Recebeu um e‑mail supostamente enviado do seu próprio endereço, dizendo que instalaram “Pegasus” no seu dispositivo e exigindo Bitcoin? Respire. É um golpe de sextorsão com spoofing. Veja como confirmar que é falso e proteger sua conta Outlook/Microsoft.
Visão geral do golpe “Hello pervert”, Pegasus e Bitcoin
Nos últimos anos, têm circulado mensagens com assuntos alarmistas como You’ve been hacked ou “Sua conta foi comprometida”. O texto costuma começar com insultos (“Hello pervert”), alega que o remetente gravou você pela câmera e ameaça divulgar vídeos íntimos caso não haja pagamento — quase sempre em criptomoedas. Em muitos casos, o campo De: aparece como se o e‑mail tivesse sido enviado do seu próprio endereço, o que aumenta o pânico. Essa combinação é clássica de sextorsão (extorsão sexual) baseada em spoofing (falsificação do remetente).
O objetivo não é “hackear” você: é assustar para que pague rápido. A boa notícia é que, salvo raríssimas exceções, trata-se apenas de teatro. A mensagem não prova que sua conta foi invadida, e abrir o e‑mail por si só não instala spyware.
É real? O que fazer agora
Resumo direto ao ponto:
- É golpe. Falsificaram o campo De: (spoofing). Isso não significa que sua conta foi invadida.
- Não pague e não responda.
- Reportar como phishing no Outlook/Outlook.com e apagar é o procedimento correto.
- Abrir o e‑mail não instala Pegasus. O risco está em clicar em links ou executar anexos.
- Troque a senha do e‑mail e ative 2FA (verificação em duas etapas) por reforço.
- Revise regras de caixa, encaminhamentos e sessões ativas no Outlook/Conta Microsoft.
- Se reutilizou senha em outros serviços, troque lá também.
Foi só spoofing ou houve invasão de conta?
Use a tabela abaixo para diferenciar sinais típicos de cada cenário.
Sinal observado | Indício mais provável | Ação imediata recomendada |
---|---|---|
Somente a mensagem de ameaça na Caixa de entrada; nada suspeito em Enviados. | Spoofing (remetente falsificado). Conta não invadida. | Reportar como phishing e apagar. Trocar senha e ativar 2FA por prevenção. |
Há e‑mails que “você” teria enviado sem saber. | Invasão real (alguém autenticou na sua caixa). | Trocar senha, encerrar sessões, 2FA, revisar regras/encaminhamentos e apps conectados. |
Regras novas que marcam como lido, movem para pasta oculta ou apagam automaticamente. | Invasão real (regra criada para esconder rastros). | Remover as regras, trocar senha, 2FA, ver logins e dispositivos. |
Encaminhamento ativo para endereço de terceiro. | Invasão real ou mau uso de configurações. | Desativar encaminhamento, trocar senha, 2FA e revisar atividade. |
Códigos de uso único recebidos sem você solicitar. | Tentativa de login por terceiros (talvez com senha vazada). | Trocar senha imediatamente e ativar 2FA. Verificar atividade de login. |
Compras indevidas (ex.: Xbox) ou bloqueio de contas. | Comprometimento de conta e possível uso fraudulento. | Trocar senha, 2FA, falar com banco/cartões, reaver valores e reforçar segurança. |
Abrir ou salvar a mensagem (.eml/.txt) foi perigoso?
Não. Salvar o e‑mail como .eml
ou abrir em editor de texto (.txt
) é seguro por si só. Isso preserva o conteúdo para denúncia sem executar nada. O perigo está em abrir anexos executáveis ou clicar em links que levam a páginas maliciosas.
Anexos e formatos que exigem atenção
Extensão / tipo | Por que é arriscado | O que fazer |
---|---|---|
.exe, .scr, .js, .cmd, .bat | Executam código no seu dispositivo. | Não abrir. Apagar o e‑mail. |
.zip, .rar, .7z | Podem ocultar arquivos maliciosos. | Não extrair. Apagar o e‑mail. |
.docm, .xlsm | Macros podem baixar malware. | Não habilitar macros; preferir abrir só em visualização protegida, se necessário. |
.htm, .html | Páginas que enganam para roubar senha. | Evitar abrir links; acesse serviços digitando o endereço manualmente. |
Como reportar no Outlook/Outlook.com (e o que fazer se o botão não aparece)
No Outlook e no Outlook.com, use a opção Reportar > Phishing (ou mover para Lixo/Spam e escolher Phishing). Se a opção não aparecer, bloqueie o remetente e apague a mensagem. Guardar evidência (.eml
) só é necessário se pretende enviar às autoridades ou ao canal nacional de cibercrime.
Após reportar, apagar a mensagem (inclusive da lixeira) é suficiente na maioria dos casos.
Como alguém envia e‑mail “como se fosse você”
Isso é spoofing. O protocolo de e‑mail permite que quem envia preencha o campo De: com quase qualquer texto. Para reduzir a entrega de mensagens falsificadas, os domínios usam três mecanismos:
- SPF — lista quais servidores podem enviar em nome do seu domínio.
- DKIM — assina as mensagens com uma chave privada do domínio para garantir integridade/autenticidade.
- DMARC — define a política quando SPF/DKIM falham (aceitar, colocar em quarentena, rejeitar).
Esses controles reduzem, mas não eliminam completamente, a chegada de lixo. Ver seu endereço no campo De: não é prova de invasão do seu dispositivo ou caixa de correio.
O que é Pegasus e por que usam esse nome no golpe
Pegasus é um spyware caríssimo e altamente direcionado, aplicado contra alvos específicos. Não é típico de spam em massa. Golpistas mencionam “Pegasus” para dar verniz técnico às ameaças — faz parte da encenação. Se você não clicou em links, não abriu anexos e já reforçou a segurança (senha + 2FA), a probabilidade de estar infectado por um spyware desse tipo é extremamente baixa.
Checklist rápido para agir já
Tarefa | Por quê | Status (✓ feito) |
---|---|---|
Reportar como phishing e apagar | Ajuda a treinar filtros e impede novas interações. | |
Trocar a senha do Outlook/Conta Microsoft | Neutraliza senhas possivelmente expostas. | |
Ativar 2FA (aplicativo autenticador) | Bloqueia logins mesmo que saibam sua senha. | |
Revisar regras/encaminhamentos/sessões | Remove persistência de invasores e acessos não reconhecidos. | |
Trocar senhas onde foram reutilizadas | Evita efeito dominó em outros serviços. | |
Atualizar Windows/macOS/iOS/Android | Fecha vulnerabilidades conhecidas. | |
Rodar verificação antimalware | Confere se nada se instalou por outro canal. | |
Ver compras/assinaturas (Xbox, Amazon etc.) | Detecta e estorna transações indevidas. |
Passo a passo detalhado no Outlook e na Conta Microsoft
Ativar verificação em duas etapas (2FA)
- Acesse sua Conta Microsoft e entre em Segurança.
- Abra Opções avançadas de segurança e ative Verificação em duas etapas.
- Prefira aplicativo autenticador (códigos temporários) em vez de SMS.
- Guarde os códigos de recuperação em local seguro (offline).
Encerrar sessões ativas e revisar atividade
- Na Conta Microsoft > Segurança > Atividade, verifique logins recentes e locais/dispositivos.
- Se vir algo que não reconhece, encerre as sessões e altere a senha imediatamente.
- Em Dispositivos, remova aparelhos que você não usa mais.
Encontrar e apagar regras maliciosas no Outlook.com
- No Outlook.com, clique no ícone de engrenagem (Configurações).
- Selecione Ver todas as configurações do Outlook > Mail > Regras.
- Apague regras que marquem como lido, movam para pastas desconhecidas, apaguem mensagens ou “encaminhem tudo”.
- Em Mail > Encaminhamento, confirme se não há encaminhamento ativo para terceiros.
No Outlook para Windows/macOS
- Abrir o app e ir em Arquivo > Gerenciar Regras e Alertas.
- Exclua regras que você não criou.
- Revise Arquivo > Configurações de Conta para conferir contas e perfis.
Revogar apps e dispositivos conectados
- Na Conta Microsoft > Segurança, entre em Login por aplicativo ou Aplicativos e serviços.
- Revogue acessos de apps que não reconhece e refaça a autenticação com 2FA.
Boas práticas de senha
- Use senhas únicas para cada serviço, com ao menos 12–16 caracteres.
- Considere um gerenciador de senhas para criar e guardar credenciais.
- Atualize também as opções de recuperação (e‑mail alternativo, número de telefone) e remova os que você não usa mais.
Se houve compras indevidas (ex.: Xbox) ou bloqueios
- Troque a senha e ative 2FA imediatamente.
- Revogue dispositivos e logins não reconhecidos.
- Fale com o banco/cartão para disputar as cobranças.
- Entre nas áreas de assinaturas (ex.: Xbox, Microsoft 365, Amazon) e cancele o que não reconhecer.
- Guarde prints e o arquivo .eml como evidência, se precisar registrar ocorrência.
Proteja seus dispositivos
Mesmo quando o gatilho foi um e‑mail falso, é prudente conferir seus equipamentos:
- Windows: mantenha o sistema atualizado e execute uma verificação completa com o antivírus (o Windows Defender é suficiente para a maioria dos casos).
- macOS: mantenha o sistema e o navegador atualizados; cuidado com perfis de configuração estranhos.
- iOS/Android: atualize o sistema e os apps; evite instalar apps fora das lojas oficiais; remova apps que você não usa ou não reconhece.
- Não reutilize cabos/pendrives de origem desconhecida.
FAQ — dúvidas que mais aparecem
O e‑mail mostrava uma senha antiga minha. E agora?
Golpistas usam bases de dados de vazamentos públicos para assustar. Se a senha exibida era usada por você em algum momento, ela já não é segura. Troque imediatamente onde ainda estiver ativa e habilite 2FA.
Posso responder dizendo que vou denunciar?
Não vale a pena. Responder confirma que seu endereço é ativo, o que pode aumentar o volume de spam. O melhor é reportar como phishing e apagar.
Preciso formatar o computador para “garantir”?
Na imensa maioria dos casos, não. Se você não clicou em nada e não executou anexos, formatar é exagero. Prefira atualizar o sistema e rodar uma verificação antimalware. Avalie formatação apenas se houver sinais claros de comprometimento do dispositivo.
Salvei o e‑mail como .eml. Isso pode me infectar?
Guardar o arquivo .eml
é seguro. Ele contém texto e eventuais anexos, mas não executa nada por conta própria. O risco está em abrir os anexos maliciosos contidos nele ou clicar nos links.
O botão “Reportar phishing” não aparece para mim. E agora?
Algumas interfaces têm variações. Você pode mover a mensagem para Lixo/Spam e, dentro dessa pasta, buscar a opção de marcar como phishing. Alternativamente, bloqueie o remetente e apague. Se necessário, encaminhe o .eml
às autoridades competentes do seu país.
Fechar a conta resolve?
Raramente. É muito mais eficaz recuperar o acesso (se perdeu), endurecer a segurança (senha única + 2FA), limpar regras/encaminhamentos e monitorar atividade. Fechar a conta pode causar perda de acesso a serviços vinculados.
Uso o Outlook no trabalho. O que devo fazer?
Se sua caixa pertence a uma organização (Microsoft 365), avise o time de TI. Eles podem revisar logs, políticas de encaminhamento externo, DMARC, bloqueios de remetentes e aplicar resets forçados de sessão.
Locais das principais configurações no Outlook
Objetivo | Outlook.com (web) | Outlook para Windows/macOS |
---|---|---|
Reportar phishing | Mensagem > Mais ações > Reportar > Phishing | Painel de leitura > Reportar mensagem > Phishing (add-in disponível em muitas instalações) |
Regras de caixa | Configurações > Ver todas as configurações > Mail > Regras | Arquivo > Gerenciar Regras e Alertas |
Encaminhamento | Configurações > Ver todas as configurações > Mail > Encaminhamento | Depende do servidor; em contas Exchange/IMAP, verifique com TI ou o portal web |
2FA | Conta Microsoft > Segurança > Opções avançadas > Verificação em duas etapas | Gerido no portal da Conta Microsoft |
Atividade de login | Conta Microsoft > Segurança > Atividade | Gerido no portal da Conta Microsoft |
Armadilhas comuns que mantêm o golpe vivo
- Reutilização de senha: uma senha vazada em um serviço abre portas para outros. Use credenciais únicas.
- Falta de 2FA: sem o segundo fator, qualquer vazamento de senha é fatal.
- Regras invisíveis: invasores criam regras para ocultar e‑mails de alerta. Revise-as.
- Encaminhamento externo: copia tudo para outra caixa sem você perceber.
- Curiosidade: clicar “só para ver” o que tem no anexo. Resista.
Modelo de ação em caso de invasão confirmada
- Trocar senha imediatamente.
- Encerrar todas as sessões da Conta Microsoft.
- Ativar 2FA (aplicativo autenticador).
- Remover regras e desativar encaminhamento.
- Revogar apps e dispositivos conectados.
- Verificar dispositivos com antivírus e atualizar sistema.
- Checar finanças e disputar cobranças indevidas.
- Se perdeu o acesso, usar o fluxo de recuperação do provedor.
Por que “apenas ignorar e apagar” costuma ser suficiente
A maioria dos leitores que recebeu esse tipo de sextorsão e simplesmente ignorou, reportou e apagou não sofreu qualquer consequência. Em casos de prejuízo, quase sempre havia comprometimento real de conta (senha vazada, 2FA ausente, regras maliciosas, encaminhamento). O segredo é agir rápido quando há sinais de invasão e manter uma postura preventiva no dia a dia.
Resumo prático
- Ver seu endereço no “De:” não prova invasão. É spoofing.
- Não pague nem responda. Reporte como phishing e apague.
- Não clique em links e não abra anexos.
- Troque a senha, ative 2FA e revise regras/encaminhamentos/sessões.
- Se houver compras indevidas, fale com o banco e dispute as cobranças.
- Atualize seus dispositivos e rode antivírus.
Se quiser, posso descrever passo a passo onde achar as opções de 2FA, sessões ativas e regras no seu cenário específico (Outlook web, aplicativo de desktop ou celular).