- O que significam realmente os avisos de segurança
- Início de sessão suspeito bloqueado
- Actividade invulgar detectada
- A sua conta foi bloqueada por precaução
- A verificação de três pontos para detectar fraudes
- A regra de ouro para manter a segurança dos seus dados
- O aviso é genuíno? Plano de resgate em cinco etapas
- A muralha de protecção: autenticação de dois factores (2FA)
- Porque é que um gestor de passwords é uma forma simples de se proteger
O seu smartphone vibra e surge um email no ecrã com a mensagem “Actividade de início de sessão invulgar detectada na sua conta”. Para muitos utilizadores, este é um momento de pânico imediato. Será um ataque informático real? A sua conta de email foi comprometida? Ou será a própria mensagem o verdadeiro ataque? Os avisos de segurança de empresas como a Google, a Microsoft, a Amazon ou o seu banco são uma faca de dois gumes. Por um lado, funcionam como um importante sistema de alerta precoce para travar o roubo de identidade logo à nascença. Por outro lado, os cibercriminosos adoram explorar este momento de choque para atrair as vítimas para páginas de login manipuladas através de alertas falsos. Ao clicar sem pensar num momento de aflição, pode acabar a abrir a porta digital aos piratas informáticos com as suas próprias mãos. Neste tutorial, vamos ensinar a classificar correctamente as mensagens de aviso, a expor falsificações em poucos segundos e a compreender o motivo pelo qual a suspensão de uma conta é, por vezes, uma excelente notícia.
O que significam realmente os avisos de segurança
Nem todas as mensagens significam de imediato que uma conta foi pirateada ou esvaziada. Os fornecedores de serviços utilizam diferentes níveis de alerta para proteger os seus dados. Compreender cada um deles é o primeiro passo para manter a calma.
Início de sessão suspeito bloqueado
Esta é a melhor notícia que pode receber num alerta. O sistema detectou uma tentativa de login a partir de um dispositivo ou localização desconhecida e bloqueou a acção por precaução. No entanto, não fica claro se o invasor utilizou uma palavra-passe correcta. Como medida preventiva, deve verificar a sua palavra-passe e, idealmente, proceder à sua alteração. Isto quer dizer que o ataque foi detectado e repelido numa fase inicial.
Actividade invulgar detectada
Neste cenário, o sistema detectou padrões suspeitos. Talvez uma grande quantidade de emails tenha começado a sair da sua caixa de correio de forma repentina, ou as definições da sua conta sofreram alterações que fogem ao seu comportamento habitual. Neste caso, há uma suspeita de utilização indevida activa. Recomenda-se uma verificação rigorosa da conta e, em caso de dúvida, a alteração imediata da palavra-passe.
A sua conta foi bloqueada por precaução
Pode soar dramático e assustador, mas trata-se frequentemente de uma medida de emergência tomada pelo fornecedor do serviço para evitar consequências piores após a detecção de padrões suspeitos. Aqui, a conta foi bloqueada temporariamente. Aceda (se possível) através da caixa de correio associada para recuperação, de um número de telefone guardado ou da página oficial do serviço. Se a sua própria conta de email for a afectada, contacte a equipa de suporte do fornecedor do serviço para restaurar o acesso. Os sistemas de segurança modernos não reagem apenas quando o acesso já se encontra comprometido. Muitas vezes, um padrão invulgar é suficiente para disparar os alarmes. Falamos de várias tentativas de login falhadas a partir de outro país, testes automatizados de credential stuffing com base em fugas de dados antigas, ou um início de sessão a partir de um novo dispositivo com um endereço IP desconhecido. Isto significa que um login bloqueado não é automaticamente uma prova de que a sua palavra-passe já é conhecida, mas sim um sinal claro de que o sistema de alerta precoce funciona em pleno.
A verificação de três pontos para detectar fraudes
Antes de clicar em qualquer link ou botão, faça uma verificação a frio. Os burlões utilizam ferramentas de Inteligência Artificial para forjar emails que parecem incrivelmente reais, mas falham quase sempre nestes três pontos cruciais.
A armadilha do remetente falso
Nunca se deixe enganar pelo nome mostrado no cabeçalho (como “Amazon Security” ou “Suporte Microsoft”). Verifique sempre o endereço de email que está por trás desse nome. É fundamental que o domínio (ou seja, a parte que surge logo a seguir ao símbolo @ e antes do .pt ou .com) pertença exactamente ao endereço oficial do serviço. Os burlões utilizam variações mínimas para enganar os olhos mais desatentos, como “amazon-support.com” ou endereços completamente aleatórios. Em caso de dúvida, se não espera uma mensagem daquele endereço, trate-a como altamente suspeita.
O truque de passar o rato sobre os links
No seu computador, passe o cursor do rato sobre o botão ou link presente no email duvidoso (atenção, faça isto sem clicar!). O verdadeiro URL de destino vai aparecer na parte inferior da janela do browser) ou do seu cliente de email. Se o endereço mostrado não corresponder ao site oficial do serviço, elimine o email de imediato.
Pânico artificial e pressão de tempo
Os agentes maliciosos denunciam-se frequentemente ao criar um alarmismo artificial. Mensagens com tons ameaçadores como “Aja dentro de 10 minutos ou a sua conta será eliminada irrevogavelmente!” devem levantar suspeitas imediatas. Os fornecedores de serviços conceituados não colocam uma arma à sua cabeça para forçar uma acção. A pressão do tempo é uma ferramenta psicológica clássica utilizada por burlões para contornar o seu pensamento crítico.
A regra de ouro para manter a segurança dos seus dados
Se receber um aviso, feche o email primeiro. Não interaja com a mensagem. De seguida, abra o browser manualmente, escreva o endereço do banco ou do serviço por si mesmo e inicie sessão lá. Se existir um problema real, o aviso vai ser mostrado novamente na página principal da sua conta.
O aviso é genuíno? Plano de resgate em cinco etapas
Se fez o login de forma segura (directamente através de uma aplicação ou website, e não pelo link no e-mail!) e vê realmente uma mensagem de aviso, é necessário agir. Siga estes passos para mitigar os danos e restaurar a segurança:<
Limpeza de sessões: Procure por “Sessões activas” ou “Dispositivos com sessão iniciada” nas definições. Remova quaisquer dispositivos que não reconheça ou que pareçam suspeitos. Isto tirará o tapete a potenciais atacantes.
Reposição de password: Certifique-se de que altera a sua palavra-passe agora. Não utilize uma antiga nem termos fáceis de adivinhar. Uma palavra-passe segura tem pelo menos 12 caracteres, letras maiúsculas e minúsculas, e caracteres especiais. O ideal é utilizar um gestor de palavras-passe moderno.
Olhe para os bastidores: Os hackers muitas vezes sabotam contas ou deixam pequenas armadilhas. Deve verificar o seguinte: Estão configurados reencaminhamentos automáticos de e-mail? Foram guardados novos números de telefone para a recuperação de conta? Elimine tudo o que não tenha sido criado por si.
Verificação de terceiros: Quais são as aplicações que têm acesso à sua conta? (Jogos, apps de quizzes, serviços ou contas antigas). Revogue a autorização de todas as aplicações desnecessárias.
Investigue a causa em vez de combater os sintomas: Hoje em dia, uma password descoberta raramente significa que o seu computador esteja automaticamente infectado com um vírus. Fugas de dados noutros fornecedores onde utilizou a mesma password ou tentativas de phishing são muito mais comuns. No entanto, uma verificação de vírus é uma boa medida de precaução, caso um keylogger esteja envolvido. Verifique também sites como o Have I Been Pwned para ver se os seus dados fizeram parte de uma fuga conhecida. Se sim, deve alterar imediatamente as palavras-passe de todos os outros serviços onde utilizou essa combinação.
<b “>Importante: Se a sua conta de e-mail for a afectada, certifique-se de que a protege primeiro: ela é frequentemente a “chave mestra” para muitos outros serviços online.
A muralha de protecção: autenticação de dois factores (2FA)
Mais do que apenas uma palavra-passe: a autenticação de dois factores (2FA) protege a sua conta com uma segunda confirmação no seu portátil ou smartphone e protege eficazmente os seus dados contra acessos não autorizados.
Infelizmente, uma palavra-passe forte é apenas metade da batalha nos dias de hoje. Se quer mesmo proteger a sua conta após um aviso de segurança, não há como contornar a autenticação de dois factores.
Pense no 2FA como um segurança à sua porta; o ladrão pode já ter roubado a chave ou o código, mas continua sem conseguir entrar sem que o segurança o reconheça.
Códigos baseados em apps: Utilize aplicações como o Google Authenticator, Microsoft Authenticator ou Authy. Estas ferramentas geram um novo código no seu telemóvel a cada 30 segundos que só existe ali. É quase impossível para os hackers intercepta-los remotamente.
Tokens de hardware: Chaves físicas como a YubiKey oferecem a segurança máxima. Uma vez que o login está ligado à posse física da chave, estas contas são extremamente difíceis de comprometer. Mesmo que um hacker saiba a sua palavra-passe, falhará ao tentar ultrapassar a barreira do hardware sem o chip inserido ou encostado ao NFC.
Códigos por SMS: É melhor do que nada, mas é o método de 2FA menos seguro, uma vez que os números de telemóvel podem ser desviados (SIM swapping). Se possível, prefira códigos de aplicações ou tokens de hardware.
Dica: Guarde os códigos de reserva (backup codes) que são apresentados quando configura o 2FA num local seguro (por exemplo, impressos num cofre). Se perder o telemóvel, estes códigos são a sua única forma de voltar a aceder à conta.
Porque é que um gestor de passwords é uma forma simples de se proteger
Sejamos honestos: alguns avisos de segurança só vão parar à nossa caixa de entrada porque utilizamos a mesma combinação para vários serviços diferentes por conveniência. Mas isto pode levar a uma reacção em cadeia fatal: se um dominó cair devido a uma fuga de dados numa pequena loja online, toda a sua identidade digital pode estar em risco. Os hackers e os seus bots tentam imediatamente a palavra-passe roubada na Amazon, PayPal ou em fornecedores de e-mail.
A solução moderna: um gestor de palavras-passe quebra este ciclo vicioso ao realizar duas tarefas cruciais por si:
Verdadeira exclusividade: Cria uma palavra-passe forte para cada serviço. Mesmo que um site seja pirateado, todas as outras contas permanecem seguras.
Protecção inteligente contra phishing: Como o gestor verifica rigorosamente o endereço web guardado, ele não sugerirá quaisquer dados num site fraudulento falso. Muitas vezes, reconhece estas burlas mais depressa do que o olho humano.
Hoje, existe uma vasta gama de gestores de palavras-passe à escolha, oferecendo um elevado nível de conveniência e um grande bónus em termos de segurança: o Dashlane é a nossa principal escolha graças ao seu sistema completo de gestão, preenchimento automático fácil e excelente geração de palavras-passe seguras. Alternativamente, o Bitwarden é um excelente polivalente open-source que oferece tudo o que precisa na sua versão gratuita.
