O primeiro email de spam foi enviado por Gary Thuerk em 1978 para cerca de 400 pessoas. O email incluía um folheto sobre os computadores DECSYSTEM-20. Teve um sucesso absurdo e gerou cerca de 13 milhões de dólares em vendas. Também abriu caminho ao email como um novo canal para chegar aos clientes e vender produtos.
Há duas formas de olhar para o spam por email.
Cai na tua caixa de entrada, clicas em eliminar, qual é o problema?
Um jogo internacional do gato e do rato, em que a tua caixa de entrada, e aquilo que nela cai, está na linha da frente enquanto as grandes tecnológicas, as agências governamentais e as organizações criminosas travam uma batalha pela tua segurança, pela tua atenção e pela tua conta bancária.
A segunda perspetiva pode soar dramática, mas se te poupar algumas dores de cabeça e talvez até algum dinheiro, vale a pena percebê-la, certo?
Bem… tudo começa com uma piada sobre uma lata de carne enlatada.
O que é um email de spam e porque se chama spam?
Há muitas coisas que o spam pode ser: anúncios, burlas, newsletters de lixo, a lista continua. Mas a única coisa que o spam não é, é convidado. Como um enxame de mosquitos a chegar à primeira menção do verão, o spam chega quase sempre em massa. É não solicitado, indesejado e bastante irritante.
Mas porque partilha o nome com uma lata de carne enlatada feita de pá de porco e fiambre? Por isso, temos de agradecer a um famoso sketch dos Monty Python, em que a palavra “spam” era repetida vezes sem conta, quase até à loucura. Isso consolidou “spam” como símbolo do incessante e do indesejado. Em 1993, um utilizador experiente da internet pegou nesta ideia e descreveu uma enxurrada de publicações repetidas como spam e, voilà, o nome pegou.
Mas, apesar das suas origens peculiares, a própria palavra não capta quão prejudicial o spam pode ser – nem quão difícil é livrarmo-nos dele. Tal como os mosquitos, os emails de spam transportam muitas vezes materiais perigosos que podem causar estragos nos teus dispositivos. Sem falar do risco para os teus dados pessoais e da enxaqueca que pode surgir quando a tua caixa de entrada é inundada por anúncios duvidosos. Mas compreender a história ajuda. Se perceberes como o spam encontra o caminho até à tua caixa de entrada, farás um melhor trabalho a mantê-lo de fora.
Tipo de spam | Exemplo |
Spam publicitário | Emails promocionais |
Phishing | Emails falsos de início de sessão bancário |
Spam com malware | Anexos maliciosos |
Emails de burla | Burlas falsas de lotaria ou herança |
Quando foi enviado o primeiro email de spam?

Então, de onde vem o spam por email? Talvez te surpreenda saber que o primeiro email de spam foi enviado antes de a internet sequer existir. Não veio de um grupo criminoso obscuro, veio de um único profissional de marketing a tentar vender uma nova linha de computadores e, acredita ou não, rendeu milhões.
Em 1978, o gestor de marketing Gary Thuerk enviou um email a cerca de 400 pessoas através da ARPANET, a rede militar que existia antes da internet. A sua mensagem era um convite para uma apresentação dos novos computadores DECSYSTEM-20. O email gerou cerca de 13 milhões de dólares em vendas, mas também irritou quase toda a gente que o recebeu.
A parte mais interessante desta história da história do spam não é quando o email foi enviado, mas sim a faca de dois gumes por detrás do spam por email. Por um lado, há quantidades astronómicas de dinheiro a ganhar com anúncios enviados a centenas, milhares ou até milhões de pessoas. Mas o spam é, muito obviamente, irritante. Infelizmente, esta é a relação de atração e repulsão que vai acompanhar o spam ao longo da sua história turbulenta.
Como evoluiu o spam ao longo das décadas?
Se tiveste a sorte de crescer na era da proteção da Google e da Microsoft, talvez não te lembres dos primeiros tempos da internet, quando tirar spam da caixa de entrada era uma tarefa mais manual.
Cronologia da evolução do spam por email
Ano | Evento |
1978 | Gary Thuerk envia o primeiro email de spam |
1994 | Campanha de spam “Green Card Lottery” |
1996 | A MAPS lança listas blackhole |
2003 | Introdução da lei CAN-SPAM |
Anos 2000 | Botnets e phishing disparam |
Anos 2010 | A filtragem por IA melhora |
Anos 2020 | Aumentam o phishing e o spam gerados por IA |
Anos 1980–1990: o faroeste do email
Em 1983, um ano antes da previsão de George Orwell sobre um superestado totalitário, algo muito diferente começava a tomar forma. Pela primeira vez, tornou-se possível que várias redes independentes se ligassem entre si, criando a base da atual rede global de redes, ou internet, como gostamos de lhe chamar.
Ao longo da década seguinte, milhões de novos utilizadores ligaram-se à internet e começaram a criar endereços de email. Não havia uma autoridade central para dizer “não podes fazer isso” e o email podia basicamente servir como um canal publicitário gratuito. Uma mensagem disparada para milhares, até milhões, de pessoas a um custo quase nulo.
Qual foi o resultado? Nos anos 1990, o spam explodiu, e também os esforços para o controlar. Em 1994, os advogados Canter & Siegel lançaram o seu infame anúncio “Green Card Lottery” em milhares de grupos Usenet, muitas vezes visto como a primeira grande campanha comercial de spam. As defesas surgiram pouco depois. O Mail Abuse Prevention System (MAPS) lançou a primeira Real-time Blackhole List em 1996, bloqueando emails de servidores de spam conhecidos, e grupos como o Spamhaus criaram listas de bloqueio e partilharam informação para manter os spammers de fora.
Anos 2000: a década em que o spam ficou sombrio
Os anos 2000 podem ter marcado o fim do milénio, mas para muitos foram o verdadeiro início dos emails irritantes a inundar as caixas de entrada. A Google, o Yahoo e a Microsoft entraram todos na onda de travar o spam. Mas já não se tratava de anúncios pirosos ou esquemas para enriquecer depressa, o spam estava a tornar-se mais sombrio. Os spammers tinham começado a usar “botnets”, redes de computadores infetados, para enviar spam em grande escala.
Os governos decidiram que era altura de intervir. Em 2003, os EUA avançaram com a lei CAN-SPAM (Controlling the Assault of Non-Solicited Pornography and Marketing). Obrigava os spammers a respeitar os pedidos de exclusão e a evitar linhas de assunto enganosas, mas havia um senão: a responsabilidade continuava a recair sobre os destinatários para anularem a subscrição. A Europa, por outro lado, foi mais rigorosa. A UE criou um sistema de opt-in para o email marketing, o que significava que as empresas não podiam enviar emails comerciais sem obter primeiro autorização.
Os anos 2000 marcaram a verdadeira explosão do jogo do gato e do rato que passou a definir o spam. Os spammers inventavam novos truques, e quem os combatia encontrava formas de os contrariar. Vejamos a filtragem bayesiana, por exemplo: analisa as palavras de um email, calcula probabilidades e decide se é lixo ou legítimo. Quando surgiu, foi um avanço na forma como os fornecedores de email podiam combater o spam. Em 2004, Bill Gates chegou mesmo a prever que o problema do spam seria resolvido em dois anos. Mas, como sempre, os spammers adaptaram-se rapidamente.
Exemplos do vaivém do spam em ação:
A era moderna: quando o spam aprendeu a pensar

Stephen Hawking avisou uma vez que os humanos poderiam um dia ser para a IA aquilo que os cães são para os humanos, uma ideia inquietante. E embora isso possa soar sombrio, não é exagero dizer que a ascensão da IA pode ser tão transformadora como a invenção da máquina a vapor. Não admira, portanto, que a IA esteja a moldar a batalha entre quem procura lucrar com o spam e quem tenta controlá-lo. A diferença é que, ao contrário dos filtros de spam tradicionais, a IA consegue aprender e adaptar-se.
A ironia aqui é que os burlões estão a usar as mesmas ferramentas para melhorar os seus emails de spam que os estudantes universitários usam para passar nos exames. Antes das ferramentas de IA, os emails de spam estavam cheios de gralhas, erros gramaticais e sinais de alerta óbvios. Agora, graças aos grandes modelos de linguagem, emails de spam com gramática impecável, tom localizado e ganchos personalizados podem ser enviados em massa. Em vez de enviar 10’000 emails idênticos, os burlões podem enviar 10’000 emails ligeiramente diferentes e evitar os filtros. Ao passar o texto por modelos que simulam a pontuação de spam, os atacantes podem ajustar as suas mensagens até parecerem “seguras”.
Os gigantes do email estão a fazer o mesmo. Usam IA e aprendizagem automática não apenas para analisar o conteúdo, mas também para analisar o comportamento do remetente, os sinais da rede e até o contexto das mensagens. O Gmail, por exemplo, consegue agora detetar padrões suspeitos, como explosões súbitas de emails de novos domínios ou conteúdo que imita iscos de phishing conhecidos, e adaptar-se em tempo real para travar novas campanhas de spam.
Que impacto teve o spam no email e nas empresas?
Se voltarmos à história da origem do spam por email, e ao seu homónimo dos Monty Python, o tema era simples: irritante. Na altura, era exatamente assim que a maioria via o spam. Mas, nas décadas seguintes, tornou-se muito mais perigoso. Clicar na ligação errada pode agora significar vírus ou perdas financeiras graves.
E não são só os indivíduos que estão em risco. Desde os anos 2000, os burlões inventaram formas elaboradas de atacar alvos maiores. Muitos destes esquemas até têm alcunhas apelativas que minimizam a gravidade das consequências.
Exemplos de spam direcionado a empresas:
Spam em massa e burlas – Os emails em massa continuam a inundar diariamente as caixas de entrada, desde anúncios irritantes a falsas lotarias ou esquemas do “príncipe nigeriano”. São de baixo nível, mas enchem as caixas de entrada e ainda podem enganar funcionários.
Emails de phishing – Fazem-se passar por marcas de confiança e atraem os utilizadores para sites falsos. Antes desajeitados, estes emails de phishing são agora polidos, automatizados e difíceis de distinguir dos verdadeiros.
Spear phishing e whaling – Ataques direcionados que usam nomes reais ou projetos para enganar funcionários específicos. Quando visam executivos, chama-se “whaling”, e o retorno pode ser enorme.Business Email Compromise (BEC) – Os criminosos fazem-se passar por CEOs, fornecedores ou RH para enganar funcionários e levá-los a transferir dinheiro ou enviar dados.
Malware e ransomware – O spam transporta frequentemente anexos ou ligações maliciosas. Um clique pode libertar vírus ou ransomware, bloqueando sistemas inteiros e custando milhões às empresas.
Mas o verdadeiro perigo está na escala das consequências. O spam desperdiça tempo a uma escala enorme. Funcionários a duvidar de emails ou gestores a investigar falsos alarmes. Tudo isso corrói a produtividade.
O verdadeiro custo do spam
O FBI estima que só o Business Email Compromise drenou mais de 50 mil milhões de dólares entre 2013 e 2022. É por isso que a luta contra o spam continua a evoluir. Os filtros agora olham para além das palavras-chave para analisar padrões, anexos e até o comportamento do remetente. Leis como a CAN-SPAM e o RGPD definem regras em torno do consentimento e da transparência. E os fornecedores de email acrescentaram proteções como SPF, DKIM e DMARC, tornando muito mais difícil para os atacantes fazerem-se passar por quem não são.
Como combatemos o spam hoje?
Os filtros de spam modernos são alimentados por IA e aprendizagem automática. Conseguem analisar o comportamento do remetente e o contexto da mensagem, e depois adaptar-se em tempo real.
Mas a consciencialização continua a ser importante. Mesmo com os melhores filtros de spam, a formação dos funcionários tem de se tornar uma parte essencial de parar o spam.
Como te protegeres de emails de spam
Hoje em dia, as empresas realizam programas regulares de consciencialização que ensinam as pessoas a abrandar e a identificar sinais de alerta, ou a verificar pedidos antes de agir. Alguns deles incluem:
Pensa antes de clicar
O conselho testado e comprovado continua a aplicar-se aqui. Se recebeste um email que não estavas à espera e não conheces o remetente, então não cliques numa ligação aleatória. Podes passar o cursor sobre a ligação no computador, ou manter premido no telemóvel para pré-visualizar primeiro o destino real. Se o endereço da ligação e o endereço real forem diferentes, isso é um sinal de alerta.
Se decidires clicar numa ligação de email, não te deixes enganar por um cadeado ao lado do URL, isso não significa que o site seja seguro. O cadeado apenas confirma que alguém encriptou a ligação. Infelizmente, um site de phishing pode obter um certificado SSL com a mesma facilidade que um site legítimo.
Verifica o remetente
O nome apresentado num email nem sempre é a identidade real do remetente. Isso acontece porque qualquer pessoa o pode alterar para algo completamente diferente. Para verificares a identidade real, tens de confirmar o endereço de email exato de onde a mensagem foi enviada.
Por vezes isto é óbvio, como quando o email vem de um endereço gratuito barato e descartável. Mas nem sempre é assim tão fácil. Os atacantes muitas vezes disfarçam emails alterando alguns caracteres, como @p4ypal.com. Se não tiveres a certeza de que o email é genuíno, o melhor é contactares os canais oficiais de comunicação.
Escolhe um fornecedor com SPF, DKIM, DMARC
Quando se trata de spam, SPF, DKIM e DMARC são o padrão de excelência da autenticação de email. São a melhor forma de saber se os emails enviados a partir do teu domínio são mesmo teus, ou de um impostor. O SPF verifica se o email veio de um servidor autorizado a enviar em teu nome. O DKIM adiciona uma assinatura inviolável, para que a mensagem não possa ser alterada discretamente pelo caminho. O DMARC junta os dois e diz ao servidor recetor o que fazer quando uma mensagem falha a verificação.
A boa notícia é que não tens de configurar nada disto manualmente. Um bom fornecedor de email deve tratar disso por ti. Por isso, quando estiveres a escolher onde alojar o teu email, procura um que suporte SPF, DKIM e DMARC por defeito.
Usa 2FA
2FA acrescenta uma segunda camada de segurança à tua conta. Significa autenticação de dois fatores e basicamente quer dizer provar quem és com duas coisas em vez de uma. A primeira é a tua palavra-passe, a segunda pode ser o teu telemóvel, uma aplicação autenticadora, uma impressão digital ou uma chave de segurança.
Isto significa que, se a tua palavra-passe for roubada, o atacante não consegue aceder à tua conta sem ter a segunda forma de autenticação. Qualquer 2FA é melhor do que nenhum 2FA. Procura fornecedores de email que o ofereçam e ativa-o em todo o lado onde puderes, começando pelo teu email.
Tem cuidado com os anexos
Os humanos são curiosos, e os atacantes aproveitam-se disso. A melhor forma de te protegeres é evitar abrir anexos de email que não estavas à espera de receber. Isto aplica-se mesmo que venham de alguém que conheces. Isso acontece porque as contas são muitas vezes sequestradas e os remetentes falsificados.
Trata sempre PDFs, documentos Word e Excel, arquivos ZIP e RAR, ficheiros HTML, imagens de disco ISO e, especialmente, ficheiros .exe com cuidado redobrado. Em caso de dúvida, confirma com o remetente através de um canal separado antes de abrires seja o que for.
Mantém a tua equipa treinada
No fim de contas, os humanos são a última linha de defesa quando se trata de ataques. Os filtros, a autenticação e a análise de anexos travam muita coisa, mas quaisquer mensagens que passem foram concebidas para enganar uma pessoa.
É aqui que a formação pode fazer uma enorme diferença. Crucialmente, as empresas devem preparar-se para os ataques de hoje, não para os de ontem. Isso significa iscos escritos por IA sem gralhas, voz e vídeo deepfake, e burlas através de SMS, códigos QR e pedidos de MFA, não apenas por email.
Perguntas frequentes
O primeiro email de spam de sempre foi enviado em 1978 na ARPANET, a antecessora da internet. Um profissional de marketing chamado Gary Thuerk enviou um email a 400 pessoas com uma proposta de novos computadores. O email gerou milhões de dólares, mas irritou muita gente.
O spam por email começou como uma forma barata de anunciar a muitas pessoas ao mesmo tempo por email. A internet inicial não tinha muitas regras, e era fácil chegar a milhares de caixas de entrada com um custo quase nulo.
O nome vem de um sketch dos Monty Python em que “spam” era repetido sem parar. Os primeiros utilizadores da internet adotaram o termo para descrever o mesmo tipo de repetição em mensagens indesejadas.
O spam começou com anúncios e cartas em cadeia, e evoluiu para phishing, malware e burlas em grande escala. Hoje, a IA ajuda os spammers a escrever mensagens polidas e personalizadas, por isso os filtros tiveram de se tornar mais avançados para acompanhar.
No início dos anos 2000, o spam representava quase metade de todo o tráfego mundial de email. Os governos intervieram com leis como a CAN-SPAM Act, e grandes fornecedores como Yahoo, Microsoft e Google criaram defesas mais robustas.
Os filtros de spam modernos usam IA e aprendizagem automática para analisar mais do que apenas palavras-chave. Observam o comportamento do remetente, sinais de rede e padrões de mensagens, como uma súbita vaga de emails de um novo domínio ou conteúdo que imita iscos de phishing conhecidos, e depois adaptam-se em tempo real para bloquear novas campanhas de spam.
O spam de phishing faz-se passar por uma marca ou contacto de confiança para te enganar e levar a clicar numa ligação maliciosa ou a partilhar informações sensíveis. Os emails de phishing costumavam estar cheios de gralhas e sinais de alerta óbvios; agora são polidos e difíceis de detetar.
Spam é qualquer tipo de email em massa não solicitado, como anúncios, newsletters de lixo ou falsas ofertas de lotaria. Phishing é um tipo de spam concebido para roubar os teus dados ou dinheiro, fazendo-se passar por alguém em quem confias. Todo o phishing é spam, mas nem todo o spam é phishing.


Partilha a tua opinião