E‑mail do próprio endereço com “Pegasus”? Golpe de sextorsão e spoofing no Outlook — o que fazer

Recebeu um e‑mail supostamente enviado do seu próprio endereço, dizendo que instalaram “Pegasus” no seu dispositivo e exigindo Bitcoin? Respire. É um golpe de sextorsão com spoofing. Veja como confirmar que é falso e proteger sua conta Outlook/Microsoft.

Índice

Visão geral do golpe “Hello pervert”, Pegasus e Bitcoin

Nos últimos anos, têm circulado mensagens com assuntos alarmistas como You’ve been hacked ou “Sua conta foi comprometida”. O texto costuma começar com insultos (“Hello pervert”), alega que o remetente gravou você pela câmera e ameaça divulgar vídeos íntimos caso não haja pagamento — quase sempre em criptomoedas. Em muitos casos, o campo De: aparece como se o e‑mail tivesse sido enviado do seu próprio endereço, o que aumenta o pânico. Essa combinação é clássica de sextorsão (extorsão sexual) baseada em spoofing (falsificação do remetente).

O objetivo não é “hackear” você: é assustar para que pague rápido. A boa notícia é que, salvo raríssimas exceções, trata-se apenas de teatro. A mensagem não prova que sua conta foi invadida, e abrir o e‑mail por si só não instala spyware.

É real? O que fazer agora

Resumo direto ao ponto:

  • É golpe. Falsificaram o campo De: (spoofing). Isso não significa que sua conta foi invadida.
  • Não pague e não responda.
  • Reportar como phishing no Outlook/Outlook.com e apagar é o procedimento correto.
  • Abrir o e‑mail não instala Pegasus. O risco está em clicar em links ou executar anexos.
  • Troque a senha do e‑mail e ative 2FA (verificação em duas etapas) por reforço.
  • Revise regras de caixa, encaminhamentos e sessões ativas no Outlook/Conta Microsoft.
  • Se reutilizou senha em outros serviços, troque lá também.

Foi só spoofing ou houve invasão de conta?

Use a tabela abaixo para diferenciar sinais típicos de cada cenário.

Sinal observadoIndício mais provávelAção imediata recomendada
Somente a mensagem de ameaça na Caixa de entrada; nada suspeito em Enviados.Spoofing (remetente falsificado). Conta não invadida.Reportar como phishing e apagar. Trocar senha e ativar 2FA por prevenção.
Há e‑mails que “você” teria enviado sem saber.Invasão real (alguém autenticou na sua caixa).Trocar senha, encerrar sessões, 2FA, revisar regras/encaminhamentos e apps conectados.
Regras novas que marcam como lido, movem para pasta oculta ou apagam automaticamente.Invasão real (regra criada para esconder rastros).Remover as regras, trocar senha, 2FA, ver logins e dispositivos.
Encaminhamento ativo para endereço de terceiro.Invasão real ou mau uso de configurações.Desativar encaminhamento, trocar senha, 2FA e revisar atividade.
Códigos de uso único recebidos sem você solicitar.Tentativa de login por terceiros (talvez com senha vazada).Trocar senha imediatamente e ativar 2FA. Verificar atividade de login.
Compras indevidas (ex.: Xbox) ou bloqueio de contas.Comprometimento de conta e possível uso fraudulento.Trocar senha, 2FA, falar com banco/cartões, reaver valores e reforçar segurança.

Abrir ou salvar a mensagem (.eml/.txt) foi perigoso?

Não. Salvar o e‑mail como .eml ou abrir em editor de texto (.txt) é seguro por si só. Isso preserva o conteúdo para denúncia sem executar nada. O perigo está em abrir anexos executáveis ou clicar em links que levam a páginas maliciosas.

Anexos e formatos que exigem atenção

Extensão / tipoPor que é arriscadoO que fazer
.exe, .scr, .js, .cmd, .batExecutam código no seu dispositivo.Não abrir. Apagar o e‑mail.
.zip, .rar, .7zPodem ocultar arquivos maliciosos.Não extrair. Apagar o e‑mail.
.docm, .xlsmMacros podem baixar malware.Não habilitar macros; preferir abrir só em visualização protegida, se necessário.
.htm, .htmlPáginas que enganam para roubar senha.Evitar abrir links; acesse serviços digitando o endereço manualmente.

Como reportar no Outlook/Outlook.com (e o que fazer se o botão não aparece)

No Outlook e no Outlook.com, use a opção Reportar > Phishing (ou mover para Lixo/Spam e escolher Phishing). Se a opção não aparecer, bloqueie o remetente e apague a mensagem. Guardar evidência (.eml) só é necessário se pretende enviar às autoridades ou ao canal nacional de cibercrime.

Após reportar, apagar a mensagem (inclusive da lixeira) é suficiente na maioria dos casos.

Como alguém envia e‑mail “como se fosse você”

Isso é spoofing. O protocolo de e‑mail permite que quem envia preencha o campo De: com quase qualquer texto. Para reduzir a entrega de mensagens falsificadas, os domínios usam três mecanismos:

  • SPF — lista quais servidores podem enviar em nome do seu domínio.
  • DKIM — assina as mensagens com uma chave privada do domínio para garantir integridade/autenticidade.
  • DMARC — define a política quando SPF/DKIM falham (aceitar, colocar em quarentena, rejeitar).

Esses controles reduzem, mas não eliminam completamente, a chegada de lixo. Ver seu endereço no campo De: não é prova de invasão do seu dispositivo ou caixa de correio.

O que é Pegasus e por que usam esse nome no golpe

Pegasus é um spyware caríssimo e altamente direcionado, aplicado contra alvos específicos. Não é típico de spam em massa. Golpistas mencionam “Pegasus” para dar verniz técnico às ameaças — faz parte da encenação. Se você não clicou em links, não abriu anexos e já reforçou a segurança (senha + 2FA), a probabilidade de estar infectado por um spyware desse tipo é extremamente baixa.

Checklist rápido para agir já

TarefaPor quêStatus (✓ feito)
Reportar como phishing e apagarAjuda a treinar filtros e impede novas interações. 
Trocar a senha do Outlook/Conta MicrosoftNeutraliza senhas possivelmente expostas. 
Ativar 2FA (aplicativo autenticador)Bloqueia logins mesmo que saibam sua senha. 
Revisar regras/encaminhamentos/sessõesRemove persistência de invasores e acessos não reconhecidos. 
Trocar senhas onde foram reutilizadasEvita efeito dominó em outros serviços. 
Atualizar Windows/macOS/iOS/AndroidFecha vulnerabilidades conhecidas. 
Rodar verificação antimalwareConfere se nada se instalou por outro canal. 
Ver compras/assinaturas (Xbox, Amazon etc.)Detecta e estorna transações indevidas. 

Passo a passo detalhado no Outlook e na Conta Microsoft

Ativar verificação em duas etapas (2FA)

  1. Acesse sua Conta Microsoft e entre em Segurança.
  2. Abra Opções avançadas de segurança e ative Verificação em duas etapas.
  3. Prefira aplicativo autenticador (códigos temporários) em vez de SMS.
  4. Guarde os códigos de recuperação em local seguro (offline).

Encerrar sessões ativas e revisar atividade

  1. Na Conta Microsoft > Segurança > Atividade, verifique logins recentes e locais/dispositivos.
  2. Se vir algo que não reconhece, encerre as sessões e altere a senha imediatamente.
  3. Em Dispositivos, remova aparelhos que você não usa mais.

Encontrar e apagar regras maliciosas no Outlook.com

  1. No Outlook.com, clique no ícone de engrenagem (Configurações).
  2. Selecione Ver todas as configurações do Outlook > Mail > Regras.
  3. Apague regras que marquem como lido, movam para pastas desconhecidas, apaguem mensagens ou “encaminhem tudo”.
  4. Em Mail > Encaminhamento, confirme se não há encaminhamento ativo para terceiros.

No Outlook para Windows/macOS

  1. Abrir o app e ir em Arquivo > Gerenciar Regras e Alertas.
  2. Exclua regras que você não criou.
  3. Revise Arquivo > Configurações de Conta para conferir contas e perfis.

Revogar apps e dispositivos conectados

  1. Na Conta Microsoft > Segurança, entre em Login por aplicativo ou Aplicativos e serviços.
  2. Revogue acessos de apps que não reconhece e refaça a autenticação com 2FA.

Boas práticas de senha

  • Use senhas únicas para cada serviço, com ao menos 12–16 caracteres.
  • Considere um gerenciador de senhas para criar e guardar credenciais.
  • Atualize também as opções de recuperação (e‑mail alternativo, número de telefone) e remova os que você não usa mais.

Se houve compras indevidas (ex.: Xbox) ou bloqueios

  1. Troque a senha e ative 2FA imediatamente.
  2. Revogue dispositivos e logins não reconhecidos.
  3. Fale com o banco/cartão para disputar as cobranças.
  4. Entre nas áreas de assinaturas (ex.: Xbox, Microsoft 365, Amazon) e cancele o que não reconhecer.
  5. Guarde prints e o arquivo .eml como evidência, se precisar registrar ocorrência.

Proteja seus dispositivos

Mesmo quando o gatilho foi um e‑mail falso, é prudente conferir seus equipamentos:

  • Windows: mantenha o sistema atualizado e execute uma verificação completa com o antivírus (o Windows Defender é suficiente para a maioria dos casos).
  • macOS: mantenha o sistema e o navegador atualizados; cuidado com perfis de configuração estranhos.
  • iOS/Android: atualize o sistema e os apps; evite instalar apps fora das lojas oficiais; remova apps que você não usa ou não reconhece.
  • Não reutilize cabos/pendrives de origem desconhecida.

FAQ — dúvidas que mais aparecem

O e‑mail mostrava uma senha antiga minha. E agora?

Golpistas usam bases de dados de vazamentos públicos para assustar. Se a senha exibida era usada por você em algum momento, ela já não é segura. Troque imediatamente onde ainda estiver ativa e habilite 2FA.

Posso responder dizendo que vou denunciar?

Não vale a pena. Responder confirma que seu endereço é ativo, o que pode aumentar o volume de spam. O melhor é reportar como phishing e apagar.

Preciso formatar o computador para “garantir”?

Na imensa maioria dos casos, não. Se você não clicou em nada e não executou anexos, formatar é exagero. Prefira atualizar o sistema e rodar uma verificação antimalware. Avalie formatação apenas se houver sinais claros de comprometimento do dispositivo.

Salvei o e‑mail como .eml. Isso pode me infectar?

Guardar o arquivo .eml é seguro. Ele contém texto e eventuais anexos, mas não executa nada por conta própria. O risco está em abrir os anexos maliciosos contidos nele ou clicar nos links.

O botão “Reportar phishing” não aparece para mim. E agora?

Algumas interfaces têm variações. Você pode mover a mensagem para Lixo/Spam e, dentro dessa pasta, buscar a opção de marcar como phishing. Alternativamente, bloqueie o remetente e apague. Se necessário, encaminhe o .eml às autoridades competentes do seu país.

Fechar a conta resolve?

Raramente. É muito mais eficaz recuperar o acesso (se perdeu), endurecer a segurança (senha única + 2FA), limpar regras/encaminhamentos e monitorar atividade. Fechar a conta pode causar perda de acesso a serviços vinculados.

Uso o Outlook no trabalho. O que devo fazer?

Se sua caixa pertence a uma organização (Microsoft 365), avise o time de TI. Eles podem revisar logs, políticas de encaminhamento externo, DMARC, bloqueios de remetentes e aplicar resets forçados de sessão.

Locais das principais configurações no Outlook

ObjetivoOutlook.com (web)Outlook para Windows/macOS
Reportar phishingMensagem > Mais ações > Reportar > PhishingPainel de leitura > Reportar mensagem > Phishing (add-in disponível em muitas instalações)
Regras de caixaConfigurações > Ver todas as configurações > Mail > RegrasArquivo > Gerenciar Regras e Alertas
EncaminhamentoConfigurações > Ver todas as configurações > Mail > EncaminhamentoDepende do servidor; em contas Exchange/IMAP, verifique com TI ou o portal web
2FAConta Microsoft > Segurança > Opções avançadas > Verificação em duas etapasGerido no portal da Conta Microsoft
Atividade de loginConta Microsoft > Segurança > AtividadeGerido no portal da Conta Microsoft

Armadilhas comuns que mantêm o golpe vivo

  • Reutilização de senha: uma senha vazada em um serviço abre portas para outros. Use credenciais únicas.
  • Falta de 2FA: sem o segundo fator, qualquer vazamento de senha é fatal.
  • Regras invisíveis: invasores criam regras para ocultar e‑mails de alerta. Revise-as.
  • Encaminhamento externo: copia tudo para outra caixa sem você perceber.
  • Curiosidade: clicar “só para ver” o que tem no anexo. Resista.

Modelo de ação em caso de invasão confirmada

  1. Trocar senha imediatamente.
  2. Encerrar todas as sessões da Conta Microsoft.
  3. Ativar 2FA (aplicativo autenticador).
  4. Remover regras e desativar encaminhamento.
  5. Revogar apps e dispositivos conectados.
  6. Verificar dispositivos com antivírus e atualizar sistema.
  7. Checar finanças e disputar cobranças indevidas.
  8. Se perdeu o acesso, usar o fluxo de recuperação do provedor.

Por que “apenas ignorar e apagar” costuma ser suficiente

A maioria dos leitores que recebeu esse tipo de sextorsão e simplesmente ignorou, reportou e apagou não sofreu qualquer consequência. Em casos de prejuízo, quase sempre havia comprometimento real de conta (senha vazada, 2FA ausente, regras maliciosas, encaminhamento). O segredo é agir rápido quando há sinais de invasão e manter uma postura preventiva no dia a dia.

Resumo prático

  • Ver seu endereço no “De:” não prova invasão. É spoofing.
  • Não pague nem responda. Reporte como phishing e apague.
  • Não clique em links e não abra anexos.
  • Troque a senha, ative 2FA e revise regras/encaminhamentos/sessões.
  • Se houver compras indevidas, fale com o banco e dispute as cobranças.
  • Atualize seus dispositivos e rode antivírus.

Se quiser, posso descrever passo a passo onde achar as opções de 2FA, sessões ativas e regras no seu cenário específico (Outlook web, aplicativo de desktop ou celular).

Índice