No momento, estamos vendo todos os tipos de e-mails de sextorsão. Esse golpe é barato de se executar, fácil de automatizar e, aparentemente, lucrativo o suficiente para que os cibercriminosos continuem a utilizá-lo. Alguns criminosos se esforçam mais na elaboração de suas mensagens do que outros.
E-mails de sextorsão são mensagens nas quais os golpistas alegam ter gravado você pela webcam enquanto assistia a pornografia e agora exigem pagamento. Eles já existem há anos e continuam evoluindo com pequenas mudanças no texto e detalhes técnicos falsos.
O que não mudou é a verdade fundamental: não há malware, nem gravação, nem nenhuma evidência confiável por trás da ameaça. Apesar de ter visto inúmeras versões desses e-mails ao longo dos anos, ainda não encontrei nenhuma que fosse comprovada pelas evidências que o remetente alegava ter.
A seguir, vamos analisar o e-mail linha por linha, interrompendo a narrativa do golpista com comentários que explicam de onde vêm essas alegações e por que elas não resistem a uma análise mais detalhada.
“Oi!
Lamento informar-lhe uma notícia triste. Há aproximadamente um ou dois meses, consegui obter acesso total a todos os seus dispositivos utilizados para navegar na internet. Desde então, passei a monitorar suas atividades na internet de forma contínua.”
A introdução define o tom.Total a todos os seus dispositivos” é um sinal de alerta imediato, pois é extremamente improvável e tecnicamente vago. Os verdadeiros invasores costumam ser mais específicos sobre o que acessaram (qual dispositivo, qual sistema operacional, qual aplicativo), enquanto os golpistas deliberadamente mantêm a mensagem genérica para que qualquer pessoa possa achar que isso se aplica a ela.
“Go ahead and take a look at the sequence of events provided below for your reference: Initially I bought an exclusive access from hackers to a long list of email accounts (in today’s world, that is really a common thing, which can arranged via internet). Evidently, it wasn’t hard for me to proceed with logging in your email account (<REDACTED_EMAIL>). “
Aqui, o golpista alega ter comprado acesso a uma “longa lista de contas de e-mail”. Trata-se de uma referência distorcida aos verdadeiros corretores de acesso inicial (IABs) e aos mercados de credenciais, onde criminosos negociam senhas roubadas ou tokens de sessão. Neste e-mail, no entanto, não é fornecida nenhuma senha, hora de login ou endereço IP — apenas um endereço de e-mail que eles já conheciam. Portanto, não há evidência real de invasão ou comprometimento da conta.
“Na mesma semana, passei a instalar um vírus do tipo Trojan nos sistemas operacionais de todos os dispositivos que você usa para acessar seu e-mail. Para ser sincero, não foi nada difícil para mim (já que você teve a gentileza de clicar em alguns dos links dos e-mails da sua caixa de entrada antes). É, há gênios entre nós.”
A alegação sobre o “vírus troiano” reflete o que já vimos em outras campanhas de sextorsão que citam aleatoriamente famílias de malware ou vulnerabilidades para parecerem convincentes. Mais uma vez, não há nenhum nome específico de malware, caminho de arquivo ou vulnerabilidade descrito — apenas uma história genérica criada para assustar qualquer pessoa que já tenha clicado em um link.
“Graças a esse trojan, consigo acessar todo o conjunto de controladores dos dispositivos (por exemplo, sua câmera de vídeo, teclado, microfone e outros). Como resultado, baixei sem esforço todos os dados, incluindo fotos, histórico de navegação na web e outros tipos de dados, para os meus servidores. Além disso, tenho acesso a todas as contas de redes sociais que você usa regularmente, incluindo e-mails, histórico de bate-papo, mensageiros, lista de contatos etc. Meu vírus exclusivo atualiza incessantemente suas assinaturas (devido ao controle por um driver) e, portanto, permanece indetectável por qualquer tipo de antivírus.”
Esta seção tenta parecer técnica ao mencionar termos como “controladores”, “drivers” e “atualização de assinaturas”. Mas nada disso reflete como os produtos de segurança ou o malware realmente funcionam. Os trojans e spywares modernos podem usar drivers, mecanismos de persistência ou criptografia, mas afirmações como“qualquer tipo de antivírus”e “atualização incessante de suas assinaturas” são puro blefe voltado para leitores sem conhecimentos técnicos.
“Portanto, imagino que, a esta altura, você já consiga entender o motivo pelo qual sempre passei despercebido até esta mesma carta…”
Essa argumentação tenta justificar uma grande inconsistência. Se o invasor realmente tivesse controle total e estivesse monitorando a vítima há “um ou dois meses”, por que a única evidência é um e-mail sem registros, capturas de tela ou amostra de vídeo? Se alguém realmente possui material comprometedor, apresentará pelo menos alguma prova, pois é isso que faz com que as vítimas levem a sério a situação.
“Durante o processo de compilação de todos os materiais relacionados a você, também percebi que você é um grande fã e usuário assíduo de sites que hospedam conteúdo adulto picante. Acontece que você realmente adora visitar sites pornográficos, bem como assistir a vídeos excitantes e desfrutar de prazeres inesquecíveis. Na verdade, não consegui resistir à tentação de gravar certas cenas obscenas em que você é o protagonista e, posteriormente, produzi alguns vídeos expondo suas cenas de masturbação e ejaculação.”
Aí vem o clássico gancho da sextorsão: “Gravei você enquanto assistia a pornô”. Temos visto variações dessa frase pelo menos desde 2018, muitas vezes reutilizadas palavra por palavra em grandes campanhas de spam. O golpe se baseia na vergonha e no medo, e não na credibilidade técnica. O objetivo é fazer com que as vítimas entrem em pânico e acabem pagando.
“Se até agora você não acredita em mim, basta um ou dois cliques do mouse para criar todos esses vídeos com todas as pessoas que você conhece, incluindo seus amigos, colegas, parentes e outros. Além disso, posso publicar todo esse conteúdo de vídeo na internet para que todos possam ver.”
Mais uma vez, observe a falta de provas. Não há imagem de pré-visualização, nem vídeo de amostra, nem menção a uma conta específica nas redes sociais — apenas uma ameaça de enviar isso para “todos que você conhece”. É deliberadamente vago. A mesma mensagem precisa funcionar para milhões de destinatários com círculos sociais completamente diferentes.
“Sinceramente, acredito que você certamente não gostaria que tais incidentes ocorressem, tendo em vista o conteúdo lascivo exibido nos vídeos que você costuma assistir (você sabe exatamente a que me refiro); isso causaria um enorme prejuízo para você. Ainda há uma solução para esse assunto, e eis o que você precisa fazer: efetue uma transferência de US$ 1.490 para minha conta (o equivalente em bitcoins, calculado de acordo com a taxa de câmbio na data da transferência); assim, assim que receber a transferência, eu me livrarei imediatamente de todos esses vídeos obscenos, sem demora. Depois disso, podemos fazer com que pareça que nada aconteceu antes. Além disso, posso confirmar que todos os softwares trojans serão desativados e apagados de todos os dispositivos que você usa. Você não tem nada com que se preocupar, pois eu sempre cumpro minha palavra.”
O valor e a forma de pagamento — pouco menos de US$ 1.500, pagos em Bitcoin — são típicos desse tipo de golpe. As criptomoedas são populares entre os golpistas porque os pagamentos são difíceis de reverter e podem ser transferidos rapidamente. Apesar de sua reputação, o Bitcoin não é anônimo, e as autoridades policiais já conseguiram rastrear com sucesso muitas transações criminosas.
“That is indeed a beneficial bargain that comes with a relatively reduced price, taking into consideration that your profile and traffic were under close monitoring during a long time frame. If you are still unclear regarding how to buy and perform transactions with bitcoins – everything is available online. Below is my bitcoin wallet for your further reference: <REDACTED_ACCOUNT> All you have is 48 hours and the countdown begins once this email is opened (in other words 2 days).”
Prazos curtos e linguagem de contagem regressiva são táticas de pressão psicológica, não realidades técnicas. Os golpistas querem que você entre em pânico, não que pense, pois um leitor calmo tem mais chances de perceber as falhas na história.
“A lista a seguir inclui coisas que você deve lembrar e evitar fazer:
> Não adianta tentar responder ao meu e-mail (já que este e-mail e o endereço de remetente foram criados dentro da sua caixa de entrada).
> Também não adianta ligar para a polícia ou para qualquer outro tipo de serviço de segurança. Além disso, nem ouse compartilhar essas informações com nenhum dos seus amigos. Se eu descobrir isso (levando em conta minhas habilidades, será muito simples, pois controlo todos os seus sistemas e os monitoro continuamente) – seu vídeo comprometedor será divulgado publicamente imediatamente.
> Também não adianta tentar me encontrar – isso não levará a nenhum resultado. Transações com criptomoedas são totalmente anônimas e impossíveis de rastrear.
> Não adianta reinstalar o sistema operacional nos dispositivos ou tentar jogá-los fora. Isso não resolverá o problema, já que todos os vídeos em que você é o protagonista já foram enviados para servidores remotos.”
Esta seção trata essencialmente de como lidar com objeções. O golpista antecipa reações comuns — conversar com alguém, chamar a polícia, reinstalar o sistema — e tenta neutralizá-las. A alegação de que o endereço de e-mail foi “criado dentro da sua caixa de entrada” é particularmente reveladora. Trata-se de uma tentativa de fazer com que um endereço de remetente genérico pareça uma evidência de invasão.
“Coisas que podem estar te preocupando:
> Essa transferência de fundos não vai chegar até mim. Respire fundo, eu posso rastrear tudo na hora; assim, assim que a transferência for concluída, terei certeza, já que acompanho incessantemente todas as atividades que você realiza (meu vírus troiano controla todos os processos remotamente, assim como o TeamViewer).”
A menção ao TeamViewer, uma ferramenta legítima de acesso remoto, é outra tática que temos observado em e-mails recentes de sextorsão. Isso ajuda o golpista a fundamentar sua história em algo que os usuários possam ter ouvido falar ou usado no trabalho. No entanto, ainda não há evidências de acesso remoto, e a alegação de que o malware “controla todos os processos” ignora como funcionam os sistemas operacionais e os controles de segurança reais.
“> Que seus vídeos serão divulgados, mesmo que você já tenha concluído a transferência de dinheiro para a minha carteira. Acredite em mim, não faz sentido algum eu continuar incomodando você depois que a transferência for concluída com sucesso. Além disso, se isso fizesse parte do meu plano, eu já teria feito isso muito antes! Vamos abordar e lidar com isso de maneira clara! Para concluir, gostaria de recomendar mais uma coisa… depois disso, você precisa se certificar de que não se envolverá mais em situações desagradáveis como essa! Minha recomendação: certifique-se de trocar todas as suas senhas por novas regularmente.”
Terminar com conselhos de segurança é um recurso manipulador. Ao oferecer recomendações úteis, o golpista tenta parecer credível e confiável, em vez de criminoso. Isso não muda o fato de que o e-mail não contém nenhuma evidência de que qualquer uma dessas alegações seja verdadeira.
Como reagir a e-mails de sextorsão
Este exemplo está escrito de forma excepcionalmente ruim, mas muitos e-mails de sextorsão são bem mais bem elaborados e convincentes. Independentemente de quão profissionais pareçam, eles devem ser tratados da mesma forma: como ameaças infundadas destinadas a assustar as vítimas para que paguem.
- Antes de mais nada, nunca responda a e-mails desse tipo. Responder confirma que alguém está lendo ativamente as mensagens enviadas para esse endereço e pode incentivar novas tentativas de golpe.
- Não se deixe levar pela pressa ao agir ou tomar decisões. Os golpistas contam com o fato de que você não vai dedicar um tempo para refletir sobre a situação e, consequentemente, comete erros. Peça orientação se não tiver certeza.
- Um anexo não é prova. A maioria dos e-mails de sextorsão não contém nenhuma evidência, e os cibercriminosos costumam usar anexos para espalhar malware ou fazer com que suas ameaças pareçam mais convincentes.
- Se o e-mail contiver uma senha que você já tenha usado antes, altere-a imediatamente em todos os lugares onde ela ainda estiver em uso. Em seguida, ative a autenticação de dois fatores sempre que possível. Se você estiver com dificuldade para organizar suas senhas, considere usar umgerenciador de senhas.
- Apague a mensagem, denuncie-a como spam e siga em frente.
Embora esses e-mails de sextorsão sejam quase sempre blefes, se você estiver preocupado com espionagem pela webcam, Malwarebytes Monitoring pode alertá-lo quando algum aplicativo tentar acessar sua câmera.
