Conta pirateada? Os primeiros 15 minutos podem salvar tudo

03 Abr 2026 · Internet 3 Comentários

Com o aumento contínuo de ciberataques a contas pessoais e profissionais, a ESET, maior empresa europeia de cibersegurança, divulga um conjunto de orientações práticas para ajudar os utilizadores a recuperar rapidamente o acesso e minimizar os danos.

O que fazer nos primeiros 15 minutos?

Conter o ataque (minutos 0–2)

Verifique se ainda tem acesso à conta e interrompa, sempre que possível, as ações do atacante. Se o acesso já tiver sido perdido, inicie imediatamente o processo oficial de recuperação na plataforma. Em situações que envolvam contas financeiras, o primeiro contacto deve ser com o banco.

Recuperar o controlo (minutos 3–6)

Altere a palavra-passe a partir de um dispositivo seguro, rever definições de recuperação e eliminar regras suspeitas de encaminhamento de e-mails. A ativação da autenticação de dois fatores (2FA), com apps como Google Authenticator ou Microsoft Authenticator, é altamente recomendada.

Verificar atividade suspeita (minutos 7–10)

Analise os históricos de login, as mensagens enviadas e as alterações não reconhecidas. O controlo do e-mail é particularmente crítico, já que pode permitir o acesso a outras contas.

Limpar o sistema (minutos 11–13)

Remova software, extensões ou aplicações desconhecidas, atualize o sistema e execute uma verificação de segurança para detetar malware ou outros pontos de acesso indevidos.

Alertar e reportar (minutos 14–15)

Informe os contactos próximos, sobretudo se a conta tiver sido usada para enviar mensagens suspeitas, e reporte o incidente à plataforma e, quando aplicável, às entidades relevantes.

A empresa alerta que técnicas como phishing, malware e reutilização de credenciais podem permitir aos atacantes comprometer várias contas em segundos. Após o acesso inicial, é comum que alterem definições críticas, como emails de recuperação, códigos de backup ou regras de encaminhamento, para manter controlo contínuo sobre a conta.

Para reforçar a importância da resposta rápida, Ricardo Neves, Responsável de Comunicação e Marketing da ESET Portugal, afirma:

Quando uma conta é comprometida, os primeiros minutos podem ser decisivos para recuperar o acesso e limitar os danos. O objetivo destas orientações é tornar mais simples a resposta a um momento crítico e ajudar os utilizadores a agir com rapidez, clareza e eficácia.

Prevenção continua a ser essencial

A ESET reforça ainda a importância de boas práticas de segurança digital:

Utilizar palavras-passe fortes e únicas para cada conta;
Recorrer a gestores de palavras-passe;
Considerar o uso de passkeys;
Ativar autenticação de dois fatores;
Manter software atualizado;
Evitar carregar em links suspeitos;
Utilizar soluções de segurança e proteção de identidade.

A empresa conclui que os mesmos hábitos que permitem uma recuperação rápida são os que reduzem significativamente a probabilidade de ataque.

Acompanhe o Pplware no Google Notícias

Propor Revisão Proponha uma correção, faça uma sugestão

Autor: Pedro Pinto

Tags: Conta pirateada eset

Comentários3

Tozzini says:

3 de Abril de 2026 às 21:50

Como sempre, excelente post

Responder
sapaxoxa says:

4 de Abril de 2026 às 20:32

A 1ª camada de segurança somos nós. Temos de perceber que nos primeiros minutos a capacidade de estrago de quem nos pirateia é pequena.

No email é sempre bom ter 2FA ainda que desativem em aparlehos que usam todos os dias, no smartphone usem sempre o authenticator de impressão digitla no minimo.

Ainda que tudo isto não impessa o ataque ajuda a dificultar, tempo esse que podemos usar para fechar contas, alertar autoridades, mudar passwords, etc…

Responder
Joao Ptt says:

4 de Abril de 2026 às 23:59

Na realidade uma vez dentro da conta, é quase impossível expulsar um invasor, porque nenhuma empresa parece implementar mecanismos de defesa robustos que previnam o abuso.

Refiro-me a exigirem que para mudar parâmetros críticos relacionados à identidade ou identificação no sistema que permitam a um terceiro apropriar-se da conta, que tivessem que meter novamente o utilizador e palavra-chave, e ainda um segundo factor de autenticação muito seguro (como as chaves de segurança físicas FIDO U2F, FIDO2, ou pelo menos WebAuthn).

Em alguns casos ainda assim isso não deveria ser suficiente e deveriam exigir outro tipo de verificações para além das já referidas para reduzir ainda mais a facilidade de alguém se apropriar da conta de alguém. A dificuldade estará em serem coisas que um intruso com acesso à conta e eventualmente a dados pessoais da pessoa obtidos de terceiros não possa saber antecipadamente… por exemplo nos bancos as pessoas chegaram a ter uns cartões com números aleatórios com posições que a pessoa tinha de procurar e meter quando o banco perguntava, isso seria algo viável, se a base de dados não tivesse sido comprometida, e a pessoa não tivesse preenchido previamente tal informação em um web site/ aplicação falso que pescasse tais dados… que foi um dos motivos que levou ao abandono de tal sistema; existe o número de telefone, mas os sistemas públicos telefónicos não são um meio seguro e já imensas pessoas perderam dinheiro/ criptomoedas por causa da utilização desse método; existe também os códigos que mudam a cada 30 segundos, mas a pessoa pode ser ludibriada a ceder tal código em um web site falso ou aplicação falsa. É um problema difícil de resolver… pode dificultar-se, mas não dá para impedir completamente um atacante motivado, com recursos e tempo suficiente para tal.

A única coisa que me pareceria viável, mas que implicava a compra de algo físico, seria um autenticador à parte de tudo o resto que conseguisse obter os dados directamente da origem, validar que são da origem, validar o que está a ser feito, e de algum modo permitir recuperar o acesso mesmo que alguém consiga enganá-lo nessa fase, algo que só via possível com um protocolo do tipo “SQRL” (https://www.grc.com/sqrl/sqrl.htm), mas este até onde sei não foi adoptado por nenhuma empresa/ instituição, menos ainda implementado em algo físico, pelo menos disponível ao público em geral para ser comprado (o mais parecido será o FIDO2/ WebAuthn, mas que não oferecem no protocolo a parte da recuperação, e geralmente os dispositivos físicos não exibem qualquer mensagem, apesar de o puderem fazer pelo protocolo, aparentemente a maioria não implementou tal, que permitiria que a pessoa soubesse exactamente porque estava realmente a ser pedida autorização, caso a origem enviasse tal informação, exemplo o banco poderia enviar “Pretende autorizar a transferência de: “€3000,00” para o IBAN: “94182498.0498918924.491” pertencente a: “Exemplar38, Lda.”, da sua conta à ordem: “2938453.93”? Esta transferência é REAL, não é um teste! O seu saldo actual é de “€23.900,09”, após autorizar esta operação o seu saldo passará a ser inferior e será de: “€20.900,09”, será retirado: “- €3000,00” da sua conta. Deseja autorizar esta transferência REAL para terceiros, com a retirada de: – €3000,00 da sua conta?).

Responder

Deixe um comentário Cancelar Resposta

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.