4 de julho de 2026

PF aplica “golpe forjado” em servidores para testar segurança digital

PF aplica “golpe forjado” em servidores para testar segurança digital
PF aplica “golpe forjado” em servidores para testar segurança digital

Servidores da Polícia Federal (PF) levaram um susto nesta quinta-feira (21/8) ao receberem um e-mail suspeito, aparentemente institucional, que pedia atualização de dados pessoais no Sistema de Gestão de Pessoas (SIGEPE).

O detalhe passou despercebido por alguns: em vez do domínio oficial “.gov”, o endereço vinha escrito como “.g0v” — alteração sutil que caracteriza o chamado phishing, prática usada por criminosos para enganar vítimas e capturar informações sensíveis.

- Publicidade -

O e-mail fraudulento citava até uma suposta Instrução Normativa nº 131/2025, mencionava a Diretoria de Gestão de Pessoas e a Diretoria de Tecnologia da Informação da PF e pedia que os policiais clicassem em um link para cadastrar um “segundo fator de autenticação”.

2 imagensFechar modal.1 de 2

2 de 2

Pegadinha oficial

O que parecia um golpe externo, na verdade, era uma simulação organizada pela própria corporação.

Acionada pela coluna, a PF confirmou que a Divisão de Segurança da Informação da Diretoria de Tecnologia da Informação e Inovação (DTI) havia realizado um teste de phishing com 10% dos servidores, como parte do Programa de Segurança Cibernética.

A iniciativa atende a exigências do TCU e do Programa de Privacidade e Segurança da Informação (PPSI) do Ministério da Gestão e da Inovação em Serviços Públicos.

Segundo a corporação, o objetivo foi medir a vulnerabilidade dos servidores diante de tentativas de ataque digital. O número de policiais que “caíram” no golpe simulado ainda está sendo levantado.

Por que isso importa

O phishing é hoje a principal porta de entrada para crimes cibernéticos. De acordo com a Microsoft, 91% dos ataques no mundo começam com um e-mail desse tipo.

Criminosos normalmente se passam por bancos, empresas confiáveis ou até órgãos públicos, induzindo vítimas a clicar em links falsos que roubam credenciais e dados bancários.