MENU
  1. Início
  2. MS Office
  3. Outlook
  4. Conta Hotmail/Outlook invadida? Golpe “Pegasus” no e‑mail: como verificar e proteger sua conta

Conta Hotmail/Outlook invadida? Golpe “Pegasus” no e‑mail: como verificar e proteger sua conta

Outlook

Recebeu um e‑mail no Outlook/Hotmail dizendo que a sua conta foi “pirateada”, que instalaram “Pegasus” no seu telemóvel e que tem 48 h para pagar em Bitcoin? Este guia explica como confirmar se houve invasão e quais medidas objetivas tomar, passo a passo.

Índice

Entenda o golpe “Pegasus” no e‑mail

Este tipo de mensagem é uma variante de sextortion/extortion scam: o atacante tenta assustar o utilizador afirmando ter acesso completo à conta e aos dispositivos, muitas vezes incluindo uma contagem regressiva e exigindo pagamento em criptomoedas. Não é por acaso que o e‑mail parece ter vindo do seu próprio endereço: os criminosos costumam forjar o campo “De:” (spoofing) para dar aparência de legitimidade. Isso, por si só, não prova que a sua conta foi comprometida.

O nome “Pegasus” é usado como isco porque ganhou notoriedade na imprensa. Trata‑se de um spyware mercenário altamente sofisticado, usado por grupos estatais e direcionado a alvos muito específicos. É extremamente improvável que esteja presente num golpe genérico disparado em massa para caixas de correio de pessoas comuns. Ainda assim, é sensato verificar a sua conta e reforçar a segurança — e é exatamente isso que este artigo ajuda você a fazer.

Como confirmar se houve invasão ou apenas falsificação do remetente

Antes de entrar em ação, vale distinguir dois cenários diferentes:

O que você observaInterpretação provávelAção imediataPrioridade
Mensagem ameaçadora “do seu e‑mail” pedindo Bitcoin; sem outras evidênciasPhishing com spoofing do remetenteNão pagar, não clicar, seguir o passo a passo deste guiaAlta
Alertas de novo login que você não reconhece no histórico da contaComprometimento de credenciaisTrocar a senha, terminar sessões, ativar 2FA, revisar regras de e‑mailUrgente
Contatos relatam receber SPAM do seu endereçoPossível invasão ou envio com remetente forjado por terceirosVerificar histórico de logins e regras de encaminhamento; mudar senhaAlta
Existem regras de encaminhamento automático que você não criouComprometimento da caixa de correioRemover regras, trocar senha, 2FA, encerrar sessõesUrgente
Dispositivos apresentam mensagens estranhas, pop‑ups e apps desconhecidosPossível malware no dispositivoExecutar antivírus e varreduras offline; atualizar sistemasAlta

Passo a passo recomendado para proteger a sua conta Hotmail/Outlook

Verificar atividade de início de sessão

No painel de segurança da sua Conta Microsoft, aceda ao menu de Segurança e abra o Histórico de início de sessão (às vezes chamado “Atividade recente”). Procure:

  • Localização que você não reconhece (país, cidade).
  • Plataforma e navegador que não correspondem ao que usa (por exemplo, “Linux”/“Chrome” se você só usa “iOS”/“Outlook”).
  • Data e hora em momentos em que você não estava ativo.
  • Endereço IP estranho, especialmente se for de outra região ou provedor incomum.

Ao encontrar algo suspeito, clique em “Isso não fui eu” (ou opção equivalente) e siga as instruções para proteger a conta. Em seguida, prossiga para as próximas ações.

Alterar a palavra‑passe imediatamente

  1. Escolha uma senha longa e exclusiva (pelo menos 14–16 caracteres, de preferência uma frase) e nunca reutilize senhas entre serviços.
  2. Se possível, utilize um gestor de senhas para gerar e guardar credenciais únicas e fortes.
  3. Atualize as informações de segurança: telefone, e‑mail alternativo e perguntas de recuperação (se existirem).
  4. Na página de segurança, use a opção de terminar sessões ativas em todos os dispositivos e serviços; assim, quem estiver logado com sua senha antiga será expulso.
  5. Revogue senhas de app antigas (POP/IMAP, SMTP) e tokens de acesso de aplicativos conectados que você não reconhece.

Ativar a verificação em duas etapas

Com a Verificação em Duas Etapas (2FA), mesmo que alguém descubra a sua senha, ainda precisará de um segundo fator. Opções comuns:

  • Aplicativo Microsoft Authenticator com notificações de aprovação.
  • Códigos temporários (TOTP) em app autenticador compatível.
  • SMS como alternativa de emergência (menos seguro, mas melhor que nada).
  • Códigos de recuperação guardados offline (impressos ou num cofre de senhas).

Dê preferência ao Microsoft Authenticator ou códigos TOTP. Desative fatores que você não usa e nunca aprove solicitações de login que não foram iniciadas por você.

Reconhecer a mensagem como phishing

Alguns sinais clássicos de fraude de extorsão com tema “Pegasus”:

  • Tom urgente com contagem regressiva e ameaças (“48 h”, “iremos vazar seus dados”).
  • Exigência de pagamento em Bitcoin ou outra criptomoeda.
  • Afirmações técnicas vagas (“instalei spyware em todos os seus dispositivos”) sem prova concreta.
  • Endereço “remetente” igual ao seu, mas com spoofing do campo From.
  • Erros gramaticais ou formatação pouco profissional.

O que não fazer: não responda, não clique em links, não baixe anexos e não pague. Apagar ou reportar a mensagem é a atitude correta.

Executar análises de segurança nos dispositivos

Mesmo que a probabilidade de um spyware avançado seja mínima, aproveite para revisar a higiene de segurança de todos os dispositivos que acessam sua conta Microsoft/Outlook.

  • Windows: abra Segurança do Windows > Proteção contra vírus e ameaças > execute uma verificação completa. Considere a verificação offline para detetar ameaças ocultas. Ferramentas como o Microsoft Safety Scanner podem complementar a varredura.
  • macOS: mantenha o sistema atualizado; se usar antivírus de confiança, rode uma verificação completa. Desinstale adware ou perfis de configuração estranhos.
  • Android: garanta que o Google Play Protect está ativo; remova apps desconhecidos; instale atualizações de segurança; use um antivírus confiável se desejar checagens adicionais.
  • iOS/iPadOS: mantenha o iOS atualizado; evite jailbreak; se notar perfis de gestão desconhecidos, remova‑os e redefina o dispositivo.

Se um dispositivo apresentar sintomas persistentes (pop‑ups, aquecimento anormal, dados consumidos sem explicação), faça cópia de segurança e considere uma reinstalação limpa do sistema.

Reforçar a segurança da caixa de correio

  • Regras e filtros: verifique se existem regras de encaminhamento e filtros que você não criou (ex.: mover todos os e‑mails para “Arquivo” ou “Lixo Eletrônico”, encaminhar cópias para endereços externos). Elimine qualquer regra suspeita.
  • Encaminhamento automático: confirme que o auto‑forward não está ativo para um endereço desconhecido.
  • Dispositivos e sessões: finalize sessões antigas e remova dispositivos que você não reconhece.
  • POP/IMAP/SMTP: se não usa, desative. Se usa, troque as senhas de app e revise os clientes configurados.
  • Aplicativos conectados: revogue acessos de apps de terceiros que não sejam essenciais.

Reportar e eliminar

Para ajudar a treinar os filtros e prevenir golpes a outras pessoas:

  • Outlook no Android/iOS: abra a mensagem > toque nos três pontos > escolha Denunciar phishing (ou opção equivalente). Em seguida, mova para Lixo Eletrônico ou elimine.
  • Outlook na Web/Desktop: selecione a mensagem > menu Lixo Eletrónico/Junk > Phishing. Depois, apague.
  • Se houver ameaças à sua integridade, guarde evidências (prints, cabeçalhos completos) e considere registar queixa na polícia local ou no centro/canal de cibercrime do seu país.

Manter a calma

“Pegasus” é um termo usado para intimidar. A esmagadora maioria dessas mensagens é apenas phishing com extorsão; não há qualquer prova de que instalaram algo nos seus aparelhos. Tenha prudência, siga os passos de verificação, e não transfira dinheiro.

Guia prático e detalhado de verificação

Ver a atividade recente da conta Microsoft

No painel da sua conta, explore a Atividade de início de sessão. Toque em cada evento para ver mais detalhes. Itens a observar:

  • Tipo de evento: login bem‑sucedido, falha de senha, alteração de segurança.
  • Geolocalização aproximada: discrepâncias grandes são bandeiras vermelhas.
  • Endereço IP: anote o IP suspeito caso precise registrar ocorrência.
  • Dispositivo: nome do aparelho, SO e navegador. Desconfie de dispositivos desconhecidos.

Se confirmar invasão, além de mudar a senha e ativar 2FA, use a opção de sair de todos os lugares e refazer login apenas nos seus dispositivos confiáveis.

Como verificar regras e encaminhamento no Outlook

  • Outlook na Web: Ícone de engrenagem (Definições) > Correio > Regras. Exclua regras que você não criou. Depois, verifique Encaminhamento e Itens enviados suspeitos.
  • Outlook Desktop: Arquivo > Gerir Regras e Alertas. Revise regras; desative ou apague as estranhas.
  • Outlook Mobile: as regras completas geralmente são geridas na Web/Desktop; no telemóvel, concentre‑se em reportar phishing e remover a mensagem.

Como interpretar rapidamente cabeçalhos de e‑mail

Se você sabe ler cabeçalhos, procure a secção Authentication-Results ou similar:

spf=fail; dkim=none; dmarc=fail

Resultados negativos sugerem que a mensagem não foi enviada por servidores autorizados do seu domínio — típico de spoofing. Já valores spf=pass e dkim=pass podem ocorrer mesmo em cenários legítimos ou se o atacante enviou a partir da sua conta comprometida. Portanto, combine a leitura dos cabeçalhos com o histórico de logins para concluir com segurança.

Checklist rápida para agir agora

  • ☑ Trocar a senha por uma frase longa e única.
  • ☑ Ativar 2FA com Microsoft Authenticator (guardar códigos de recuperação).
  • ☑ Encerrar sessões ativas e revogar senhas de app.
  • ☑ Verificar regras/filtros e encaminhamento no Outlook; apagar os suspeitos.
  • ☑ Fazer verificação completa com antivírus e, se possível, verificação offline.
  • ☑ Reportar a mensagem como phishing e apagar.
  • ☑ Informar contatos próximos caso tenham recebido mensagens estranhas em seu nome.

Perguntas frequentes

O e‑mail veio do meu próprio endereço. Isso significa que a minha conta foi invadida?

Não necessariamente. Os golpistas conseguem forjar o campo “De:” de modo que a mensagem pareça enviada a partir do seu endereço. O que indica invasão é atividade suspeita no histórico de login, regras/filtros alterados, mensagens enviadas da sua conta sem sua ação, ou alertas de segurança reais.

Devo pagar para evitar que vaze “meus dados”?

Não. Pagar financia o crime e não há garantia de que a extorsão pare. As provas fornecidas pelo golpe costumam ser falsas ou recicladas. O correto é reforçar a segurança, recolher evidências e, se for o caso, comunicar às autoridades.

E se eu encontrar logins que não reconheço?

Trate como invasão: troque a senha, ative 2FA, termine todas as sessões, remova regras e encaminhamentos estranhos, rode um antivírus nos dispositivos e monitore a conta nos dias seguintes.

Posso confiar no SMS para 2FA?

É melhor do que não ter 2FA, mas é menos seguro do que um autenticador. Sempre que possível, prefira Microsoft Authenticator ou códigos TOTP e guarde códigos de recuperação offline.

Como criar uma senha realmente forte?

Use uma frase aleatória com 4–5 palavras não relacionadas, números e símbolos fáceis de lembrar (ex.: chuva-azul_99-suco-duna). Não recicle senhas. Considere um gestor de senhas para manter tudo seguro e único.

Sou jornalista/ativista ou trabalho com dados sensíveis. O que fazer além do básico?

Procure apoio especializado em segurança digital, use 2FA com aplicativo autenticador, mantenha o sistema sempre atualizado, minimize a superfície de ataque (menos apps e extensões) e avalie medidas avançadas como chaves de acesso (passkeys) e isolamento do navegador.

Como preservar evidências se eu for apresentar queixa?

Tire capturas de ecrã da mensagem, guarde o cabeçalho completo e anote data/hora de receção. Registe também eventuais IPs suspeitos do histórico de logins. Evite reenviar a mensagem original a terceiros para não espalhar conteúdo potencialmente malicioso.

Exemplos de mensagens comuns de extorsão

  • “Instalámos o spyware Pegasus no seu telemóvel e computador. Temos gravações suas. Pague X BTC em 48 h ou divulgaremos tudo.”
  • “A sua palavra‑passe foi comprometida. Prova: o e‑mail vem do seu endereço. Envie Bitcoin para esta carteira para recuperar o acesso.”
  • “O seu dispositivo está infetado. Para evitar processo judicial, realize o pagamento hoje.”

Essas frases exploram medo e urgência. Observe a falta de dados verificáveis (número de série do dispositivo, horários de ‘supostas’ gravações, etc.).

Boas práticas para evitar futuras tentativas

  • 2FA sempre nas contas principais (e‑mail, armazenamento, redes sociais).
  • Gestor de senhas e senhas únicas para cada serviço.
  • Atualizações automáticas de sistema e apps.
  • Navegação prudente: desconfie de anexos e links, sobretudo em mensagens inesperadas.
  • Privacidade: evite expor endereço de e‑mail em páginas públicas; use aliases quando possível.
  • Cópias de segurança regulares (cloud confiável e/ou disco externo cifrado).
  • Monitorização: revise periodicamente a atividade de login da sua Conta Microsoft.

Fluxo de decisão para o leitor apressado

  1. Recebi o e‑mail ameaçando com “Pegasus” e pedindo Bitcoin ➜ não pago, não clico.
  2. Abro o histórico de login da Conta Microsoft ➜ verifico entradas estranhas.
  3. Independentemente do que encontrar ➜ troco a senha e ativo 2FA.
  4. Reviso regras, encaminhamentos e sessões ➜ limpo tudo o que for suspeito.
  5. Rodo antivírus nos dispositivos ➜ varredura completa e, se possível, offline.
  6. Marco a mensagem como phishing e apago ➜ relato e sigo a vida.

Resumo em uma frase

Muito provavelmente trata‑se de phishing; confirme o histórico de logins, troque a senha, habilite 2FA, faça varredura antivírus e classifique o e‑mail como spam — sem pagar nada.

Apêndice técnico para curiosos

Por que o “spoofing” engana tanta gente? Porque o protocolo SMTP, que rege o envio de e‑mails, foi concebido num tempo em que a verificação de identidade não era prioridade. Com o tempo surgiram mecanismos de autenticação como SPF, DKIM e DMARC, mas a adoção e a configuração correta variam; além disso, mensagens podem transitar por encaminhamentos legítimos que alteram esses resultados. Daí ser essencial cruzar múltiplos sinais (atividade de login, regras, apps conectados) antes de concluir que houve invasão.

Se você precisa avaliar cabeçalhos:

  • SPF: verifica se o servidor remetente está autorizado a enviar em nome do domínio.
  • DKIM: assegura que o conteúdo não foi alterado e que o domínio assinou a mensagem.
  • DMARC: define políticas e relatórios combinando SPF e DKIM.

Mesmo assim, não tente “caçar” invasões apenas por SPF/DKIM/DMARC; use essas pistas como apoio, não como prova definitiva. O indicador mais fiável de comprometimento da sua conta é o histórico de logins e alterações indevidas na própria caixa de correio.

Plano de resposta em menos de trinta minutos

TempoTarefaObjetivo
0–5 minNão responder ao e‑mail; marcar como phishingImpedir danos imediatos
5–12 minTrocar a senha; ativar 2FA; encerrar sessõesCortar acesso indevido
12–18 minVerificar histórico de logins e regras de e‑mailDetetar invasão e remover persistência
18–25 minExecutar varredura completa com antivírusGarantir integridade do dispositivo
25–30 minInformar contatos próximos e anotar evidênciasPrevenir abuso adicional e documentar o caso

Erros comuns que atrapalham a recuperação

  • Adiar a troca de senha porque “parece só spam”. Se houver invasão real, cada minuto conta.
  • Manter SMS como único segundo fator quando o Authenticator está disponível.
  • Esquecer de encerrar sessões, permitindo que o invasor continue logado mesmo após você alterar a senha.
  • Ignorar regras e encaminhamentos que redirecionam cópias para o atacante.
  • Não atualizar o sistema, deixando o dispositivo vulnerável a vetores já corrigidos.

Conclusão prática

Receber um e‑mail dramático sobre “Pegasus” é desagradável, mas, na maioria dos casos, não passa de um truque psicológico. O caminho seguro é objetivo e curto: verificar o histórico de logins, trocar a senha, ativar 2FA, limpar regras e encaminhamentos, varrer os dispositivos e reportar como phishing. Seguindo estas etapas, você reduz quase a zero as hipóteses de dano real e fortalece sua postura para o futuro.

Outlook
2FA Hotmail Microsoft 365 outlook phishing Segurança
Índice