E‑mail de extorsão “Pegasus”: como identificar spoofing no Outlook/Hotmail (SPF, DKIM e DMARC)

Recebeu um e‑mail “Pegasus” supostamente enviado do seu próprio endereço? Respire. Este guia explica por que é quase sempre spoofing, como confirmar nos cabeçalhos (SPF, DKIM, DMARC), e o passo a passo para proteger sua conta Outlook/Hotmail sem pânico.

Visão geral: o golpe “Pegasus” com remetente falsificado (spoofing)

Nos últimos anos, muita gente tem encontrado, quase sempre na pasta Lixo/Junk, uma mensagem dizendo que um invasor instalou o “Pegasus” nos seus dispositivos, gravou vídeos e irá divulgar tudo em 48–50 horas caso não seja pago um resgate em criptomoedas (BTC/LTC). O detalhe que assusta: o e‑mail aparenta ter sido enviado do próprio endereço da vítima (“Note to self/Nota para mim”).

Na imensa maioria dos casos, trata‑se de sextortion com spoofing do campo From:. Os golpistas apenas forjam o remetente; isso não prova acesso à sua conta ou ao seu dispositivo.

Diagnóstico rápido (sem perder tempo)

• É golpe: campanhas em massa usam “Pegasus” como isca psicológica. O spyware real é caríssimo e direcionado, não aparece cobrando US$ 1.250 em Litecoin.
• O e‑mail “de você para você” não prova invasão: o campo From: pode ser falsificado.
• Sinais técnicos típicos nos cabeçalhos:
  • Authentication-Results: spf=fail ou spf=softfail
  • dmarc=fail
  • dkim=none (mensagem não assinada)
  • Received-SPF: Fail/SoftFail (... does not designate <IP> as permitted sender)
  • IP de origem que não pertence à Microsoft; campos como AuthAs: Anonymous, X-SID-Result: FAIL, compauth=fail

Resumo: Se caiu no Junk e os cabeçalhos mostram spf=fail/softfail, dkim=none e dmarc=fail, é spoofing. Não há evidência de que a sua conta ou os seus dispositivos foram comprometidos.

Entendendo SPF, DKIM e DMARC (sem jargão desnecessário)

Estes três mecanismos ajudam o servidor de destino a decidir se um e‑mail é legítimo:

Sigla	O que verifica	Como aparece no cabeçalho	Interpretação prática
SPF (Sender Policy Framework)	Se o IP que enviou o e‑mail está autorizado a enviar em nome do domínio.	spf=pass|softfail|fail em Authentication-Results e linhas Received-SPF.	softfail (~all) e fail (-all) indicam que o servidor remetente não está listado como legítimo. Em golpes, é comum softfail ou fail.
DKIM (DomainKeys Identified Mail)	Se o e‑mail foi assinado digitalmente pelo domínio e a assinatura confere.	dkim=pass|fail|none em Authentication-Results.	Em golpes, costuma aparecer dkim=none (sem assinatura) ou dkim=fail (quebrada/forjada).
DMARC (Domain-based Message Authentication, Reporting and Conformance)	Combina SPF/DKIM e verifica alinhamento com o domínio do From:.	dmarc=pass|fail em Authentication-Results.	Se dmarc=fail, o domínio do From: não alinhou com SPF/DKIM — típico em spoofing.

Nota importante: muita gente digita “FSP” por engano; o correto é SPF.

Como ver os cabeçalhos completos no Outlook/Hotmail

Os cabeçalhos (a “origem da mensagem”) revelam as validações de SPF/DKIM/DMARC e o caminho de entrega. Veja como abrir:

Outlook na Web (Outlook.com/Hotmail)

1. Abra o e‑mail suspeito.
2. Clique em ⋯ Mais ações (canto superior).
3. Escolha Exibir origem da mensagem (ou “Ver origem da mensagem”).
4. Uma janela mostrará o texto completo com Authentication-Results, Received-SPF, IP de envio etc.

Outlook para Windows

1. Abra a mensagem.
2. Vá em Arquivo/Ficheiro → Propriedades.
3. No rodapé, copie/visualize Cabeçalhos da Internet.

Aplicativos móveis

iOS/Android geralmente não mostram cabeçalhos completos. Use o navegador e acesse o Outlook na Web para ver a origem integral.

Exemplo prático de cabeçalho de spoofing

Estes são trechos (fictícios, porém realistas) do que costuma aparecer em golpes “Pegasus”:

Authentication-Results: spf=softfail (sender IP 203.0.113.55) smtp.mailfrom=exemplo@outlook.com;
 dkim=none (no signature); dmarc=fail action=quarantine header.from=outlook.com;
 compauth=fail reason=001
Received-SPF: SoftFail (protection.outlook.com: domain of outlook.com does not designate 203.0.113.55 as permitted sender)
From: "Você" <exemplo@outlook.com>
To: exemplo@outlook.com
X-Sender-IP: 203.0.113.55
AuthAs: Anonymous
X-SID-Result: FAIL

Observe como o domínio no From: é seu, mas o IP de envio é outro (e não é Microsoft). O compauth=fail (Composite Authentication) também reforça que a origem não é confiável.

Checklist: o que fazer agora

1. Não responda, não pague, não clique. Não há negociação com golpista. Apague ou guarde como evidência.
2. Troque a senha da sua conta Microsoft (Outlook/Hotmail) por uma senha longa e única (pelo menos 12–16 caracteres, com frase aleatória). Evite reutilizar senhas.
3. Ative 2FA (duas etapas) com aplicativo autenticador. Desative métodos fracos (SMS) se possível e mantenha códigos de recuperação.
4. Revise a atividade recente da conta:
   • Verifique se houve logins bem‑sucedidos de locais/aparelhos que não reconhece.
   • Se encontrar algo estranho, encerre sessões ativas, troque a senha novamente e mantenha 2FA obrigatória.
5. Cheque regras e encaminhamentos no Outlook na Web:
   • Definições/Configurações → Correio/Mail → Regras: apague regras que reencaminham, apagam ou desviam e‑mails automaticamente sem seu consentimento.
   • Encaminhamento/Forwarding: se estiver ativo e você não configurou, desative.
6. Reduza superfícies desnecessárias (quando aplicável):
   • Mantenha POP desativado (use IMAP apenas se precisar).
   • Evite “SMTP autenticado” por apps antigos; prefira clientes modernos com OAuth.
7. Varredura antivírus completa:
   • Execute uma verificação com um antivírus confiável (o Microsoft Defender cobre a maioria dos casos).
   • Não instale “limpadores” aleatórios indicados por estranhos.
8. Reporte o phishing:
   • No Outlook/Outlook Web, use o Reportar phishing/Marcar como phishing.
   • Considere notificar as autoridades locais ou o CERT/CSIRT do seu país (ex.: CERT.br no Brasil; CSIRT/CNCS em Portugal), principalmente se houver prejuízo financeiro.
9. Monitore e tranquilize‑se:
   • Sem logins estranhos, sem e‑mails nos “Itens enviados” que não reconhece e sem alertas de segurança, não houve invasão.

Crie filtros para reduzir reincidência

Se quiser eliminar esse tipo de mensagem antes de abrir, você pode criar uma regra por palavras‑chave frequentes dos golpes:

• Termos como “Pegasus”, “48 hours/48 horas”, “Litecoin/LTC”, “Bitcoin/BTC”, “sextortion” e “send to your contacts”.
• Instruções: Definições → Correio → Regras → Nova regra → Condição por assunto/corpo → Ação: mover para Lixo.

Por que o cliente mostra “Note to self/Nota para mim”?

Alguns clientes usam essa etiqueta quando From e To são iguais. Tentar “bloquear a si próprio” gera erro — é esperado e não significa invasão. O que importa é a autenticidade confirmada (SPF/DKIM/DMARC) e a atividade real da conta.

Como diferenciar spoofing de acesso real à sua conta

Indício	O que normalmente significa	Ação recomendada
Mensagem no Junk com spf=fail/softfail, dkim=none, dmarc=fail	Spoofing do remetente	Ignore/Reporte; mantenha 2FA e senha forte
Itens Enviados sem e‑mails que você não reconhece	Não há evidência de envio pela sua conta	Sem alarme; monitore
Logins bem‑sucedidos de locais desconhecidos	Possível comprometimento	Troque senha, 2FA, encerre sessões, revise regras
Regras/encaminhamentos criados sem sua ação	Comprometimento provável	Apague regras, troque senha, 2FA, verificação antivírus
Alertas de alteração de dados de segurança	Alguém tentou mexer nas suas recuperações	Revise tudo e reforce 2FA imediatamente

FAQ — dúvidas frequentes

SPF softfail também é spoof?

Quase sempre, sim. Softfail indica “provável não autorizado” (regra ~all). Com dkim=none e dmarc=fail, o cenário típico é forja do remetente.

Não vejo nada nos “Itens enviados”. Fui hackeado?

Não. Isso sugere que a mensagem não partiu da sua caixa de correio, e sim de fora, com o seu endereço falsificado no From:.

O e‑mail mostra um password meu. E agora?

Golpistas às vezes incluem senhas vazadas de violações antigas. Troque essa senha em todos os serviços onde a usou, ative 2FA e evite reutilização de senhas. Se o password for o atual da sua conta Microsoft, troque imediatamente e revise a atividade.

Como saber se é real?

Sinais de compromisso verdadeiro: logins desconhecidos bem‑sucedidos, regras/encaminhamentos novos, mensagens saindo da sua conta sem sua ação, ou alertas de alteração de dados de segurança. Se ocorrer, faça lockdown: senha nova, 2FA, remova regras, encerre sessões e rode antivírus.

Por que caiu no Lixo/Junk?

Porque o filtro do Outlook avaliou sinais como reputação do IP, conteúdo típico de fraude e falhas de autenticação. Isso é um bom sinal — o sistema está funcionando.

“DKIM none” é sempre fraude?

Não necessariamente: domínios mal configurados também podem não assinar. Porém, quando combinado com SPF e DMARC desfavoráveis e um assunto de extorsão, a probabilidade de golpe é altíssima.

Sou menor de idade. O que fazer?

Não responda nem interaja com o remetente. Avise um responsável e reporte imediatamente. Guarde os e‑mails como prova.

Boas práticas permanentes (prevenção)

• Imagens desativadas por padrão: bloqueie o download automático de imagens no cliente de e‑mail. Isso reduz “pixels de rastreio” usados por golpistas para saber se você abriu.
• Atualizações em dia: mantenha o sistema operacional e os aplicativos sempre atualizados.
• Higiene de senha: senhas únicas e longas; considere um gerenciador de senhas confiável.
• 2FA em tudo: especialmente e‑mail, armazenamento em nuvem e redes sociais.
• Desconfiança saudável: anexos e links inesperados, mesmo “de você”, merecem atenção redobrada.

Como reforçar a segurança no Outlook/Hotmail

Bloquear imagens externas

Em clientes compatíveis, procure Definições/Configurações → Correio → Layout/Privacidade e desative o carregamento automático de imagens externas.

Revisar POP/IMAP/SMTP

• POP: mantenha desativado, a menos que precise realmente. Ele baixa e, em alguns casos, apaga do servidor.
• IMAP: deixe ativado apenas se usa clientes que precisam.
• SMTP autenticado: só ative para aplicativos legados que realmente necessitem. Prefira apps modernos com OAuth.

Revisar dispositivos e sessões

Pela página de segurança da sua conta Microsoft, veja dispositivos conectados e sessões recentes. Desconecte o que não reconhecer.

Guia de verificação técnica para cabeçalhos (passo a passo)

1. Abra a origem da mensagem (conforme instruções acima).
2. Procure a linha Authentication-Results:.
3. Localize os resultados de SPF, DKIM e DMARC:
   • Se encontrar spf=fail ou spf=softfail, marque ponto para spoofing.
   • Se dkim=none ou dkim=fail, mais um ponto.
   • Se dmarc=fail, o alinhamento não existiu → típico de fraude.
4. Cheque o Received-SPF: ele costuma trazer a justificativa (“does not designate <IP> as permitted sender”).
5. Veja o IP de origem: se não é da Microsoft e o assunto é extorsão, trate como golpe.

Modelo de resposta interna (se precisar reportar internamente)

Assunto: Possível e-mail de sextortion com spoofing - "Pegasus"
Resumo: Mensagem recebida no Junk alegando invasão e exigindo resgate em cripto.
Cabeçalhos: spf=softfail/fail, dkim=none, dmarc=fail, compauth=fail, IP externo não-Microsoft.
Ações tomadas: senha trocada, 2FA ativada, atividade revisada, regras e encaminhamentos checados, antivírus executado, reportado como phishing no Outlook.
Solicitação: Nenhuma ação adicional necessária; mantido para evidência.

Erros comuns e como evitá‑los

• Pagar resgate: legitima o golpe e não garante exclusão de nada.
• Responder ao e‑mail: confirma que a sua caixa é “ativa”, aumentando spam.
• Instalar “removedor de Pegasus” aleatório: risco de malware real.
• Ignorar sinais de compromisso quando existem (logins estranhos, encaminhamento criado, alertas). Se houver, faça o lockdown completo.

Se (e somente se) houver indícios de invasão real

1. Troque a senha imediatamente e mantenha 2FA.
2. Encerre todas as sessões e desconecte dispositivos desconhecidos.
3. Remova regras/encaminhamentos suspeitos.
4. Revogue acessos de aplicativos que não reconhece.
5. Faça varredura completa no computador e no telefone principal.
6. Guarde evidências (cabeçalhos completos, horários, prints) e reporte ao suporte/autoridades.

Glossário rápido

• From: endereço exibido ao destinatário (pode ser falsificado).
• Envelope sender / Return‑Path: remetente técnico usado na entrega (pode diferir do From).
• SPF/DKIM/DMARC: mecanismos de autenticação e alinhamento do remetente.
• Composite Authentication (compauth): avaliação agregada usada por serviços como o Outlook para classificar a confiabilidade.
• Sextortion: tentativa de extorsão com narrativa sexual, frequentemente usando medo e urgência.

TL;DR — 20 segundos

• Esse e‑mail “Pegasus” é sextortion com spoofing do remetente.
• Cabeçalhos com spf=fail/softfail, dkim=none, dmarc=fail ⇒ não saiu da sua conta.
• Não pague; mude a senha; ative 2FA; revise atividade/regras/encaminhamento; rode antivírus; reporte como phishing; siga a vida.

Checklist imprimível

Passo	Feito?	Notas
Apagar/arquivar a mensagem (não clicar)	☐
Trocar senha da conta Microsoft	☐	Senha longa e única
Ativar 2FA (aplicativo autenticador)	☐	Guardar códigos de recuperação
Revisar logins recentes	☐	Desconectar sessões suspeitas
Checar regras e encaminhamentos	☐	Remover desconhecidos
POP desativado / IMAP só se precisar	☐	Preferir clientes modernos
Varredura antivírus completa	☐	Defender é suficiente na maioria
Reportar como phishing	☐	Outlook → Reportar phishing

Concluindo

O truque do remetente “igual ao seu” é antigo, mas ainda assusta. Cabeçalhos dizem a verdade: se SPF falhou, não há DKIM e DMARC falhou, não foi a sua conta que enviou. Siga o roteiro: não interaja, troque senha, ative 2FA, revise a conta e reporte. Com essas medidas, você fica protegido hoje e melhora sua postura de segurança para o futuro.