Decripte — Cibersegurança Enterprise
Segurança Digital · Comprometimento

Como saber se fui hackeado — e o que fazer imediatamente

Resposta rápida

Você foi hackeado se perceber logins em horários ou locais que não reconhece, e-mails de redefinição de senha que não solicitou, ou cobranças desconhecidas no cartão. Esses sinais indicam que alguém acessou suas contas ou dispositivos sem autorização. Quanto mais rápido você agir — trocando senhas, ativando autenticação em dois fatores e avisando seu banco — menor o estrago.

Comece grátis agora Guia de Segurança Digital

A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Se você cuida da segurança do seu negócio, comece pelo plano gratuito de Gestão de Ameaças.

Passo a passo — o que fazer

  1. 1

    Use um dispositivo seguro para agir

    Antes de tudo, use um celular ou computador que você confia e que não está comprometido — de preferência um aparelho que não foi conectado à mesma rede Wi-Fi suspeita. Isso evita que o invasor veja suas novas senhas enquanto você as digita.

  2. 2

    Verifique se seus dados vazaram

    Acesse haveibeenpwned.com, um serviço gratuito e respeitado mundialmente, e digite seu e-mail. O site informa se suas credenciais apareceram em algum vazamento de dados conhecido. Se aparecer, troque imediatamente a senha daquele serviço e de qualquer outro onde você usava a mesma senha.

  3. 3

    Revise a atividade de login nas suas contas principais

    No Google, acesse myaccount.google.com > Segurança > Seus dispositivos. No Facebook/Instagram, vá em Configurações > Segurança > Onde você está conectado. No iCloud, abra Configurações > seu nome > lista de dispositivos. Encerre todas as sessões que não reconhecer.

  4. 4

    Troque as senhas das contas afetadas

    Crie senhas longas (mínimo 14 caracteres), únicas para cada serviço e aleatórias — use um gerenciador de senhas como Bitwarden (gratuito e de código aberto) ou similar. Comece pelas contas de e-mail, pois quem controla o e-mail pode redefinir todas as outras.

  5. 5

    Ative a autenticação em dois fatores (2FA) em tudo

    A autenticação em dois fatores exige um segundo código além da senha, tornando quase impossível o acesso não autorizado mesmo que sua senha vaze. Prefira aplicativos autenticadores (Google Authenticator, Authy) em vez de SMS, que pode ser interceptado. Ative em e-mail, redes sociais, banco e qualquer serviço crítico.

  6. 6

    Avise seu banco e monitore extratos

    Ligue para o banco pelo número no verso do cartão e informe a suspeita de fraude. Solicite o bloqueio temporário do cartão e revise os últimos 90 dias de transações. Contestar cobranças indevidas logo aumenta a chance de estorno. Ative notificações por SMS ou push para cada transação.

  7. 7

    Avise seus contatos sobre possíveis mensagens falsas

    Se suas redes sociais ou WhatsApp foram comprometidos, o invasor pode ter enviado mensagens em seu nome pedindo dinheiro ou dados. Avise publicamente (por outro canal) que sua conta foi invadida e que ninguém deve clicar em links ou transferir valores até o problema ser resolvido.

  8. 8

    Escaneie o dispositivo com antivírus atualizado

    Baixe um antivírus confiável (Windows Defender, Malwarebytes, Avast — todos têm versão gratuita), atualize as definições de vírus e faça uma varredura completa. Se o aparelho continuar com comportamento estranho, considere restaurar para as configurações de fábrica após fazer backup dos dados pessoais.

O que NÃO fazer

  • Não use o dispositivo suspeito para fazer login em outros serviços antes de limpá-lo — você pode propagar o comprometimento para mais contas.
  • Não clique em links recebidos por e-mail ou SMS que prometem 'desbloquear sua conta' ou 'confirmar sua identidade' — podem ser ataques de phishing adicionais aproveitando o momento de pânico.
  • Não reutilize a senha antiga nem uma variação dela (ex.: trocar 'senha123' por 'Senha@456') — se a senha original vazou, variações óbvias também serão testadas em ataques de força bruta.
  • Não ignore o problema achando que 'não tenho nada importante' — invasores monetizam qualquer acesso, seja vendendo dados, usando seu e-mail para spam ou sequestrando suas redes sociais para golpes.
  • Não deixe de registrar um boletim de ocorrência (BO) se houver prejuízo financeiro comprovado — o BO é necessário para contestações no banco e pode ajudar investigações policiais.

O que é uma invasão digital e por que acontece

Uma invasão digital — tecnicamente chamada de comprometimento de conta ou de dispositivo — ocorre quando uma pessoa não autorizada obtém acesso às suas informações, sistemas ou perfis online. Isso pode acontecer de várias formas: sua senha pode ter aparecido em um vazamento de dados de outra empresa (como já aconteceu com Yahoo, LinkedIn e dezenas de outros serviços); você pode ter sido enganado por um e-mail falso de phishing que imitava o seu banco ou uma loja conhecida; ou malware instalado sem que você percebesse pode ter capturado tudo o que você digitou.

Segundo o CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), órgão oficial do NIC.br responsável por monitorar incidentes na internet brasileira, tentativas de invasão e phishing estão entre os tipos de incidentes mais reportados no país todos os anos. A cartilha de segurança do CERT.br (cartilha.cert.br) é uma das referências mais completas e gratuitas em português para quem quer entender e se proteger.

O motivo é simples: seus dados têm valor. Criminosos vendem credenciais roubadas em mercados ilegais, usam contas comprometidas para aplicar golpes nos seus contatos, movimentam dinheiro de contas bancárias e até sequestram perfis de redes sociais para extorsão. Nenhuma pessoa está fora do radar — quanto mais ativa for sua vida digital, maior a superfície de ataque.

Como verificar se sua conta foi comprometida

O primeiro passo é checar o site HaveIBeenPwned (haveibeenpwned.com), criado pelo pesquisador de segurança Troy Hunt e amplamente recomendado por organizações como o FBI e a agência de cibersegurança britânica NCSC. Basta digitar seu endereço de e-mail e o site verifica, de forma segura e anônima, se ele aparece em algum dos centenas de vazamentos de dados catalogados. Se aparecer, você saberá exatamente de qual serviço o vazamento veio e poderá agir com precisão.

Para contas do Google, acesse myaccount.google.com e clique em 'Segurança' no menu lateral. Na seção 'Seus dispositivos', você verá todos os aparelhos com acesso ativo à sua conta Google — inclui celulares, notebooks e navegadores. Se algum dispositivo ou localização for desconhecido, encerre a sessão imediatamente e troque sua senha. O Google também exibe os últimos acessos ao Gmail no rodapé da caixa de entrada — clique em 'Detalhes' para ver o histórico completo com IPs e datas.

Para contas Meta (Facebook, Instagram, WhatsApp), acesse as Configurações de cada aplicativo e vá em 'Segurança' > 'Onde você está conectado'. A lista mostra todos os dispositivos e navegadores ativos. No WhatsApp, vá em Configurações > Aparelhos Conectados para ver sessões abertas no WhatsApp Web. Encerre tudo que não reconhecer com um toque.

Proteja também a sua empresa

Veja de graça o que já vazou do seu negócio.

O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.

Comece grátis agora

Passo a passo completo de recuperação

A recuperação de um comprometimento digital segue uma ordem lógica: primeiro você garante um ponto de partida seguro (dispositivo limpo), depois recupera o acesso às contas na ordem de criticidade (e-mail principal primeiro, pois é a chave mestra de todas as outras), então fortalece as defesas (senhas únicas e 2FA), e finalmente comunica as partes afetadas (banco, contatos, eventualmente a polícia).

Se você ainda tem acesso à conta comprometida, não espere. Acesse-a agora pelo dispositivo mais seguro que tiver, mude a senha para algo longo e único, ative a autenticação em dois fatores e encerre todas as outras sessões. Se você perdeu o acesso, use o fluxo de recuperação oficial de cada plataforma — Google, Meta e a maioria dos grandes serviços oferecem recuperação por e-mail alternativo, número de telefone ou código de backup. Nunca pague a terceiros que prometem recuperar sua conta: é golpe.

Depois de retomar o controle, faça uma varredura completa no dispositivo com antivírus atualizado. No Windows, o Windows Defender embutido no sistema operacional já é suficiente para a maioria dos casos se estiver atualizado. No Android, o Google Play Protect faz verificações automáticas. No iPhone/iPad, o iOS tem arquitetura que dificulta malware, mas configurações de perfil de gerenciamento podem ser inseridas — verifique em Configurações > Geral > VPN e Gerenciamento de Dispositivos e remova qualquer perfil que não reconhecer.

Como proteger suas contas a longo prazo

Senhas únicas e longas para cada serviço são a base de tudo. A maioria das invasões acontece porque as pessoas reutilizam a mesma senha em vários lugares — quando um serviço vaza, o invasor testa aquela senha em dezenas de outros automaticamente (ataque chamado de credential stuffing). A solução prática é um gerenciador de senhas: ele cria e lembra senhas complexas por você, e você precisa memorizar apenas uma senha mestra forte. Bitwarden é gratuito, de código aberto e auditado publicamente.

A autenticação em dois fatores (2FA) é a segunda camada mais importante. Com ela ativa, mesmo que alguém descubra sua senha, ainda precisa do segundo código — gerado em tempo real no seu celular — para entrar. Prefira sempre aplicativos autenticadores (Google Authenticator, Authy, Microsoft Authenticator) ao 2FA por SMS, pois o SMS pode ser interceptado por ataques de SIM swap, em que criminosos convencem a operadora a transferir seu número para um chip deles.

Mantenha sistemas e aplicativos atualizados. A maioria dos malwares explora vulnerabilidades em softwares desatualizados — o famoso 'atualizar depois' que nunca acontece. Ative as atualizações automáticas no seu sistema operacional, navegador e aplicativos críticos. Por fim, desconfie de qualquer mensagem urgente pedindo que você clique em um link, informe uma senha ou faça uma transferência — essa é a anatomia básica de todo ataque de phishing, independentemente do canal (e-mail, SMS, WhatsApp ou ligação).

Quando o problema vai além do pessoal — o risco corporativo

Se o dispositivo comprometido é usado também para trabalho — acessa o e-mail corporativo, sistemas da empresa, VPN, pastas compartilhadas ou qualquer ferramenta de negócio — o incidente deixa de ser só seu problema. Um celular pessoal hackeado que acessa o e-mail da empresa é uma porta de entrada para a rede corporativa inteira. Credenciais roubadas de um colaborador foram o vetor inicial de alguns dos maiores ataques a empresas documentados nos últimos anos.

Se você está nessa situação, avise imediatamente o time de TI ou segurança da sua empresa. Não espere 'resolver por conta própria' para contar depois. Quanto mais cedo a equipe técnica souber, mais rápido pode conter o impacto: revogar acessos comprometidos, verificar se dados corporativos foram exfiltrados, reforçar monitoramento e avisar outros colaboradores. O CERT.br orienta que incidentes devem ser reportados a [email protected] quando envolvem sistemas conectados à internet brasileira.

Para empresas, a lição é estrutural: comprometimento pessoal de colaboradores vira risco corporativo quando não há políticas claras de separação entre dispositivos pessoais e corporativos, sem gestão de identidade e acesso (IAM), sem autenticação multifator obrigatória para sistemas críticos e sem treinamento periódico de conscientização. Esses são exatamente os pilares de um programa de cibersegurança empresarial — e é nesse contexto que a Decripte atua.

Termos importantes

Phishing
Ataque em que criminosos se passam por entidades legítimas (bancos, empresas, governo) via e-mail, SMS ou WhatsApp para enganar a vítima e fazê-la entregar senhas, dados pessoais ou instalar malware. O nome vem do inglês 'fishing' (pescar) — o criminoso lança uma isca e espera que alguém morda.
Autenticação em dois fatores (2FA)
Mecanismo de segurança que exige duas provas de identidade para liberar acesso: normalmente algo que você sabe (sua senha) e algo que você tem (um código temporário gerado no seu celular). Mesmo que um invasor descubra sua senha, sem o segundo fator não consegue entrar.
Credential stuffing
Tipo de ataque automatizado em que criminosos pegam listas de usuários e senhas vazados de um serviço e as testam em massa em outros serviços. Funciona porque muitas pessoas reutilizam a mesma senha em vários sites. É o principal motivo para usar senhas únicas em cada serviço.
SIM swap
Golpe em que o criminoso convence a operadora de telefonia a transferir o número da vítima para um chip sob seu controle, interceptando assim SMS de verificação e ligações. Com isso, consegue redefinir senhas e burlar autenticação em dois fatores por SMS. Evita-se usando aplicativos autenticadores em vez de SMS para 2FA.

Perguntas frequentes

Como saber se alguém está usando minha conta do Google sem minha permissão?

Acesse myaccount.google.com > Segurança > Seus dispositivos. Se aparecer um dispositivo, navegador ou localização que você não reconhece, encerre a sessão remotamente clicando em 'Remover acesso'. Em seguida, troque sua senha e ative a verificação em duas etapas. O Google também envia alertas automáticos por e-mail quando detecta login em novo dispositivo — verifique se esses alertas estão chegando e se você não os ignorou recentemente.

Recebi um e-mail de redefinição de senha que não pedi. O que fazer?

Não clique em nenhum link desse e-mail. Alguém pode estar tentando redefinir sua senha para assumir sua conta, ou o e-mail pode ser falso (phishing) para capturar seus dados. Acesse a conta diretamente pelo site oficial (digitando o endereço no navegador, não clicando no link) e verifique se há atividade suspeita. Se a conta ainda for sua, mude a senha por lá e ative o 2FA. Se o e-mail for legítimo e você perdeu o acesso, use o canal oficial de recuperação da plataforma.

Meu celular ficou muito lento de repente. Pode ser vírus?

Pode ser, mas lentidão tem várias causas: armazenamento cheio, sistema desatualizado, aplicativo mal otimizado ou bateria velha. Suspeite mais de vírus quando a lentidão vier acompanhada de outros sinais: bateria descarregando muito rápido, dados móveis consumindo mais do que o normal, aplicativos desconhecidos instalados ou pop-ups fora do navegador. Faça uma varredura com antivírus atualizado (Windows Defender, Malwarebytes, Google Play Protect) e verifique a lista de aplicativos instalados em busca de algo que você não reconhece.

HaveIBeenPwned é seguro? Ele não vai roubar meu e-mail?

Sim, é seguro. HaveIBeenPwned (haveibeenpwned.com) foi criado por Troy Hunt, pesquisador de segurança respeitado internacionalmente, e é recomendado pelo FBI, pela NCSC britânica e por diversas agências de cibersegurança. Ao digitar seu e-mail, o site apenas verifica se ele aparece em bancos de dados de vazamentos já públicos — ele não coleta senhas nem informações adicionais. Para senhas, o site usa uma técnica chamada k-anonimato que verifica sem nunca transmitir a senha completa.

Devo registrar boletim de ocorrência se fui hackeado?

Sim, especialmente se houver prejuízo financeiro ou se dados sensíveis foram expostos. O boletim de ocorrência (BO) pode ser registrado online pelo site da Polícia Civil do seu estado para crimes cibernéticos. O BO é importante para contestar cobranças indevidas no banco (a maioria exige o documento), acionar seguros e embasar eventuais investigações policiais. Guarde prints, e-mails e qualquer evidência do incidente antes de fazer o BO.

Autenticação por SMS é suficiente para me proteger?

É melhor do que nada, mas não é o método mais seguro. O SMS pode ser interceptado por ataques de SIM swap — em que criminosos convencem a operadora a transferir seu número de telefone para um chip sob controle deles, recebendo assim todos os seus códigos de verificação. Para contas críticas (e-mail principal, banco, redes sociais), prefira um aplicativo autenticador como Google Authenticator, Authy ou Microsoft Authenticator, que gera códigos localmente no seu celular sem depender de transmissão por rede telefônica.

Se eu formatar o celular, fico seguro?

A formatação (restauração para configurações de fábrica) elimina a grande maioria dos malwares, pois apaga todos os dados e aplicativos instalados. É uma medida eficaz quando outros métodos não resolvem. Antes de formatar, faça backup apenas de fotos e arquivos pessoais — não restaure backups de aplicativos automaticamente, pois eles podem conter o malware. Depois de formatar, reinstale os aplicativos um a um manualmente pelas lojas oficiais (App Store ou Google Play), troque todas as senhas e ative o 2FA antes de sincronizar qualquer dado de conta.

Segurança para empresas

A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.

Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.

Comece grátis agora Ver planos