“Você foi hackeado” do seu próprio e‑mail no Outlook/Hotmail? Entenda o spoofing e saiba o que fazer

Recebeu um e‑mail de extorsão “You’ve been hacked” que parece ter saído do seu próprio endereço do Outlook ou Hotmail? Calma: quase sempre é falsificação do remetente. Veja como confirmar, denunciar, filtrar e reforçar a segurança da sua conta em poucos minutos.

Visão geral rápida

Resumo em uma frase: na imensa maioria dos casos, trata‑se de spoofing do campo From:, não de invasão da conta. Exclua ou reporte como phishing, fortaleça a segurança e, se o problema persistir, aplique as medidas de redução de recorrência descritas abaixo.

O que está realmente acontecendo

• Falsificação do remetente: o golpista manipula o campo De / From para parecer que a mensagem veio de você. O protocolo de e‑mail permite que servidores indiquem qualquer valor no From:, e os clientes exibem o que receberam.
• Por que não aparece em Enviados: a mensagem não saiu da sua caixa; foi entregue de fora com o seu endereço falsificado. Logo, não há registro em Itens Enviados.
• Por que bloquear não funciona: “bloquear o próprio endereço” costuma ser impedido. Em vez de bloquear, use Reportar phishing e/ou crie uma regra de conteúdo.

Como confirmar que é falsificação sem ser especialista

1. Abra o e‑mail (de preferência na pasta Lixo Eletrônico/Lixo Eletrónico) e não clique em links, anexos ou botões.
2. Exiba os cabeçalhos completos da mensagem.
3. Procure linhas como Authentication-Results, SPF, DKIM e DMARC. Valores “fail”, “softfail”, “none” ou ausência total desses mecanismos indicam forte suspeita de spoofing.
4. Verifique Return-Path e a cadeia de Received: se apontam para domínios e servidores sem relação com o seu provedor, é outro indício de falsificação.

Onde encontrar os cabeçalhos

Plataforma	Caminho para ver os cabeçalhos
Outlook na Web	Abra a mensagem ► menu de três pontos ► Exibir origem da mensagem ou Ver detalhes da mensagem.
Novo Outlook para Windows ou Mac	Abra a mensagem ► menu de três pontos ► Exibir origem. Em versões com suplementos, procure Exibir cabeçalhos.
Outlook clássico para Windows	Abra a mensagem ► Arquivo ► Propriedades ► área Cabeçalhos da Internet.
Outlook no telemóvel	Abra a mensagem ► menu de três pontos ► Exibir cabeçalhos ou encaminhe para si e examine no computador.

O que procurar nos cabeçalhos

Indicador	Como interpretar
Authentication-Results: spf=fail	Servidor que enviou a mensagem não está autorizado a enviar em nome do domínio do remetente.
dkim=fail ou dkim=none	Assinatura digital ausente ou inválida; forte indício de falsificação.
dmarc=fail ou policy=quarantine/reject	Domínio do remetente orienta a recusar/quarentenar mensagens não autenticadas.
Return-Path diferente do From:	Encaminhamento ou falsificação; avalie em conjunto com SPF/DKIM/DMARC.

Exemplo didático
From: Voce <seu_email@outlook.com>
Return-Path: bounce@dominio-aleatorio.xyz
Authentication-Results: spf=fail; dkim=none; dmarc=fail
Received: from servidor-estranho.tld [...]
Assunto: You’ve been hacked

Se não se sentir à vontade para ler cabeçalhos, siga diretamente para o checklist de ação a seguir.

O que fazer agora

• Não responda, não pague e não clique em nada.
• Reporte como phishing no Outlook. Isso treina os filtros e ajuda a reduzir a reincidência.
• Exclua a mensagem ou mantenha‑a no Lixo, caso tenha ido para lá automaticamente.
• Refaça a higiene de segurança da conta Microsoft/Outlook.com:
  • Troque a senha por uma única, longa e aleatória (frase secreta com várias palavras funciona muito bem).
  • Ative a verificação em duas etapas com aplicativo autenticador.
  • Revise e atualize telefone e e‑mail alternativo de recuperação.
  • Saia de sessões antigas e remova dispositivos que não reconhece em Segurança ► Atividade de login.
  • Verifique regras de caixa de entrada, encaminhamentos, delegações e respostas automáticas que você não criou.

Como reportar phishing no Outlook

Plataforma	Passo a passo
Outlook na Web e novo Outlook	Selecione a mensagem ► Reportar ou ícone de escudo ► Phishing ► confirmar.
Outlook clássico para Windows	Use o botão Report Message se disponível. Alternativa: Lixo Eletrônico ► Phishing.
Aplicativo móvel	Abra a mensagem ► menu de três pontos ► Reportar ► Phishing.

Checklist de verificação rápida da conta

Item	O que procurar	Ação recomendada
Atividade de login	Localizações, horários e dispositivos desconhecidos	Encerrar sessões, trocar senha, reforçar MFA
Regras e encaminhamentos	Regras que movem tudo para pasta oculta ou encaminham para terceiros	Excluir regras suspeitas, revisar histórico
Itens Enviados	Mensagens que você não lembra de enviar	Tratar como incidente; ver seção de incidentes
Resposta automática	Texto que você não criou	Desativar e trocar credenciais

Quando se preocupar de verdade

Há sinais que indicam comprometimento real, não apenas spoofing:

• Alertas de novo dispositivo ou localização e acessos que você não reconhece.
• Falhas de entrega notificando e‑mails que você não enviou.
• Regras, encaminhamentos, delegações ou respostas automáticas desconhecidas.
• Contactos relatando e‑mails estranhos supostamente enviados por você.

Se qualquer um desses sinais aparecer, trate como incidente:

1. Troque a senha imediatamente e mantenha a verificação em duas etapas ativa.
2. Remova regras e encaminhamentos maliciosos.
3. Revogue sessões e dispositivos não reconhecidos.
4. Faça verificação completa de malware no computador e no telemóvel.
5. Considere informar a área de TI ou um profissional de segurança, especialmente em contas corporativas.

Como reduzir a recorrência

• Continue usando Reportar phishing sempre que a fraude aparecer. Com o tempo, o filtro aprende e o volume tende a cair.
• Crie uma regra de conteúdo para mover para o Lixo mensagens com padrões típicos do golpe, como “You’ve been hacked”, “envie bitcoins”, “tenho sua senha antiga” e termos afins.
• Se utiliza domínio próprio no e‑mail, peça ao provedor ou administrador para configurar e impor SPF, DKIM e DMARC corretamente, preferindo política DMARC com quarantine ou reject após período de monitoramento. Para endereços @outlook.com e @hotmail.com, essa configuração é gerenciada pelo próprio serviço.

Modelo de regra de conteúdo no Outlook

As interfaces variam, mas a lógica é basicamente a mesma:

1. Acesse Configurações ► E‑mail ► Regras ► Nova regra.
2. Condições: “Assunto inclui” ou “Corpo inclui” e adicione palavras‑chave como: hacked, bitcoin, cripto, vídeo, webcam, have your password, sextortion.
3. Ações: “Mover para Lixo Eletrônico” e “Marcar como lido”.
4. Exceções (opcional): mantenha fora da regra mensagens de remetentes confiáveis, como colegas ou sistemas da empresa.

Dúvidas frequentes do tópico

Não consigo bloquear o meu próprio endereço

É esperado. Muitos serviços impedem bloquear o endereço da própria conta ou domínios internos. Use Reportar phishing e crie regras de conteúdo.

O e‑mail parece vir de outro país

Os cabeçalhos podem mostrar servidores estrangeiros. Isso é típico de spoofing e não prova invasão. Só trate como comprometimento se houver sinais adicionais.

O golpista “tem meus contatos e fotos”

Golpistas frequentes usam dados de vazamentos antigos, perfis públicos ou imagens genéricas. Sem sinais de invasão, mantenha a calma, atualize o telemóvel, remova apps suspeitos e não instale software de origem desconhecida.

Meu número foi falsificado em chamadas

É um problema separado, chamado caller ID spoofing. Ative filtros de chamadas do operador e denuncie ligações abusivas. Isso não implica invasão do e‑mail.

Devo pagar o resgate

Não. Pagar incentiva o crime e não há garantia de que o assediador cumprirá qualquer promessa. Reporte, filtre e fortaleça sua segurança.

Guia prático para verificar regras, encaminhamentos e delegações

Elemento	Onde verificar	Sinais suspeitos
Regras	Configurações ► E‑mail ► Regras	Regra que move “todas as mensagens” para pasta obscura, exclui ou encaminha tudo
Encaminhamento	Configurações ► Encaminhamento	Endereço externo desconhecido
Delegações	Configurações ► Contas ► Acesso delegado	Usuários que você não autorizou
Respostas automáticas	Configurações ► Respostas automáticas	Mensagem ativa sem seu conhecimento

Boas práticas de senha e autenticação

• Use uma frase longa e única para a conta de e‑mail.
• Ative a verificação em duas etapas com aplicativo autenticador; evite códigos via SMS quando possível.
• Guarde senhas em um gerenciador de senhas confiável.
• Evite reutilizar senhas entre serviços diferentes.

Para administradores e proprietários de domínio

Se você ou sua organização usam endereço com domínio próprio, ajuste a autenticação de e‑mail para dificultar spoofing:

• SPF: inclua apenas os servidores realmente autorizados a enviar pelo seu domínio; evite +all.
• DKIM: assine as mensagens saídas; acompanhe a rotação periódica das chaves.
• DMARC: comece com política de monitoramento (p=none) analisando relatórios, depois aumente para p=quarantine e, por fim, p=reject quando confiante.
• Monitoramento: analise relatórios DMARC agregados para identificar fontes legítimas e ilegítimas.

Como enviar feedback à Microsoft

Se deseja sugerir melhorias no Outlook, especialmente a ideia de “ocultar o remetente quando for o próprio endereço em e‑mails marcados como Lixo”, envie comentários pelos canais nativos:

• Outlook para Windows ou Mac no estilo novo: Ajuda ► Feedback.
• Outlook no telemóvel: menu de três linhas ► Ajuda e feedback.
• Outlook na Web: ícone Ajuda ou Configurações e pesquise por Comentários/Feedback.

Roteiro de decisão rápido

1. Mensagem parece vir do seu e‑mail e pede dinheiro ou criptomoeda? Não clique, Reporte como phishing, Exclua.
2. Não há nada estranho em Enviados, regras ou logins? Provável spoofing. Reforce a segurança e siga a seção de redução de recorrência.
3. Há evidências de acesso indevido ou envios que você não fez? Trate como incidente e siga o plano de resposta.

Exemplos de textos úteis

Mensagem curta para avisar contactos

Recebi e‑mails falsos que parecem vir da minha conta. É golpe de falsificação de remetente. Ignore e apague. Se recebeu algo suspeito “meu”, não clique em nada.

Palavras‑chave para filtrar golpes comuns

• “You’ve been hacked”, “porn”, “webcam”, “tenho sua senha”, “bitcoin”, “transfer in crypto”, “sextortion”.

Erros comuns que aumentam o risco

• Reutilizar a mesma senha em e‑mail e redes sociais.
• Desativar a verificação em duas etapas por “incomodar”.
• Ignorar alertas de novo login por achar que são falsos.
• Arquivar, em vez de reportar, mensagens de fraude recorrentes.

Em poucas palavras

• O golpe é spoofing; não implica, por si só, invasão da conta.
• Use Reportar phishing, exclua a mensagem e reforce a segurança com senha forte, verificação em duas etapas e revisão de regras e sessões.
• Se usa domínio próprio, configure SPF/DKIM/DMARC e avance para políticas mais rígidas após monitoramento.
• Trate como comprometimento real apenas diante de evidências: logins suspeitos, regras estranhas, envios indevidos.