O e-mail não é apenas um meio de comunicação nem mais uma conta on-line. Tanto na vida pessoal quanto no trabalho, ele guarda as chaves do reino: pode até mesmo ser o mecanismo usado para redefinir senhas de outras contas e verificar sua identidade. É também por meio dele que você recebe links para redefinição de senhas, alertas de contas, confirmações de reservas, faturas e solicitações de verificação de identidade.

Sua caixa de entrada pode, portanto, armazenar anos de informações sensíveis, desde planos de viagem e comprovantes de compras até consultas médicas, contratos, documentos fiscais e cópias digitalizadas de documentos de identificação. Além disso, ela pode revelar para onde você vai, o que possui, quais serviços utiliza, em quem confia e como é possível acessar outras contas.

Por isso, o e-mail é um alvo muito visado por cibercriminosos. Se você deseja proteger suas contas e seus dados pessoais ou corporativos, a segurança deve começar pela sua caixa de entrada.

Por que os criminosos querem acessar sua caixa de entrada

Os criminosos têm sua caixa de entrada na mira porque ela pode abrir as portas para toda a sua vida digital. Com acesso à sua conta de e-mail, eles podem redefinir senhas de diversas outras contas e até interceptar códigos de autenticação de uso único enviados pelo seu banco, redes sociais, serviços de armazenamento em nuvem e outros provedores de serviços on-line.

Cibercriminosos também podem tentar permanecer ocultos, configurando regras de encaminhamento automático para continuar recebendo suas mensagens mesmo depois que você acreditar ter resolvido o problema. Em outras palavras, mesmo que a senha seja alterada, os criminosos ainda poderão receber códigos de recuperação. Além disso, podem explorar tokens de acesso, aplicativos conectados ou logins ativos para manter o controle sobre a conta.

Os criminosos também podem acessar suas fotos para fins de extorsão e monitorar suas comunicações. Essas informações podem servir de base para a criação de e-mails de phishing altamente convincentes, elaborados para se passar por organizações confiáveis com as quais você costuma interagir. As mensagens podem solicitar transferências de dinheiro, pagamento de taxas ou o fornecimento de mais informações pessoais para viabilizar fraudes de identidade. Quanto mais dados os criminosos tiverem sobre você, como informações de contas, mais persuasivo será o ataque de phishing.

De forma geral, o phishing continua sendo uma das principais ameaças cibernéticas e não deve desaparecer tão cedo. Pelo contrário: a telemetria da ESET registrou um aumento de 36% no volume de e-mails maliciosos no segundo semestre de 2025, em comparação com os seis meses anteriores.

email-threats-h1-h2-2025
Figura 1. Tendência na detecção de e-mails maliciosos em 2025 (Fonte: ESET Threat Report H2 2025).
top malicious email attachment types in H2 2025
Figura 2. Principais tipos de arquivos anexados a e-mails maliciosos (Fonte: ESET Threat Report H2 2025).

As consequências para sua vida profissional podem ser ainda mais graves. Com acesso ao seu e-mail corporativo, os criminosos podem entrar em aplicativos em nuvem, acessar unidades compartilhadas, consultar sistemas de CRM, financeiros e de recursos humanos, monitorar suas comunicações com colegas e clientes e obter acesso a dados confidenciais da empresa e de clientes.

Um ataque de phishing contra uma conta de e-mail corporativa costuma ser o primeiro passo para um vazamento de dados mais amplo, um ataque de ransomware ou extorsão, ou até mesmo uma operação de espionagem. De acordo com estatísticas recentes do governo do Reino Unido, o phishing (38%) foi o tipo de ciberataque mais comum registrado no último ano, seguido pela falsificação de identidade de organizações em e-mails (12%).

Cryptostealers_Delf Fujifilm campaign
Figura 3. E-mail de phishing que distribui o trojan Win/PSW.Delf, passando-se pela Fujifilm (Fonte: ESET Threat Report H2 2024).

Está cada vez mais difícil proteger sua caixa de entrada

O e-mail continua sendo um dos principais alvos dos criminosos porque está na interseção entre tecnologia, identidade e confiança. O phishing explora justamente o que costuma ser o elo mais vulnerável da cadeia de segurança: as pessoas. Todos utilizamos o e-mail diariamente, muitas vezes sob pressão, para receber faturas, acompanhar entregas, verificar comunicados da área de recursos humanos, responder solicitações de clientes, redefinir senhas, participar de reuniões e acompanhar alertas de segurança.

Grande parte dessas mensagens exige alguma ação, como clicar em um link, aprovar uma solicitação, baixar um arquivo, responder ou efetuar um pagamento. Os criminosos se aproveitam dessa rotina, já que até mesmo usuários cuidadosos podem cometer erros quando uma mensagem parece ter sido enviada por um remetente conhecido, chega em um momento de pressa ou transmite um senso de urgência. Com técnicas de falsificação de identidade e engenharia social, as chances de sucesso dos ataques aumentam significativamente.

Segundo a Verizon, o fator humano esteve envolvido em 62% dos vazamentos de dados registrados no último ano. Além disso, a engenharia social foi o terceiro padrão de ataque mais frequente, representando 16% do total de incidentes. O relatório também aponta que a taxa média de cliques bem-sucedidos em simulações de phishing realizadas em dispositivos móveis é 40% maior do que em computadores.

Os criminosos também estão recorrendo a ferramentas cada vez mais sofisticadas para aumentar a eficácia de suas campanhas de phishing. A inteligência artificial generativa (GenAI), por exemplo, permite criar e escalar mensagens com gramática e ortografia impecáveis, tornando os golpes mais convincentes e difíceis de identificar.

Um exemplo clássico: o BEC (Business Email Compromise)

Alguns dos ciberataques mais prejudiciais e caros já registrados começaram com o comprometimento de uma caixa de entrada de e-mail. Entre os casos mais conhecidos estão:

  • Facebook e Google: as duas empresas foram induzidas a pagar mais de US$ 120 milhões após um criminoso enviar faturas falsas, passando-se por um fornecedor legítimo e utilizando documentos falsificados.
  • Children's Healthcare of Atlanta: após o anúncio público da empresa responsável pela construção de um novo prédio do hospital, golpistas enviaram uma solicitação de pagamento se passando pela construtora. Segundo os relatos, eles falsificaram tanto o papel timbrado quanto o endereço de e-mail da empresa, simulando uma mensagem enviada pelo diretor financeiro (CFO).
  • Crelan Bank: o banco perdeu mais de US$ 75 milhões depois que um funcionário foi convencido a transferir recursos para uma conta controlada pelos criminosos. Nesse caso, os cibercriminosos teriam comprometido a conta de e-mail de um executivo de alto escalão e, em seguida, se passado pelo CEO para autorizar a transferência.

Como proteger sua caixa de entrada

Se você é um usuário comum, utilize uma senha ou frase secreta forte e exclusiva para cada conta e armazene-a em um gerenciador de senhas confiável. Como alternativa, utilize um método sem senha, como uma passkey (ou chave de acesso). Em qualquer caso, ative a autenticação multifator: atualmente, esse recurso está disponível na maioria dos serviços. Mantenha suas opções de recuperação atualizadas e certifique-se de que um criminoso não possa usar um número de telefone antigo ou um e-mail de recuperação esquecido para recuperar o acesso.

Também vale a pena revisar periodicamente as configurações da sua conta. Procure por regras de encaminhamento desconhecidas, filtros incomuns, aplicativos conectados que você não reconhece ou dispositivos não identificados. Se sua caixa de entrada tiver sido comprometida, altere a senha, encerre as sessões suspeitas, revise os dados de recuperação e verifique se as mensagens não estão sendo encaminhadas sem o seu conhecimento.

Outras boas práticas de segurança incluem:

  • Tenha cuidado com o phishing: trate qualquer mensagem não solicitada com cautela. Passe o cursor sobre o endereço do remetente para identificar inconsistências. Verifique a grafia do domínio. Não clique em links nem abra anexos. Se necessário, confirme a solicitação por outro canal.
  • Não aprove códigos de autenticação nem solicitações de autenticação multifator (MFA) (por exemplo, no celular) que você não tenha solicitado. Isso pode indicar que um criminoso está tentando acessar sua conta.
  • Mantenha suas opções de recuperação atualizadas e certifique-se de que elas estejam corretas.
  • Se você trabalha em uma organização, trate com cautela qualquer solicitação urgente de transferência bancária, mesmo que pareça ter sido enviada pelo CEO ou pela equipe de TI. Sempre confirme a solicitação por um canal independente.
  • Leve a sério os treinamentos de conscientização em cibersegurança, mantendo-se atualizado sobre as técnicas e táticas de phishing mais recentes.
  • Utilize uma solução de segurança completa de um fornecedor confiável para se proteger contra malwares e mensagens suspeitas.

Praticamente todo mundo utiliza o e-mail. Isso faz dele um alvo permanente para os cibercriminosos. Mas nem toda caixa de entrada precisa estar vulnerável. Adote as medidas de segurança adequadas para aumentar suas chances de permanecer protegido no ambiente digital.