Recebeu um e‑mail agressivo com “Hello pervert”, ameaças e pedido de dinheiro? Calma. Este guia explica por que isso é um golpe, como provar que a mensagem foi forjada (spoofing), o que verificar na sua conta Microsoft/Outlook e como proteger o OneDrive passo a passo.
Visão geral do golpe “Hello pervert” no Outlook/Microsoft
Em ondas, criminosos disparam e‑mails com assunto/saudação como “Hello pervert”, alegando “invadi seu PC”, citando “spyware Pegasus” e exigindo pagamento (muitas vezes em criptomoedas). Em alguns casos, o e‑mail parece vir do seu próprio endereço e exibe a sua foto de perfil. Isso assusta — e é exatamente essa a intenção.
- Não é prova de invasão: na imensa maioria dos casos é spoofing (remetente forjado). O golpista falsifica o campo “De:” e o cliente de e‑mail mostra o nome/foto associados a esse endereço.
- Indício rápido: se a mensagem foi direto para Lixo Eletrônico/Spam e não aparece em Itens enviados, é praticamente certo que não saiu da sua caixa de correio.
- “Pegasus” é espantalho: usado apenas para dar credibilidade. Esse spyware é de alvo ultrasseletivo e não aparece em spam genérico.
Diagnóstico rápido: é spoofing ou invasão real?
| Sinal observado | O que normalmente significa | O que fazer |
|---|---|---|
| Mensagem “de mim para mim”, mas não está em Itens enviados | Remetente forjado (spoofing) | Marcar como phishing e seguir medidas preventivas |
| Foto/nome do seu perfil aparecem na mensagem | O cliente associa foto ao endereço mostrado em “De:” | Não é evidência de acesso à sua conta |
| Muitas tentativas de login falhadas | Robôs testando senhas vazadas (credential stuffing) | Trocar senha e habilitar 2FA |
Login bem‑sucedido que você não reconhece em account.live.com/activity | Possível comprometimento | Executar checklist de conta comprometida imediatamente |
| Encaminhamento automático criado sem você saber | Sinal clássico de invasão | Apagar regras suspeitas, trocar senha e revogar acessos |
Checklist rápido e prático (faça agora)
Para todos os casos
- Não responda, não pague, não clique. Apenas apague ou marque como Phishing no Outlook.
- Troque a senha da conta Microsoft/Outlook por uma única e forte (use um gerenciador de senhas).
- Ative 2FA com app autenticador (Microsoft Authenticator ou similar). Se disponível, habilite login sem senha/passkey.
- Varredura antimalware no computador e no telemóvel: use um antivírus atualizado.
- Revise regras e encaminhamentos no Outlook/Outlook.com. Apague tudo que não reconhecer.
- Se reutilizou a mesma senha noutros serviços, troque nessas contas também.
Se vir logins desconhecidos na Atividade recente
- Acesse
account.live.com/activitye encerre sessões suspeitas. - Revogue acessos de apps/serviços que não reconhece (conexões OAuth).
- Confirme/atualize e‑mail e telefone de recuperação.
- Verifique o OneDrive: Itens recentes, Compartilhado e use Restaurar OneDrive se notar alterações indevidas.
- Ative alertas de segurança e revise as notificações de login.
Se usa clientes antigos
- Se não precisa, desative POP/IMAP nas definições do Outlook.com para reduzir a superfície de ataque.
- Prefira clientes compatíveis com OAuth moderno.
Passo a passo detalhado no Outlook/Microsoft
Verificar atividade da conta
- Entre em
account.live.com/activity. - Revise data/hora, localização aproximada, tipo de dispositivo e endereço IP dos acessos.
- Se houver acessos “Bem‑sucedido” que você não reconhece, clique em Isso não era eu (quando disponível), e siga a recuperação.
Habilitar 2FA, login sem senha e reforços
- Ative a verificação em duas etapas com Microsoft Authenticator (use o recurso de number matching, quando disponível).
- Considere passkeys/login sem senha em dispositivos compatíveis (chave de segurança, biometria).
- Guarde códigos de recuperação em local seguro.
Revisar regras, encaminhamentos e conectores
- No Outlook/Outlook.com, verifique:
- Regras (mova, apague, encaminhe),
- Encaminhamento global da caixa,
- Endereços confiáveis e listas de remetentes seguros,
- Respostas automáticas e assinaturas.
- Apague qualquer regra que mova mensagens para pastas obscuras ou encaminhe cópias para terceiros.
Desativar POP/IMAP se não usar
Em contas Outlook.com, você pode desativar POP/IMAP nas definições. Isso impede que invasores leiam a sua caixa com clientes antigos mesmo que descubram a senha.
Como provar que o e‑mail “de mim para mim” é forjado
Se quiser evidências técnicas (opcional), veja os cabeçalhos da mensagem.
- Outlook.com / novo Outlook: abra o e‑mail > … (Mais ações) > Exibir origem da mensagem.
- Outlook clássico para Windows: abra o e‑mail > Arquivo > Propriedades > Cabeçalhos da Internet.
O que observar:
- Return-Path diferente do From.
- Resultados de autenticação como
spf=fail,dkim=failoudmarc=failem Authentication-Results. - Received mostrando servidores que não pertencem à Microsoft antes da chegada ao seu provedor.
Authentication-Results: spf=fail smtp.mailfrom=exemplo-spam.org; dkim=fail; dmarc=fail
From: "Você Mesmo" <seuemail@outlook.com>
Return-Path: <bounce@exemplo-spam.org>Se a mensagem não está em Itens enviados e os cabeçalhos falham autenticação, é spoofing.
OneDrive: como checar e recuperar alterações indevidas
Sem login desconhecido, seus arquivos tendem a estar seguros. Ainda assim, vale verificar:
- Abra o OneDrive e confira Itens recentes para ver se houve aberturas/edições inesperadas.
- Em pastas/arquivos importantes, use Histórico de versões para desfazer alterações.
- Use Restaurar OneDrive para voltar o estado de toda a conta a um ponto anterior (em geral até 30 dias).
- Veja Compartilhado e “Gerenciar acesso” para revogar links que você não reconhece.
- Cheque a Lixeira (pessoal: 30 dias; empresarial: a lixeira do OneDrive para Empresas pode reter itens por até 93 dias).
Por que a sua foto aparece no e‑mail do golpista
Muitos clientes (Outlook, apps móveis) mostram foto e nome com base no endereço exibido em “De:”. Se o remetente forja o seu endereço, o cliente puxa a mesma foto do seu perfil ou do contato salvo. Isso não prova invasão.
Como os criminosos conseguiram o seu e‑mail
- Vazamentos de dados de outros sites onde você cadastrou esse endereço.
- Listas compradas no submundo do spam.
- Raspagem pública (sites, redes sociais, fóruns).
- Advinhação (combinações de nomes dom+usuário).
Isso não significa falha da Microsoft — indica que seu endereço ficou exposto em outro lugar.
Quando tratar como invasão real
Execute o protocolo de conta comprometida se você verificar qualquer um dos itens abaixo:
- Logins bem‑sucedidos estranhos em
account.live.com/activity. - Regras de caixa/encaminhamentos não criados por você.
- Mensagens que saíram da sua caixa e aparecem em Itens enviados sem sua ação.
- Alertas de alteração de senha/2FA que você não iniciou.
Nesses casos, troque a senha imediatamente, encerre sessões, revogue apps, reconfigure 2FA e execute varredura antimalware completa.
Guia de ações com prioridades
| Prioridade | Ação | Resultado esperado |
|---|---|---|
| Urgente | Trocar senha + ativar 2FA | Bloqueia uso de senhas vazadas e impede reutilização |
| Urgente | Revisar regras/encaminhamentos | Corta exfiltração silenciosa de e‑mails |
| Alto | Encerrar sessões e revogar apps | Derruba sessões ativas de invasores |
| Médio | Varredura antimalware | Elimina infecções oportunistas no dispositivo |
| Médio | Desativar POP/IMAP se não usar | Reduz vetores por clientes legados |
| Contínuo | Gerenciador de senhas + boas práticas | Prevenção de novos incidentes |
Casos especiais explicados
“Veio do meu e‑mail, mas não aparece em Itens enviados.”
Spoofing. O campo “De:” foi falsificado. Como o cliente associa foto/nome ao endereço, sua imagem aparece. Isso não prova invasão.
“Houve várias tentativas de login (e até uma bem‑sucedida).”
Tentativas falhadas são comuns em ataques automatizados usando senhas vazadas. Se houver login bem‑sucedido que não foi você, aplique o checklist de conta comprometida imediatamente.
“Citaram ‘Pegasus’.”
É artifício psicológico. Esse termo é usado para assustar; não significa que você está infectado. Mensagens de spam com texto genérico não são diagnóstico de spyware de alto nível.
“Meus dados do OneDrive estão seguros?”
Se não houve login desconhecido, sim. Se houve, após proteger a conta, revise atividade/partilhas e use Restaurar OneDrive se necessário.
“Como impedir que isso volte a acontecer?”
Veja as boas práticas permanentes abaixo e mantenha 2FA sempre ativa.
Boas práticas permanentes para não cair em sextortion
- Senhas únicas por serviço, com gerenciador.
- 2FA sempre ativa (com number matching no Authenticator, quando disponível).
- Atualizações de sistema e apps em dia; evite extensões/apps fora das lojas oficiais.
- Desconfie de urgências, ameaças e pedidos de criptomoedas.
- Não abra anexos ou links de remetentes inesperados.
- Eduque familiares e colegas: compartilhe este guia.
Como reconhecer armadilhas comuns nos textos
| Frase típica do golpe | Tradução do que realmente significa | Resposta adequada |
|---|---|---|
| “Invadi seu PC e gravei você” | Balde de ameaças genéricas enviadas a milhares de pessoas | Ignorar, marcar como phishing |
| “Pegasus/zero‑day no seu sistema” | Nome de spyware famoso para intimidar | Não é evidência técnica |
| “Se não pagar, envio a todos os seus contatos” | Chantagem padrão sem prova | Não pagar, reforçar segurança |
| “A mensagem vem do seu próprio e‑mail” | Campo From falsificado; seu cliente mostra sua foto | Checar Itens enviados e cabeçalhos |
FAQ — Perguntas frequentes
Devo pagar para “evitar vazamento”?
Não. Pagar não interrompe golpes; apenas incentiva novas tentativas.
Como sei se meu computador está infectado?
Execute uma verificação completa com antivírus atualizado, atualize o sistema e aplicativos, e observe comportamentos anormais (lentidão extrema, pop‑ups persistentes). Em dúvida, peça ajuda técnica de confiança.
O que é credential stuffing?
É quando criminosos usam senhas vazadas de outros sites para testar a mesma combinação e‑mail/senha em vários serviços. 2FA e senhas únicas bloqueiam esse vetor.
Posso denunciar?
Sim. Marque como Phishing no Outlook (ajuda a treinar os filtros). Em ambientes corporativos, reporte ao time de segurança. Em casos envolvendo dados sensíveis, avalie registrar um boletim de ocorrência conforme as leis locais.
Glossário rápido
- Sextortion: chantagem sexual por e‑mail, geralmente com mentiras e ameaças.
- Spoofing: falsificação do endereço de e‑mail exibido.
- SPF/DKIM/DMARC: mecanismos que ajudam provedores a conferir se um e‑mail veio de servidores autorizados.
- 2FA/MFA: verificação em duas etapas (app autenticador, código, push).
- Files Restore do OneDrive: recurso para voltar a conta a um ponto anterior nos últimos 30 dias.
Resumo em uma linha: é um golpe de “sextortion” com remetente forjado. Não interaja, reforce a segurança e só trate como invasão se houver login desconhecido ou itens enviados/encaminhamentos estranhos.
Lista de verificação imprimível
- ☐ Apagar/Marcar como phishing
- ☐ Trocar senha do Outlook/Microsoft (senha única)
- ☐ Ativar 2FA (Authenticator)
- ☐ Conferir
account.live.com/activity - ☐ Encerrar sessões suspeitas
- ☐ Revogar apps OAuth estranhos
- ☐ Revisar regras e encaminhamentos
- ☐ Verificar OneDrive (itens recentes/compartilhado)
- ☐ Rodar antivírus no PC e telemóvel
- ☐ Desativar POP/IMAP se não usar
Modelo de mensagem para TI/Suporte
Assunto: Possível tentativa de sextortion via e‑mail (remetente forjado)
Olá, time,
Recebi uma mensagem de sextortion com assunto “Hello pervert”, alegando invasão e pedindo dinheiro.
Indícios:
- E‑mail não aparece em Itens enviados.
- Cabeçalhos mostram falha SPF/DKIM/DMARC.
- Nenhum login desconhecido em account.live.com/activity (ou: há logins que não reconheço).
Medidas tomadas:
- Marquei como phishing e apaguei.
- Troquei a senha, habilitei 2FA e revisei regras/encaminhamentos.
- Varri o PC e o telemóvel com antivírus atualizado.
Solicito revisão do meu acesso, logs e eventuais regras/encaminhamentos no servidor. Obrigado.Conselhos finais
Golpes evoluem, mas a combinação senha única + 2FA + atenção a regras/encaminhamentos derruba a maioria das tentativas. Se a mensagem não saiu da sua caixa e não há logins estranhos, você não foi invadido — apenas alvo de chantagem automática.