Conta Google / Gmail hackeada: como recuperar e proteger
Resposta rápida
Se você perdeu o acesso à sua conta Google, acesse g.co/recover e siga o fluxo de recuperação informando o último login que reconhece. Caso ainda consiga entrar, revise os dispositivos conectados, encerre as sessões suspeitas, troque a senha e ative a verificação em duas etapas. Em seguida, verifique e-mail e telefone de recuperação, que invasores costumam alterar para reter o controle da conta.
A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Cuida da segurança de um negócio? Comece pelo plano gratuito de Gestão de Ameaças.
Sinais de alerta
- ›Você recebe um e-mail do Google avisando sobre login em dispositivo ou local desconhecido
- ›A senha parou de funcionar sem que você a tenha alterado
- ›O e-mail ou o telefone de recuperação foram modificados sem o seu conhecimento
- ›Mensagens enviadas, contatos ou regras de filtro que você não criou aparecem na conta
- ›Aplicativos de terceiros ou chaves de acesso desconhecidas constam como autorizados
- ›Contatos relatam ter recebido mensagens estranhas vindas do seu endereço
Passo a passo — o que fazer
- 1
1. Tente recuperar pelo fluxo oficial
Acesse g.co/recover (myaccount.google.com/recovery) e informe o endereço da conta. Responda às perguntas com o máximo de precisão: use uma senha antiga que você lembre, o dispositivo e a rede que costuma usar para entrar. O Google recomenda fazer a recuperação a partir de um aparelho e local conhecidos, pois isso aumenta a chance de confirmar sua identidade.
- 2
2. Troque a senha imediatamente
Se ainda tiver acesso, vá em myaccount.google.com/security e defina uma senha nova, longa e exclusiva, que não seja reutilizada em nenhum outro serviço. Trocar a senha desconecta automaticamente a maioria das outras sessões ativas, derrubando o invasor dos dispositivos onde ele estava logado.
- 3
3. Encerre as sessões e revise os dispositivos conectados
Em myaccount.google.com/device-activity verifique todos os dispositivos com acesso à conta. Remova (Sair) qualquer aparelho ou navegador que você não reconheça. Faça o mesmo nos apps conectados, no caminho Segurança > Seus dispositivos e Apps de terceiros com acesso à conta.
- 4
4. Restaure e-mail e telefone de recuperação
Invasores alteram os dados de recuperação para reter o controle. Em myaccount.google.com/security confira se o e-mail e o telefone de recuperação são seus. Se foram trocados, corrija-os e remova endereços ou números desconhecidos. Esses dados são o que o Google usa para devolver a conta a você no futuro.
- 5
5. Revogue acessos e senhas de app suspeitos
Na seção Apps de terceiros com acesso à conta, remova autorizações que você não reconhece ou não usa mais. Verifique também se há senhas de app criadas sem o seu conhecimento e revogue-as. Cada autorização ativa é uma porta alternativa de entrada que não depende da sua senha principal.
- 6
6. Ative a verificação em duas etapas
Em myaccount.google.com/signinoptions/two-step-verification ative a verificação em duas etapas. Prefira o aplicativo Google Authenticator, os avisos do Google no celular ou uma chave de segurança física, em vez de SMS, que é mais vulnerável à troca de chip (SIM swap).
- 7
7. Configure uma chave de acesso (passkey)
Cadastre uma chave de acesso em g.co/passkeys. A passkey usa a biometria ou o PIN do seu dispositivo e elimina a senha digitável, o que torna o phishing inviável, já que não há senha para ser roubada ou reutilizada. Mantenha pelo menos um segundo método de login para não ficar sem acesso.
- 8
8. Verifique o que foi alterado e faça a Verificação de Segurança
Rode a Verificação de Segurança em myaccount.google.com/security-checkup. Revise filtros, regras de encaminhamento e respostas automáticas no Gmail, pois invasores criam encaminhamentos ocultos para continuar lendo suas mensagens. Confira também a atividade recente e o histórico de eventos de segurança.
O que NÃO fazer
- ✕Não reutilize a senha antiga nem variações dela; defina uma senha realmente nova e exclusiva
- ✕Não clique em links de e-mails ou SMS prometendo recuperar a conta; use sempre g.co/recover digitado no navegador
- ✕Não confie apenas no SMS como segundo fator se houver risco de troca de chip; prefira app autenticador ou chave física
- ✕Não ignore mudanças em e-mail e telefone de recuperação, mesmo após retomar o acesso
- ✕Não remova a verificação em duas etapas para facilitar o login depois de recuperar a conta
Por que a conta Google é o alvo mais valioso
O e-mail funciona como chave mestra da vida digital. A maioria dos serviços, de bancos a redes sociais, envia para o Gmail os links de redefinição de senha. Quem controla a conta Google consegue, na prática, redefinir o acesso a dezenas de outros serviços, o que explica por que ela é um alvo tão procurado.
Além do Gmail, a conta concentra Drive, Fotos, Agenda, Android e, muitas vezes, dados de pagamento. O CERT.br, na Cartilha de Segurança para Internet, descreve como o roubo de uma conta de e-mail costuma ser o ponto de partida para fraudes maiores, incluindo golpes aplicados contra os contatos da vítima.
Como recuperar quando você já não consegue entrar
Quando a senha foi trocada e os dados de recuperação alterados, o caminho é o formulário de g.co/recover. O Google avalia um conjunto de sinais para confirmar que você é o dono legítimo: senhas usadas anteriormente, dispositivos e redes habituais e a data aproximada de criação da conta.
A documentação oficial do Google orienta a fazer a recuperação a partir de um dispositivo e de uma rede que você já usou para entrar, e a responder ao máximo de perguntas possível, mesmo sem certeza. Não há atalho ou suporte por telefone que substitua esse fluxo; desconfie de qualquer pessoa que se ofereça para recuperar a conta mediante pagamento.
Se o invasor configurou encaminhamento automático ou filtros antes de você retomar o controle, ele pode continuar recebendo cópias das suas mensagens mesmo após a troca de senha. Por isso a revisão de filtros e regras do Gmail é parte obrigatória da recuperação, não um passo opcional.
Cuida da segurança de uma empresa?
Veja de graça o que já vazou do seu negócio.
O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.
Comece grátis agoraVerificação em duas etapas e chave de acesso (passkey)
A senha sozinha é o elo mais fraco. O NIST, na publicação SP 800-63B, recomenda autenticação com mais de um fator e desencoraja regras antigas, como a troca periódica obrigatória de senha, em favor de senhas longas e exclusivas combinadas com um segundo fator.
A verificação em duas etapas exige, além da senha, um segundo elemento: um código de aplicativo, um aviso no celular ou uma chave de segurança física. Entre essas opções, o SMS é o mais frágil, porque pode ser interceptado por meio da troca de chip (SIM swap), em que o golpista assume o seu número junto à operadora.
A chave de acesso, ou passkey, vai além: substitui a senha por uma credencial criptográfica vinculada ao seu dispositivo e desbloqueada por biometria ou PIN. Como não existe senha digitável, não há o que ser capturado em uma página falsa, o que neutraliza a maior parte dos ataques de phishing.
Da conta pessoal ao risco corporativo
O mesmo descuido que compromete uma conta pessoal expõe a empresa. Muitos profissionais reutilizam senhas entre o Gmail particular e o Google Workspace corporativo; quando uma credencial vaza, o invasor a testa em todos os serviços, técnica conhecida como credential stuffing.
No ambiente corporativo, o e-mail também é a chave de tudo: redefinição de acessos, aprovação de transferências e comunicação com clientes passam por ele. O comprometimento de uma única conta do Workspace pode abrir caminho para fraude do tipo BEC (golpe do boleto ou do e-mail corporativo) e para o vazamento de dados de toda a organização.
Por isso a higiene de credenciais não é só um cuidado individual. Monitorar se e-mails e senhas da empresa apareceram em vazamentos, exigir verificação em duas etapas e adotar chaves de acesso são medidas que reduzem de forma direta a superfície de ataque, seja a equipe de uma pessoa ou de mais de cem mil colaboradores.
Como a Decripte ajuda a proteger contas e credenciais
A Decripte é uma empresa brasileira de cibersegurança B2B que atende organizações de todos os portes, de um único colaborador a mais de 100.000. Nosso foco é dar visibilidade sobre as ameaças que atingem as identidades digitais da empresa, começando justamente pelo elo que invasores mais exploram: e-mail e senhas.
Oferecemos um plano gratuito de Gestão de Ameaças, que permite acompanhar a exposição da sua organização e identificar credenciais comprometidas antes que sejam usadas em ataques. É o primeiro passo para que a recuperação de uma conta deixe de ser uma emergência e passe a ser uma exceção rara.
Termos importantes
- Verificação em duas etapas (2FA)
- Camada extra de segurança que, além da senha, exige um segundo fator de autenticação, como um código de aplicativo, um aviso no celular ou uma chave física.
- Chave de acesso (passkey)
- Credencial criptográfica vinculada ao dispositivo e desbloqueada por biometria ou PIN, que substitui a senha digitável e torna o phishing inviável.
- SIM swap (troca de chip)
- Golpe em que o criminoso transfere o número de telefone da vítima para um chip sob seu controle, passando a receber os códigos enviados por SMS.
- Credential stuffing
- Ataque que reutiliza e-mails e senhas vazados em um serviço para tentar acesso automatizado a outros, explorando a reutilização de credenciais.
Perguntas frequentes
Como recuperar minha conta Google se a senha e o e-mail de recuperação foram trocados?
Use o formulário em g.co/recover a partir de um dispositivo e de uma rede que você já usou para entrar. Responda ao máximo de perguntas, informando senhas antigas e a data aproximada de criação da conta. O Google usa esses sinais para confirmar sua identidade.
Quanto tempo demora para recuperar uma conta Google?
Depende dos dados que você consegue confirmar. Com informações precisas e a partir de um dispositivo conhecido, o acesso pode ser restaurado rapidamente. Quando há poucas evidências de identidade, o Google pode pedir tempo adicional para análise.
O Google tem suporte por telefone para recuperar conta?
Não existe um número que recupere contas pessoais. O único caminho oficial é o fluxo em g.co/recover. Qualquer telefone, pessoa ou serviço que prometa recuperar sua conta mediante pagamento é golpe.
Devo usar SMS ou aplicativo na verificação em duas etapas?
Prefira aplicativos como o Google Authenticator, os avisos do Google no celular ou uma chave de segurança física. O SMS protege mais do que nada, mas é vulnerável à troca de chip, em que o golpista assume o seu número.
O que é uma chave de acesso (passkey) e por que usar?
É uma credencial que substitui a senha por biometria ou PIN do seu dispositivo. Como não há senha digitável, não há o que ser roubado em páginas falsas, o que torna o phishing inviável. Configure em g.co/passkeys.
Como saber se invasores ainda têm acesso após a troca de senha?
Revise os dispositivos conectados em myaccount.google.com/device-activity, encerre sessões desconhecidas e cheque filtros, encaminhamentos e respostas automáticas no Gmail, pois invasores criam regras ocultas para continuar lendo suas mensagens.
Reutilizo a senha do Gmail em outros sites; isso é perigoso?
Sim. Quando uma credencial vaza, criminosos a testam em diversos serviços, técnica chamada credential stuffing. Use senhas longas e exclusivas para cada serviço, de preferência com um gerenciador de senhas.
O risco vale também para contas corporativas do Google Workspace?
Sim, e o impacto é maior. Uma conta corporativa comprometida pode levar a fraudes como o golpe do e-mail corporativo (BEC) e ao vazamento de dados da organização. Monitorar credenciais e exigir 2FA reduz esse risco.
Segurança para empresas
A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.
Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.
