
Recebi um PIX falso do 'RH': como dissecar o código-fonte do e-mail revelou o golpe
Descobri como identificar um golpe de phishing sofisticado apenas analisando o cabeçalho 'Return-Path' e o link de redirecionamento oculto, sem precisar clicar em nada.

Nesta terça-feira chuvosa de abril, o café ainda nem tinha esfriado e o celular já vibrou com uma notificação do Outlook. Assunto: "Comprovante de PIX — Adiantamento Salarial (13º)". Meu cérebro, sempre em modo piloto automático às 8h da manhã, quase levou o dedo para abrir o arquivo anexado. Afinal, quem não gosta de ver uma notificação de dinheiro entrando, especialmente vinda do RH? O problema é que eu sou freelancer, não tenho CLT e, muito menos, um RH me pagando 13º salário em abril.
Mas o golpe era bom. Muito bom. Aquele e-mail não tinha os erros gramaticais grosseiros de nigerianos oferecendo heranças. A tipografia estava perfeita, as cores eram idênticas às de um grande banco brasileiro e o remetente parecia legítimo à primeira vista. Em vez de apenas ignorar e deletar, resolvi fazer o que faço de melhor quando a tecnologia se disfarça de gente boa: abrir o capô e ver o que está roendo o motor.
A experiência que tive analisando este e-mail específico me provou que a diferença entre ter sua conta zerada ou manter seu dinheiro seguro está, muitas vezes, em uma linha de código oculta que 99% dos usuários nunca olham.
A isca visual que quase engana
A primeira coisa que chamou atenção foi a construção da identidade visual. O e-mail utilizava o logotipo de um banco muito popular no Brasil, a "Área Azul", com o alinhamento de pixels impecável. O texto dizia: "Prezado colaborador, segue comprovante da transferência no valor de R$ 4.500,00 referente ao adiantamento. Clique para validar o recebimento."
O valor não foi escolhido por acaso. R$ 4.500 é um valor alto o suficiente para gerar excitação instantânea (o tal do ganho inesperado), mas não tão absurdo como 1 milhão de reais, o que desconfia. A urgência ("validar o recebimento") é um gatilho mental clássico. Se você não valida, o dinheiro volta? O banco cobra uma taxa? Essa dúvida forçada é o que faz o dedo clicar.
Visualmente, nada gritava "falso". O link "Validar Agora" estava dentro de um botão bem desenhado, com sombras suaves e cantos arredondados, exatamente como nos e-mails transacionais legítimos do Itaú ou do Nubank. No entanto, o seu navegador mostra apenas o que o designer mandou. A perigosa verdade mora nos bastidores.
Autópsia do 'Return-Path': onde a mentira começa
Para entender o golpe, precisamos sair da interface visual e entrar nos metadados. No Gmail, por exemplo, você clica nos três pontinhos no canto superior direito do e-mail e seleciona "Mostrar original". No Outlook, é Arquivo > Propriedades. Foi ali que a mentira se desmontou em menos de cinco segundos.
O campo que me salvou foi o Return-Path. A maioria das pessoas olha apenas o campo "De", que é o que aparece na tela. O e-mail dizia vir de [email protected]. Parece oficial, não é? Mas o Return-Path — que é o endereço real para onde o servidor de e-mail retorna mensagens de erro e falhas de entrega — contava outra história.
Ele apontava para [email protected].
Por que isso importa? O Return-Path é o envelope digital. Se a carta está dentro de um envelope bonito (o campo "De" forjado), o carregador sabe para onde devolver a carta se o endereço não existir. Neste caso, o envelope revelava que o e-mail não estava sendo enviado do servidor da empresa fictícia de RH, mas de um locatário do Microsoft 365 criado provisoriamente, provavelmente com um cartão de crédito roubado, apenas para disparar essa campanha. O golpe usava a infraestrutura legítima da Microsoft para tentar ganhar confiança nos filtros de SPF (Sender Policy Framework), mas o cabeçalho denunciava a origem.

O link que gritava perigo
Com o remetente desmascarado, restava analisar a isca final: o botão "Validar Agora". Quando passamos o mouse sobre um link sem clicar, a maioria dos navegadores modernos mostra a URL real no canto inferior esquerdo.
No e-mail visual, o texto dizia: https://www.bancoficticio.com.br/validar-pix.
Mas, ao passar o mouse, a URL real que apareceu foi: https://bnk-seguro-login.com.br/v2/auth?token=xyz123.
Observe a diferença. Não é o domínio oficial do banco. Golpistas compram domínios que parecem oficiais, usando engenharia social. Eles trocam letras (como usar um "1" no lugar de "l" ou "rn" no lugar de "m"), ou adicionam palavras como "seguro", "login" ou "app" para confundir. O pior é que este link estava usando um redirecionamento. Se eu tivesse clicado, antes mesmo da página de login falsa carregar, meu IP já teria sido logado por um servidor intermediário, marcando meu e-mail como "ativo e receptivo" para venderem em listas de spam mais sofisticadas.
Muita gente pergunta se o Navegador Anônimo (Incognito) realmente esconde seu IP do provedor de internet nesse momento. A resposta curta é não. O site para onde você é redirecionado vê seu IP perfeitamente, anônimo ou não. O modo privativo apenas impede que o seu histórico fique salvo no seu próprio aparelho, o que ajuda pouco se você já entrou em uma armadilha e digitou sua senha.
A falha na autenticação e o pivô para o WhatsApp
A análise dos cabeçalhos também revelou que o e-mail não possuía as assinaturas de segurança DKIM e DMARC configuradas corretamente. DKIM (DomainKeys Identified Mail) é como um lacre de envelope digital que garante que o e-mail não foi alterado no caminho. Ausência de DKIM em um banco grande é uma bandeira vermelha do tamanho de um estádio.
O golpe não terminava na página falsa do banco. Notei no código-fonte do e-mail um rastreador de pixel invisível, frequentemente usado para confirmar se você leu a mensagem. Uma vez que a vítima cai na página falsa, o próximo passo é pedir o código de SMS ou o "push" do app. Em 2026, os golpistas evoluíram: se você não cair no golpe do PIX, eles tentam roubar seu WhatsApp simulando um erro de segurança. Por isso, é vital ativar a autenticação de dois fatores (2FA) no WhatsApp Web usando chaves de segurança FIDO2, pois apenas o SMS não protege mais contra takeover de conta se o criminoso já tiver seus dados pessoais.
Blindagem técnica para o seu dia a dia
Depois de passar 20 minutos analisando este e-mail, cheguei a uma conclusão sólida: a tecnologia nos ajuda, mas a curiosidade técnica nos salva. Não confie cegamente no botão "Marcar como seguro" que o seu cliente de e-mail às vezes sugere. Se você usa e-mail corporativo, exija que o departamento de TI implemente políticas de segurança rigorosas, mas faça a sua parte.
Recomendo fortemente o uso de ferramentas que auxiliem na gestão desses dados. Gerenciadores de senhas locais que não guardam suas chaves na nuvem são uma excelente barreira, pois, mesmo que você caia em um site de phishing preenchendo um formulário, o gerenciador não preencherá a senha automaticamente se o domínio não bater exatamente com o salvo no seu banco de dados local.
O teste final que eu faço hoje é simples: verifico o Return-Path e comparo com o domínio do "De". Se baterem, prossiga. Se não, delete. Não há "RH" no mundo que pague adiantamento em terça-feira sem aviso prévio. O ceticismo é o melhor antivírus que existe, e ele não custa um centavo de assinatura anual.

