Servidores da Polícia Federal (PF) levaram um susto nesta quinta-feira (21/8) ao receberem um e-mail suspeito, aparentemente institucional, que pedia atualização de dados pessoais no Sistema de Gestão de Pessoas (SIGEPE).
O detalhe passou despercebido por alguns: em vez do domínio oficial “.gov”, o endereço vinha escrito como “.g0v” — alteração sutil que caracteriza o chamado phishing, prática usada por criminosos para enganar vítimas e capturar informações sensíveis.
O e-mail fraudulento citava até uma suposta Instrução Normativa nº 131/2025, mencionava a Diretoria de Gestão de Pessoas e a Diretoria de Tecnologia da Informação da PF e pedia que os policiais clicassem em um link para cadastrar um “segundo fator de autenticação”.
Pegadinha oficial
O que parecia um golpe externo, na verdade, era uma simulação organizada pela própria corporação.
Acionada pela coluna, a PF confirmou que a Divisão de Segurança da Informação da Diretoria de Tecnologia da Informação e Inovação (DTI) havia realizado um teste de phishing com 10% dos servidores, como parte do Programa de Segurança Cibernética.
A iniciativa atende a exigências do TCU e do Programa de Privacidade e Segurança da Informação (PPSI) do Ministério da Gestão e da Inovação em Serviços Públicos.
Segundo a corporação, o objetivo foi medir a vulnerabilidade dos servidores diante de tentativas de ataque digital. O número de policiais que “caíram” no golpe simulado ainda está sendo levantado.
Por que isso importa
O phishing é hoje a principal porta de entrada para crimes cibernéticos. De acordo com a Microsoft, 91% dos ataques no mundo começam com um e-mail desse tipo.
Criminosos normalmente se passam por bancos, empresas confiáveis ou até órgãos públicos, induzindo vítimas a clicar em links falsos que roubam credenciais e dados bancários.