Recebeu um e‑mail que parece ter sido enviado por você, com uma senha antiga no assunto e pedido de Bitcoin? É um golpe de sextorsão. Veja por que acontece, como confirmar que sua conta está segura e o passo a passo para se proteger.
Visão geral: o que está acontecendo
Milhares de pessoas em países lusófonos têm recebido mensagens de “sextorsão” que:
- aparecem como se tivessem sido enviadas do próprio endereço do destinatário;
- mostram uma senha antiga no assunto ou no corpo;
- ameaçam divulgar vídeos íntimos se não houver pagamento em 48 horas, geralmente em Bitcoin;
- solicitam que você não conte a ninguém e pague rapidamente.
Essa tática explora duas técnicas clássicas: spoofing de remetente (falsificação do endereço “De:”) e reaproveitamento de senhas vazadas em antigos incidentes de dados. Isso não significa que sua caixa de e‑mail foi invadida agora.
Resposta curta: É golpe. Não pague, não responda e não clique em nada. Marque como spam e apague. Em seguida, siga o checklist de segurança abaixo.
Por que o e‑mail parece “de mim para mim”
Serviços de e‑mail aceitam mensagens externas que afirmam vir de um domínio, mas o remetente pode ser falsificado quando o servidor de origem não é validado. Padrões como SPF, DKIM e DMARC ajudam a filtrar fraudes, porém os golpistas variam os domínios de envio e exploram brechas de configuração ou serviços menos rigorosos.
Resultado: a linha “De:” pode exibir o seu próprio e‑mail, mesmo que a mensagem não tenha partido da sua conta.
Por que aparecem senhas antigas
Ao longo dos anos, diferentes sites e aplicações sofreram vazamentos de dados. Se você reaproveitou uma senha nesses serviços, ela pode ter sido coletada e agrupada em listas ilícitas. Os golpistas usam essas senhas antigas para “provar” que têm algo sobre você e aumentar o medo. Isso não prova invasão atual.
Se a sua senha de e‑mail já foi trocada e você ativou 2FA, o risco de acesso indevido por essa senha antiga é praticamente nulo. Ainda assim, siga o checklist para confirmar que está tudo limpo.
É seguro apagar? Sim — e denuncie como spam
- Marque como Spam/Lixo e apague. Isso treina o filtro do seu provedor.
- Não bloqueie o remetente como única medida: o endereço é forjado e muda a cada envio.
- Não clique em links, não abra anexos e não pague em Bitcoin ou qualquer outra moeda.
Os golpistas vão escrever aos meus contatos?
Para enviar a partir da sua conta, eles precisariam estar logados nela. Exibir uma senha antiga não é evidência disso. Mesmo assim, é recomendado revisar sessões, filtros e encaminhamentos para confirmar que não houve acesso indevido. Use o checklist abaixo.
Checklist rápido de segurança (faça já)
- Senha única e forte para o e‑mail (não reutilize em outros sites).
- Ative a verificação em duas etapas (2FA) — preferencialmente com app autenticador ou chave de segurança.
- Encerrar sessões ativas: saia de todos os dispositivos/sessões da conta.
- Revisar regras e encaminhamentos: confirme que não há filtros automáticos, encaminhamentos a terceiros ou respostas automáticas não autorizadas.
- Revogar acessos de apps e dispositivos que você não reconhece.
- Verificar atividade de login: se notar acessos suspeitos, troque a senha novamente e reforce o 2FA.
- Antivírus atualizado em computador e telemóvel/celular.
- Reporte o golpe na plataforma de e‑mail; se as ameaças persistirem, avalie denunciar às autoridades locais.
Checklist em formato de ações
| Ação | Onde fazer | Tempo | Impacto |
|---|---|---|---|
| Criar senha forte e exclusiva | Configurações > Segurança da sua conta | 2–5 min | Elimina risco por senha vazada |
| Ativar 2FA com app autenticador | Segurança > Verificação em 2 etapas | 3–8 min | Bloqueia logins mesmo com senha |
| Encerrar sessões em todos os dispositivos | Segurança > Dispositivos/Sessões | 1–3 min | Expulsa acessos não autorizados |
| Revisar filtros, regras e encaminhamentos | Configurações > Regras/Filtros/Encaminhar | 3–6 min | Remove sabotagens invisíveis |
| Revogar apps de terceiros | Segurança > Acessos de apps | 2–4 min | Fecha backdoors |
| Verificar atividade de login | Segurança > Histórico de atividades | 2–4 min | Detecta invasões reais |
Passo a passo detalhado por provedor (Gmail, Outlook.com, Yahoo, iCloud)
Gmail (contas Google)
- Trocar senha: Conta Google > Segurança > Fazer login no Google > Senha.
- Ativar 2FA: Conta Google > Segurança > Verificação em duas etapas. Prefira app autenticador ou chave de segurança; mantenha códigos de backup guardados.
- Encerrar sessões: Conta Google > Segurança > Seus dispositivos > “Encerrar sessão” nos que não reconhece.
- Revisar filtros e encaminhamentos no Gmail:
- Gmail > ⚙️ > Ver todas as configurações > Filtros e endereços bloqueados.
- Gmail > ⚙️ > Ver todas as configurações > Encaminhamento e POP/IMAP (desative encaminhamentos estranhos).
- Verifique Resposta automática em “Geral”.
- Apps de terceiros: Conta Google > Segurança > Acesso de terceiros > Remover os que não reconhece.
- Atividade de segurança: Conta Google > Segurança > Atividade de segurança recente (verifique logins e alertas).
Outlook.com / Hotmail / Live (Microsoft)
- Trocar senha: Conta Microsoft > Segurança > Senha.
- Ativar 2FA: Conta Microsoft > Segurança > Verificação em duas etapas (habilite app autenticador).
- Encerrar sessões: Conta Microsoft > Segurança > Atividade de login > Sair de todas as sessões não reconhecidas.
- Regras e encaminhamento no Outlook.com:
- ⚙️ > Mail > Rules (Regras) — apague regras desconhecidas.
- ⚙️ > Mail > Forwarding (Encaminhamento) — desative o que não for seu.
- Verifique Respostas automáticas.
- Apps de terceiros: Conta Microsoft > Privacidade/Security > Apps e serviços conectados.
Yahoo Mail
- Trocar senha e ativar 2FA em Account Security.
- Encerrar sessões: Recent activity > Sair de dispositivos desconhecidos.
- Filtros e encaminhamento: ⚙️ > More Settings > Filters e Mailboxes.
iCloud Mail (Apple)
- Trocar senha do ID Apple e manter autenticação de dois fatores ativada.
- Verificar sessões: Ajustes do ID Apple > Dispositivos > Remover os que não conhece.
- Regras: Mail do iCloud (web) > ⚙️ > Rules.
Dica para todos os provedores: após a limpeza, envie um e‑mail de teste para você mesmo a partir de outro endereço para verificar que nada está sendo automaticamente redirecionado ou respondido.
Sinais de golpe x sinais de invasão real
| Sinais de golpe (sextorsão) | Sinais de invasão real |
|---|---|
| Senha antiga exibida no e‑mail | Alertas de login em local/horário que você não reconhece |
| Remetente “você mesmo”, mas sem histórico em Itens enviados | Mensagens enviadas que você não escreveu |
| Pressão por pagamento rápido em Bitcoin | Encaminhamento automático para um endereço desconhecido |
| Texto genérico, erros de idioma, ameaça ampla | Regras/filtros que movimentam mensagens sem sua ação |
| Endereço IP de origem desconhecido (se mostrado), sem registro no seu provedor | Notificações do provedor sobre mudança de senha ou 2FA que você não fez |
Modelos práticos: exemplos de mensagens de sextorsão
Reconheça padrões comuns. Não responda. Não copie/cole estes textos para outros lugares.
Assunto: — Eu te filmei Eu tenho acesso ao seu dispositivo e gravei um vídeo comprometedor. Se não receber 950 USD em BTC em 48h, enviarei aos seus contatos. Para provar, sua senha é . Não tente me denunciar.
Assunto: [ALERTA] Pagamento necessário Você não me conhece mas eu invadi sua conta. Pague para a carteira BTC abaixo nas próximas 24h e ninguém ficará sabendo.
Como fortalecer sua conta após o susto
Senhas: o que funciona na prática
- Use um gerenciador de senhas para criar e guardar senhas únicas e longas (frases ou 16+ caracteres).
- Não repita senha entre contas. Se um site vazar, os demais ficam protegidos.
- Troque senhas antigas que possam ter sido reutilizadas, especialmente a do e‑mail (ela é a “chave-mestra” para recuperar outras contas).
2FA: escolha o método certo
- App autenticador (TOTP) ou chave de segurança > SMS. Mensagens SMS podem ser interceptadas e sofrem port‑out/clone de SIM.
- Guarde códigos de backup em local seguro, offline.
Higiene do dispositivo
- Mantenha sistema e apps atualizados; ative atualizações automáticas.
- Use antivírus confiável e faça uma verificação completa.
- Evite instalar extensões de navegador desconhecidas; revise o que já tem instalado.
Revisões específicas: filtros, encaminhamentos e respostas automáticas
Golpistas que conseguem entrar numa conta costumam implantar “reguinhas” silenciosas para ocultar alertas ou desviar mensagens. Verifique:
- Filtros/Regras: nada deve mover, excluir ou encaminhar mensagens sem sua autorização.
- Encaminhamento: desative qualquer encaminhamento para endereços que não são seus.
- Respostas automáticas: certifique-se de que não há mensagens automáticas ativas indevidamente.
Onde ficam essas opções (resumo rápido)
| Provedor | Filtros/Regras | Encaminhamento | Resposta automática |
|---|---|---|---|
| Gmail | ⚙️ > Ver todas as configurações > Filtros e endereços bloqueados | ⚙️ > Ver todas as configurações > Encaminhamento e POP/IMAP | ⚙️ > Geral > Resposta automática |
| Outlook.com | ⚙️ > Mail > Rules | ⚙️ > Mail > Forwarding | ⚙️ > Mail > Automatic replies |
| Yahoo Mail | ⚙️ > More Settings > Filters | ⚙️ > Mailboxes (encaminhamento nas opções da conta) | ⚙️ > More Settings > Vacation response |
| iCloud | Mail (web) > ⚙️ > Rules | Mail (web) > ⚙️ > Regras/Encaminhamento | Mail (web) > ⚙️ > Auto-Reply |
FAQ: dúvidas rápidas
Devo pagar para “evitar exposição”?
Não. Pagar não garante nada e incentiva novas extorsões. A maioria dessas mensagens é disparada em massa sem qualquer material real.
Como o golpista teria “meu vídeo”?
O texto é padronizado. Os criminosos apostam no medo. Na imensa maioria dos casos, não há vídeo nenhum. Se você não clicou em anexos, não instalou nada e seu dispositivo está atualizado, o risco é próximo de zero.
Posso processar/denunciar?
Sim, ameaças e extorsão são crime. Guarde capturas de tela, cabeçalhos completos da mensagem (header) e o conteúdo do e‑mail. Consulte as orientações das autoridades locais no seu país (Brasil, Portugal, Angola, Moçambique, etc.).
Bloquear o remetente resolve?
Não, porque o campo “De:” é forjado e muda. O melhor é marcar como spam para treinar o filtro e seguir o checklist de proteção.
Como ver de onde veio o e‑mail?
Abra o cabeçalho completo (“Mostrar original” no Gmail, “Exibir origem da mensagem” no Outlook). Ali constam servidores de passagem. Para usuários comuns, basta confirmar que não há envio a partir da sua própria conta (sem mensagens em Enviados, sem logins estranhos).
E se eu tiver usado a senha antiga em outros sites?
Troque todas as senhas onde ela foi reaproveitada. Habilite 2FA nesses serviços também.
Mitologias comuns (mito x fato)
| Mito | Fato |
|---|---|
| “Se o e‑mail mostra minha senha, com certeza invadiram minha caixa.” | A senha geralmente vem de um vazamento antigo. Isso não prova acesso atual ao seu e‑mail. |
| “Não posso apagar porque veio de mim mesmo.” | Pode e deve apagar. O remetente é falsificado. |
| “Se eu pagar em Bitcoin, tudo se resolve.” | Não. Muitos golpistas nem monitoram carteiras; o objetivo é assustar e coletar pagamentos fáceis. |
| “2FA é chato e não ajuda.” | 2FA bloqueia logins mesmo com a senha. É a barreira mais eficaz contra tomada de conta. |
| “Antivírus não serve para e‑mail.” | Serve sim: detecta anexos e malwares que poderiam gravar tela/teclado se você executasse algo. |
| “Só celebridades recebem esse golpe.” | Não. É um disparo em massa, global, mirando qualquer caixa ativa. |
Procedimento de resposta recomendado para equipes de TI
- Identificar e classificar a mensagem como sextorsão com spoofing.
- Conter: marcar como spam; bloquear domínios envolvidos nos gateways (se aplicável); reforçar DMARC/SPF/DKIM no domínio corporativo.
- Orientar usuários: enviar comunicado interno com o checklist e canal de reporte.
- Verificar indicadores: buscas por regras suspeitas, encaminhamentos e logins fora do padrão.
- Educação contínua: campanhas trimestrais sobre golpes com exigência de pagamento em criptomoedas.
E se a conta tiver sido realmente invadida?
Se você encontrou logins estranhos ou mensagens enviadas sem sua ação, trate como incidente de segurança:
- Desconectar todas as sessões e trocar a senha de um dispositivo confiável.
- Ativar/Refazer 2FA e revogar apps que não reconhece.
- Remover regras/encaminhamentos implantados.
- Verificar Enviados, Lixeira e Itens Excluídos (procure conversas com golpistas e tentativas de reset de senha de outros serviços).
- Alertar contatos próximos para ignorarem mensagens estranhas supostamente vindas de você.
- Registrar boletim/participação nas autoridades competentes, mantendo evidências (cabeçalhos, horário, conteúdo).
Boas práticas de prevenção contínua
- Desconfie de urgência artificial, principalmente com pedido de criptomoedas.
- Evite clicar em links e baixar anexos de remetentes inesperados, mesmo se o nome parecer familiar.
- Ative alertas de atividade de login no seu provedor.
- Use navegadores atualizados e ative proteção contra phishing.
- Considere chaves de segurança FIDO para as contas mais críticas.
Checklist de verificação rápida (imprima ou salve)
- [ ] Troquei a senha do e‑mail por uma senha única e longa.
- [ ] Ativei 2FA com app autenticador ou chave física.
- [ ] Encerrei todas as sessões/dispositivos desconhecidos.
- [ ] Removi filtros, regras e encaminhamentos estranhos.
- [ ] Revoguei acessos de apps que não reconheço.
- [ ] Verifiquei a atividade de login dos últimos 30 dias.
- [ ] Marquei a mensagem como spam e a excluí.
- [ ] Atualizei e rodei o antivírus nos meus dispositivos.
Resumo prático
É sextorsão com remetente falsificado e senha vazada no passado. Apague/denuncie, mantenha a conta protegida com senha única + 2FA e revise sessões, filtros, encaminhamentos e apps para confirmar que não houve acesso indevido. Não pague, não responda, não clique.
Perguntas avançadas (para quem quer ir além)
Como funcionam SPF, DKIM e DMARC em termos simples?
SPF é uma lista de servidores autorizados a enviar e‑mails em nome do seu domínio. DKIM adiciona uma assinatura criptográfica que comprova que a mensagem não foi alterada. DMARC diz ao provedor receptor o que fazer quando SPF/DKIM falham (aceitar, quarentenar, rejeitar) e fornece relatórios. Em domínios corporativos, políticas DMARC mais rígidas reduzem spoofing. Por que alguns e‑mails spoofados passam mesmo com DMARC?
Porque o golpista pode usar domínios diferentes (ex.: “seu-nome@exemplo‑parecido.com”) ou serviços de encaminhamento que preservam alinhamento parcial. Além disso, provedores pessoais (gmail.com, outlook.com) não estão sob seu controle para configurar políticas — você depende dos filtros do provedor. Devo guardar o e‑mail como prova?
Se houver ameaça específica e recorrente, sim: baixe o original com cabeçalhos para registro. Caso seja um único disparo genérico, marcar como spam e apagar é suficiente.
Conclusão: o e‑mail “de mim para mim” com senha antiga e exigência de Bitcoin é um golpe recorrente. Com algumas ações simples — apagar/denunciar, fortalecer a conta com 2FA, revisar regras/encaminhamentos e manter bons hábitos de segurança — você neutraliza a tentativa e segue em frente com tranquilidade.