Blog da Spaceship

A evolução do spam por email

O primeiro email de spam foi enviado por Gary Thuerk em 1978 para cerca de 400 pessoas. O email incluía um folheto dos computadores DECSYSTEM-20. Foi um sucesso absurdo e gerou cerca de US$ 13 milhões em vendas. Também abriu o email como um novo canal para alcançar clientes e vender produtos.

Há duas maneiras de olhar para o spam por email.

  1. Ele cai na sua caixa de entrada, você clica em excluir, qual é o grande problema?

  2. Um jogo internacional de gato e rato, em que sua caixa de entrada, e o que cai nela, está na linha de frente enquanto big techs, agências governamentais e organizações criminosas travam uma batalha pela sua segurança, sua atenção e sua conta bancária.

A segunda visão pode soar dramática, mas se ela poupar algumas dores de cabeça e talvez até algum dinheiro, vale a pena entendê-la, certo?

Bem… tudo começa com uma piada sobre uma lata de carne enlatada.

O que é um email de spam e por que ele é chamado de spam?

Há muitas coisas que o spam pode ser: anúncios, golpes, newsletters indesejadas, a lista continua. Mas a única coisa que o spam não é, é convidado. Como um enxame de mosquitos chegando à primeira menção do verão, o spam quase sempre chega em massa. É não solicitado, indesejado e irritante pra caramba.

Mas por que ele compartilha seu nome com uma lata de carne enlatada feita de paleta suína e presunto? Por isso, podemos agradecer a um famoso esquete do Monty Python, em que a palavra “spam” era repetida várias e várias vezes, quase ao ponto da loucura. Isso consolidou “spam” como um símbolo do incessante e do indesejado. Em 1993, um usuário esperto da internet pegou essa ideia e descreveu uma enxurrada de postagens repetidas como spam e voilà, o nome pegou.

Mas, apesar de suas origens peculiares, a palavra em si não captura o quão prejudicial o spam pode ser – nem o quão difícil é se livrar dele. Como mosquitos, emails de spam frequentemente carregam materiais perigosos que podem causar estragos nos seus dispositivos. Sem mencionar o risco aos seus dados pessoais e a enxaqueca que pode vir com sua caixa de entrada inundada por anúncios suspeitos. Mas entender a história ajuda. Se você conseguir entender como o spam encontra seu caminho até sua caixa de entrada, fará um trabalho melhor para mantê-lo fora dela.

Tipo de spam

Exemplo

Spam publicitário

Emails promocionais

Phishing

Emails falsos de login bancário

Spam com malware

Anexos maliciosos

Emails de golpe

Golpes falsos de loteria ou herança


Quando foi enviado o primeiro email de spam?

Então, de onde vem o spam por email? Você pode se surpreender ao saber que o primeiro email de spam foi enviado antes mesmo de a internet existir. Ele não veio de algum grupo criminoso obscuro, veio de um único profissional de marketing tentando vender uma nova linha de computadores e, acredite ou não, rendeu milhões.

Lá em 1978, o gerente de marketing Gary Thuerk enviou um email para cerca de 400 pessoas pela ARPANET, a rede militar que existia antes da internet. Sua mensagem era um convite para uma apresentação dos novos computadores DECSYSTEM-20. O email gerou cerca de US$ 13 milhões em vendas, mas também irritou quase todo mundo que o recebeu.

A parte mais interessante dessa história da história do spam não é quando o email foi enviado, mas a faca de dois gumes por trás do spam por email. Por um lado, há quantias absurdas de dinheiro a serem ganhas com anúncios enviados para centenas, milhares ou até milhões de pessoas. Mas o spam é, obviamente, irritante. Infelizmente, essa é a relação de empurra e puxa que acompanhará o spam ao longo de sua história turbulenta.

Como o spam evoluiu ao longo das décadas?

Se você teve a sorte de crescer na era da proteção do Google e da Microsoft, talvez não se lembre dos primeiros dias da internet, quando tirar spam da sua caixa de entrada era uma tarefa mais manual.

Linha do tempo da evolução do spam por email

Ano

Evento

1978

Gary Thuerk envia o primeiro email de spam

1994

Campanha de spam “Green Card Lottery”

1996

MAPS lança listas blackhole

2003

Lei CAN-SPAM é introduzida

Anos 2000

Botnets e phishing explodem

Anos 2010

A filtragem por IA melhora

Anos 2020

Phishing e spam gerados por IA aumentam


Anos 1980–1990: o velho oeste do email

Em 1983, um ano antes da previsão de George Orwell sobre um superestado totalitário, algo muito diferente estava tomando forma. Pela primeira vez, tornou-se possível que várias redes independentes se conectassem entre si, criando a base para a atual rede global de redes, ou a internet, como gostamos de chamá-la.

Ao longo da década seguinte, milhões de novos usuários entraram online e começaram a criar endereços de email. Não havia uma autoridade central para dizer “você não pode fazer isso”, e o email basicamente podia servir como um canal gratuito de publicidade. Uma mensagem disparada para milhares, até milhões, de pessoas a um custo quase zero.

Qual foi o resultado? Nos anos 1990, o spam explodiu, e os esforços para controlá-lo também. Em 1994, os advogados Canter & Siegel lançaram seu infame anúncio “Green Card Lottery” em milhares de grupos da Usenet, frequentemente visto como a primeira grande campanha comercial de spam. As defesas vieram logo em seguida. O Mail Abuse Prevention System (MAPS) lançou a primeira Real-time Blackhole List em 1996, bloqueando emails de servidores de spam conhecidos, e grupos como o Spamhaus criaram blocklists e compartilharam inteligência para manter os spammers de fora.

Anos 2000: a década em que o spam ficou sombrio

Os anos 2000 podem ter marcado o fim do milênio, mas, para muitos, foram o verdadeiro começo dos emails irritantes inundando as caixas de entrada. Google, Yahoo e Microsoft entraram todos na onda de parar o spam. Mas já não eram mais anúncios cafonas ou esquemas para enriquecer rápido, o spam estava ficando mais sombrio. Os spammers haviam começado a usar “botnets”, redes de computadores infectados, para enviar spam em escala massiva.

Os governos decidiram que era hora de intervir. Em 2003, os EUA lançaram a Lei CAN-SPAM (Controlling the Assault of Non-Solicited Pornography and Marketing). Ela obrigava os spammers a respeitar pedidos de descadastramento e evitar linhas de assunto enganosas, mas o problema era que a responsabilidade ainda recaía sobre os destinatários para cancelar a inscrição. A Europa, por outro lado, foi mais rígida. A UE estabeleceu um sistema de opt-in para marketing por email, o que significava que as empresas não podiam enviar emails comerciais sem obter permissão primeiro.

Os anos 2000 marcaram a verdadeira explosão do jogo de gato e rato que passou a definir o spam. Os spammers inventavam novos truques, e os defensores encontravam maneiras de combatê-los. Veja a filtragem bayesiana, por exemplo: ela analisa as palavras de um email, calcula as probabilidades e decide se é lixo ou legítimo. Quando surgiu, foi um avanço na forma como os provedores de email podiam reprimir o spam. Em 2004, Bill Gates chegou a prever que o problema do spam seria resolvido em dois anos. Mas, como sempre, os spammers se adaptaram rapidamente.

Exemplos do vai e vem do spam na prática:

A era moderna: quando o spam aprendeu a pensar

Stephen Hawking certa vez alertou que os humanos poderiam um dia ser para a IA o que os cães são para os humanos, um pensamento sóbrio. E, embora isso possa soar sombrio, não é exagero dizer que a ascensão da IA pode ser tão transformadora quanto a invenção da máquina a vapor. Não é de se admirar, então, que a IA esteja moldando a batalha entre aqueles que buscam lucrar com o spam e aqueles que tentam controlá-lo. A diferença é que, ao contrário dos filtros de spam tradicionais, a IA pode aprender e se adaptar.

A ironia aqui é que os golpistas estão usando as mesmas ferramentas para melhorar seus emails de spam que estudantes universitários usam para passar nas provas. Antes das ferramentas de IA, os emails de spam eram cheios de erros de digitação, erros gramaticais e sinais de alerta óbvios. Agora, graças aos grandes modelos de linguagem, emails de spam com gramática impecável, tom localizado e ganchos personalizados podem ser enviados em massa. Em vez de enviar 10’000 emails idênticos, os golpistas podem enviar 10’000 emails ligeiramente diferentes e evitar os censores. Ao passar o texto por modelos que simulam a pontuação de spam, os invasores podem ajustar suas mensagens até que pareçam “seguras”.

Os gigantes do email estão fazendo o mesmo. Eles usam IA e aprendizado de máquina não apenas para escanear conteúdo, mas para analisar o comportamento do remetente, sinais de rede e até o contexto das mensagens. O Gmail, por exemplo, agora consegue identificar padrões suspeitos, como explosões repentinas de emails vindos de novos domínios ou conteúdo que imita iscas de phishing conhecidas, e se adaptar em tempo real para bloquear novas campanhas de spam.

Que impacto o spam teve no email e nas empresas?

Se voltarmos à história de origem do spam por email e ao seu homônimo do Monty Python, o tema era simples: irritante. Naquela época, era exatamente assim que a maior parte do spam era vista. Mas, nas décadas מאז, ele se tornou muito mais perigoso. Clicar no link errado agora pode significar vírus ou sérios prejuízos financeiros.

E não são apenas indivíduos que estão em risco. Desde os anos 2000, os golpistas elaboraram formas sofisticadas de atacar alvos maiores. Muitos desses esquemas até têm apelidos chamativos que minimizam o quão sérias as consequências podem ser.

Exemplos de spam direcionado a empresas:

Spam em massa e golpes – Emails em massa ainda inundam as caixas de entrada diariamente, de anúncios irritantes a loterias falsas ou esquemas do “príncipe nigeriano”. Eles são de baixo nível, mas lotam as caixas de entrada e ainda podem enganar funcionários.

Emails de phishing – Imitam marcas confiáveis e atraem usuários para sites falsos. Antes desajeitados, esses emails de phishing agora são refinados, automatizados e difíceis de distinguir do real.

Spear phishing e whaling – Ataques direcionados que usam nomes reais ou projetos para enganar funcionários específicos. Quando são voltados para executivos, isso é chamado de “whaling”, e o retorno pode ser enorme.Business Email Compromise (BEC) – Criminosos se passam por CEOs, fornecedores ou RH para enganar funcionários e fazê-los transferir dinheiro ou enviar dados.

Malware e ransomware – O spam frequentemente carrega anexos ou links maliciosos. Um clique pode liberar vírus ou ransomware, bloqueando sistemas inteiros e custando milhões às empresas.

Mas o verdadeiro perigo está na escala das consequências. O spam desperdiça tempo em um nível enorme. Funcionários duvidando de emails ou gerentes investigando alarmes falsos. Tudo isso corrói a produtividade.

O que o spam realmente custa

O FBI estima que somente o Business Email Compromise drenou mais de US$ 50 bilhões entre 2013 e 2022. É por isso que a luta contra o spam continua evoluindo. Os filtros agora vão além de palavras-chave para analisar padrões, anexos e até o comportamento do remetente. Leis como CAN-SPAM e GDPR estabelecem regras sobre consentimento e transparência. E os provedores de email adicionaram proteções como SPF, DKIM e DMARC, tornando muito mais difícil para invasores se passarem por quem não são.

Como combatemos o spam hoje?

Os filtros de spam modernos são alimentados por IA e aprendizado de máquina. Eles podem analisar o comportamento do remetente e o contexto da mensagem, e então se adaptar em tempo real.

Mas a conscientização ainda é importante. Mesmo com os melhores filtros de spam, o treinamento dos funcionários precisa se tornar uma parte essencial de parar o spam.

Como se proteger de emails de spam

Hoje em dia, as empresas realizam programas regulares de conscientização que ensinam as pessoas a desacelerar e identificar sinais de alerta, ou verificar solicitações antes de agir. Alguns deles incluem:

Pense antes de clicar

O conselho testado e aprovado ainda vale aqui. Se você recebeu um email que não estava esperando e não conhece o remetente, então não clique em um link aleatório. Você pode passar o cursor sobre o link no desktop ou pressionar e segurar no celular para visualizar primeiro o destino real. Se o endereço do link e o endereço real forem diferentes, isso é um sinal de alerta.

Se você decidir clicar em um link de email, não se deixe enganar por um cadeado ao lado da URL, isso não significa que o site é seguro. O cadeado apenas confirma que alguém criptografou a conexão. Infelizmente, um site de phishing pode obter um certificado SSL com a mesma facilidade que um site legítimo.

Verifique o remetente 

O nome exibido em um email nem sempre é a identidade real do remetente. Isso porque qualquer pessoa pode alterá-lo para algo completamente diferente. Para verificar a identidade real, você precisa conferir o endereço de email exato de onde a mensagem veio.

Às vezes isso é óbvio, como quando o email vem de um endereço gratuito barato e descartável. Mas nem sempre é tão fácil. Os invasores frequentemente disfarçam emails alterando alguns caracteres, como @p4ypal.com. Se você não tiver certeza se o email é genuíno, o melhor é entrar em contato pelos canais oficiais de comunicação.

Escolha um provedor com SPF, DKIM, DMARC

Quando se trata de spam, SPF, DKIM e DMARC são o padrão ouro da autenticação de email. Eles são a melhor forma de saber se os emails enviados do seu domínio são realmente seus ou de um impostor. O SPF verifica se o email veio de um servidor autorizado a enviar em seu nome. O DKIM adiciona uma assinatura à prova de adulteração, para que a mensagem não possa ser alterada discretamente no caminho. O DMARC une os dois e informa ao servidor receptor o que fazer quando uma mensagem falha na verificação.

A boa notícia é que você não precisa configurar nada disso manualmente. Um bom provedor de email deve fazer isso por você. Então, ao escolher onde hospedar seu email, procure um que ofereça suporte a SPF, DKIM e DMARC como padrão.

Use 2FA

2FA adiciona uma segunda camada de segurança à sua conta. Significa autenticação de dois fatores e basicamente quer dizer provar quem você é com duas coisas em vez de uma. A primeira é sua senha, a segunda pode ser seu telefone, um aplicativo autenticador, uma impressão digital ou uma chave de segurança.

Isso significa que, se sua senha for roubada, o invasor não poderá acessar sua conta sem ter a segunda forma de autenticação. Qualquer 2FA é melhor do que nenhum 2FA. Procure provedores de email que ofereçam isso e ative em todos os lugares em que puder, começando pelo seu email.

Tenha cuidado com anexos

Os humanos são curiosos, e os invasores tiram proveito disso. A melhor forma de se proteger é evitar abrir anexos de email que você não estava esperando. Isso vale mesmo que eles venham de alguém que você conhece. Isso porque contas frequentemente são sequestradas e remetentes são falsificados.

Sempre trate PDFs, documentos do Word e Excel, arquivos ZIP e RAR, arquivos HTML, imagens de disco ISO e, especialmente, arquivos .exe com cuidado extra. Em caso de dúvida, confirme com o remetente por um canal separado antes de abrir qualquer coisa.

Mantenha sua equipe treinada

No fim das contas, os humanos são a última linha de defesa quando se trata de ataques. Filtros, autenticação e verificação de anexos impedem muita coisa, mas quaisquer mensagens que passem por isso são projetadas para enganar uma pessoa.

É aqui que o treinamento pode fazer uma enorme diferença. Crucialmente, as empresas devem treinar para os ataques de hoje, não os de ontem. Isso significa iscas escritas por IA sem erros de digitação, voz e vídeo deepfake e golpes por SMS, códigos QR e prompts de MFA, não apenas por email. 

Perguntas frequentes

O primeiro email de spam foi enviado em 1978 na ARPANET, a predecessora da internet. Um profissional de marketing chamado Gary Thuerk enviou um email para 400 pessoas promovendo novos computadores. O email gerou milhões de dólares, mas irritou muita gente.

O spam por email começou como uma forma barata de anunciar para muitas pessoas de uma só vez por email. A internet no início não tinha muitas regras, e era fácil alcançar milhares de caixas de entrada com gasto quase zero.

O nome vem de um esquete do Monty Python em que “spam” era repetido sem parar. Os primeiros usuários da internet adotaram o termo para descrever o mesmo tipo de repetição em mensagens indesejadas.

O spam começou como anúncios e correntes, e evoluiu para phishing, malware e golpes em grande escala. Hoje, a IA ajuda os spammers a escrever mensagens refinadas e personalizadas, então os filtros precisaram se tornar mais avançados para acompanhar.

No início dos anos 2000, o spam representava quase metade de todo o tráfego de email no mundo. Os governos intervieram com leis como a CAN-SPAM Act, e grandes provedores como Yahoo, Microsoft e Google criaram defesas mais robustas.

Os filtros de spam modernos usam IA e aprendizado de máquina para analisar mais do que apenas palavras-chave. Eles observam o comportamento do remetente, sinais de rede e padrões de mensagem, como um aumento repentino de emails de um novo domínio ou conteúdo que imita iscas de phishing conhecidas, e então se adaptam em tempo real para bloquear novas campanhas de spam. 

O spam de phishing se passa por uma marca ou contato confiável para induzir você a clicar em um link malicioso ou compartilhar informações sensíveis. Os emails de phishing costumavam estar cheios de erros de digitação e sinais de alerta óbvios; agora, são refinados e difíceis de identificar.

Spam é qualquer tipo de email em massa não solicitado, como anúncios, newsletters indesejadas ou falsas ofertas de loteria. Phishing é um tipo de spam criado para roubar seus dados ou dinheiro ao se passar por alguém em quem você confia. Todo phishing é spam, mas nem todo spam é phishing.


Artigos sugeridos

Compartilhe seus pensamentos

São necessários mais de 10 caracteres.
Sua identidade para exibição pública.
Fornecer seu endereço de e-mail é opcional. Não será compartilhado com terceiros.

Ajude-nos a melhorar nosso blog

Compartilhe seus pensamentos em uma rápida pesquisa de dois minutos.

É necessário um e-mail válido