Fornece ID e senha de acesso.
- Faz referência ao site InvesteD.SU, hospedado em domínio russo “.SU”.
- Incompatibilidade evidente: cabeçalho oficial, mas conteúdo fraudulento e sem ligação com funções da PMDF.
4. Indícios Técnicos de Comprometimento
- O domínio pm.df.gov.br foi realmente autenticado.
- Conteúdo fraudulento, típico de phishing.
- Forte indício de acesso indevido à conta institucional ou mau uso interno.
- O domínio InvesteD.SU é claro indicativo de golpe.
5. Conclusão Pericial
- O e-mail partiu dos servidores oficiais do GDF/PMDF.
- O conteúdo traz características típicas de fraude digital (phishing com criptomoedas).
- Há indícios de comprometimento da conta institucional ou uso indevido da infraestrutura.
- O uso de domínio externo confirma tentativa de fraude.
6. Recomendações
- Registrar o incidente junto ao CERT.br e ao Centro de Segurança Digital do GDF.
- Notificar a PMDF para verificar comprometimento da conta institucional.
- Preservar o arquivo .eml como prova digital (manter metadados originais).
- Realizar análise de logs do servidor smtp054.gdfnet.df.gov.br para apurar a origem real do acesso.
Conclusão
Este caso deixa claro que nem sempre um cabeçalho autêntico garante legitimidade do conteúdo. Contas institucionais podem ser comprometidas e usadas para fraudes sofisticadas. Para usuários comuns, a lição é simples: nunca confiar apenas no remetente, desconfiar de mensagens fora de contexto e, sempre que possível, acionar profissionais de segurança digital para validar suspeitas.