O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) alertou aos membros da Rede Federal de Gestão de Incidentes Cibernéticos (REGIC), os órgãos e entidades da administração pública, bem como parceiros do setor privado, acerca de uma campanha recorrente de phishing que utiliza domínios genéricos de topo (gTLD) .sbs e .app para simular serviços e comunicações governamentais.

Exemplos de domínios utilizados em campanhas de phishing e com tais características:

https://aluminandotufoes.sbs/ https://portal-disponibilizado.up.railway.app/
https://brasiltirar202624.sbs/ https://recupera.vercel.app/
https://cnnativrlabssmart.sbs/ https://upsellsescalle.lovable.app/
https://onbrtushugcnnplus.sbs/ https://rec3a-765775392619.southamerica-east1.run.app/
https://brtushugcnnstore.sbs/ http://noticiascnh2026.vercel.app
https://novocnnativrbrtus.sbs/ https://programa2026-gov.replit.app/

O informe aponta que o CTIR Gov identificou uma campanha ativa de engenharia social na qual agentes maliciosos utilizam domínios terminados em .sbs e .app, geralmente compostos por nomes curtos e pseudoaleatórios, para hospedar páginas falsas que simulam serviços governamentais, tais como webmail institucional, regularização de contas, atualizações cadastrais, notificações administrativas e serviços de logística.

Essas páginas fraudulentas apresentam aparência visual semelhante à de portais oficiais, utilizam linguagem institucional e induzem o usuário a fornecer credenciais, dados pessoais ou informações sensíveis, explorando principalmente senso de urgência, ameaça de bloqueio ou suspensão de serviços.

Segundo o órgão de prevenção, diante do cenário, épreciso reforçar as ações de segurança e a adoção de medidas preventivas e de mitigação. São elas:

a. Monitoramento de Tráfego de Rede e DNS

Intensifique o monitoramento de acessos a domínios recentemente registrados, com especial atenção a domínios terminados em .sbs e .app.

Avalie a implementação de alertas ou bloqueios para acessos a domínios .sbs e .app quando associados a temáticas governamentais, institucionais ou administrativas.

b. Filtragem de E-mails e Conteúdo Web

Ajuste regras de filtragem para identificar mensagens que contenham links para domínios .sbs e .app, especialmente quando associadas a assuntos como atualização de conta, bloqueio de acesso, manutenção de sistemas ou solicitações administrativas.

Priorize a análise de mensagens que utilizem assuntos do tipo “Re:”, “Fwd:” ou que simulem continuidade de conversas institucionais.

c. Controle de Acesso e Autenticação

Reforce a adoção de autenticação multifator (MFA) para serviços de correio eletrônico e sistemas críticos.

Revise periodicamente logs de autenticação para identificar acessos suspeitos ou padrões atípicos de uso de contas institucionais.

d. Conscientização de Usuários

Oriente servidores, colaboradores e prestadores de serviço de que órgãos públicos não utilizam domínios .sbs e .app para serviços oficiais, autenticação, atualização cadastral ou comunicações institucionais.

Reforce a recomendação de verificação do domínio completo antes de qualquer interação com links recebidos por e-mail ou mensagens eletrônicas.

e. Resposta a Incidentes

Ao identificar mensagens ou sites associados a essa campanha, realize o bloqueio imediato dos indicadores identificados e preserve evidências para análise posterior.

Avalie a possibilidade de comprometimento de contas que tenham interagido com os links maliciosos, adotando medidas de contenção, como redefinição de credenciais e revogação de sessões ativas.

4. O CTIR Gov destaca que campanhas dessa natureza têm se caracterizado pela alta rotatividade de domínios, uso de infraestrutura descartável e reutilização de modelos visuais e textuais, o que reforça a importância da adoção de medidas baseadas em padrões de comportamento, e não apenas em indicadores pontuais.

Em caso de incidente os órgãos deverão notificar o CTIR Gov, por meio do endereço ctir@ctir.gov.br.