Decripte — Cibersegurança Enterprise
Resposta a Incidentes 24/7 · Account takeover

Sua conta de e-mail corporativa foi invadida? Aja agora, na ordem certa

O que fazer agora

Aja imediatamente, a partir de um dispositivo confiável e nesta ordem: troque a senha por uma longa e exclusiva, force MFA resistente a phishing (FIDO2 ou passkey), encerre todas as sessões ativas e remova regras de encaminhamento e filtros que você não criou — o invasor costuma deixar um reencaminhamento oculto para seguir lendo seus e-mails mesmo após a troca de senha. Em seguida, revogue apps OAuth conectados, audite e-mails enviados e excluídos e avise contatos, financeiro e fornecedores por um canal fora do e-mail. Se houver indício de fraude financeira, transferências ou múltiplas contas afetadas, acione a Resposta a Incidentes 24/7 da Decripte pelo /contato: nosso SOC contém o ataque com SLA de até 1 hora, preserva evidências e coordena a comunicação com banco, ANPD e titulares.

Comece grátis agora Ver planos pagos

SOC 24x7 e SLA de contenção de até 1 hora. A Decripte é especialista em resposta a incidentes para fintechs, crypto, apps, e-commerces e empresas de todos os tamanhos.

Sinais de alerta

  • Você recebeu alertas de login de localidades, IPs ou dispositivos desconhecidos, ou avisos de 'nova sessão iniciada' que não foram você.
  • Contatos relatam ter recebido e-mails estranhos seus — cobranças, links, pedidos de dinheiro ou de troca de dados bancários.
  • Sua caixa de entrada está 'estranhamente vazia' ou e-mails somem sozinhos: sinal de filtro malicioso apagando ou arquivando mensagens.
  • Existe uma regra de encaminhamento automático para um endereço externo que você não criou.
  • Sua senha parou de funcionar de repente ou você foi desconectado sem motivo (o invasor pode ter trocado a senha).
  • Há apps OAuth, senhas de app ou dispositivos conectados que você não reconhece nas configurações de segurança da conta.
  • O financeiro ou um fornecedor recebeu instrução de mudar a conta de pagamento de um 'boleto' ou 'fatura' supostamente vinda de você.

Primeiros passos — o que fazer agora

  1. 1

    Troque a senha de um dispositivo confiável

    Use um computador ou celular que você sabe que não está comprometido (sem malware ou infostealer) para criar uma senha nova, longa e exclusiva. Nunca reutilize a senha antiga nem variações dela. Se a mesma senha era usada em outros serviços, troque também nesses lugares.

  2. 2

    Force MFA, de preferência FIDO2

    Ative autenticação multifator na conta e exija MFA resistente a phishing (chave de segurança FIDO2 ou passkey). Evite depender só de SMS, vulnerável a SIM swap. Em ambiente corporativo (Microsoft 365 / Google Workspace), force MFA por política para todos os usuários, não só para a conta atingida.

  3. 3

    Encerre todas as sessões ativas

    Faça logout de todos os dispositivos e revogue tokens de sessão e cookies. No M365 use a opção de revogar sessões / reset de tokens de atualização; no Google Workspace use 'Encerrar sessões'. Isso derruba o invasor mesmo que ele já tenha a senha em mãos, forçando novo login com o MFA agora ativo.

  4. 4

    Remova regras de encaminhamento e filtros maliciosos

    Esta é a tática clássica de BEC: o atacante cria um encaminhamento automático para um endereço externo e filtros que arquivam ou apagam mensagens (ex.: assuntos com 'fatura', 'pagamento', 'boleto'). Revise e apague qualquer regra que você não criou, inclusive filtros, regras de servidor e encaminhamento no nível do tenant.

  5. 5

    Revogue apps OAuth e dispositivos conectados

    Verifique aplicativos de terceiros com acesso à conta (OAuth) e remova os que você não reconhece ou não usa mais — um app malicioso mantém acesso mesmo após a troca de senha. Confira também dispositivos vinculados e senhas de app antigas, revogando o que for suspeito.

  6. 6

    Audite enviados, excluídos e a caixa de saída

    Procure e-mails que o invasor enviou em seu nome (cobranças falsas, troca de dados bancários, pedidos a fornecedores) e mensagens que ele apagou para esconder o rastro. Isso define o alcance do dano, quem precisa ser avisado com urgência e quais dados pessoais foram expostos.

  7. 7

    Avise contatos, financeiro e fornecedores

    Comunique equipe, clientes e fornecedores por um canal alternativo (telefone, WhatsApp) que sua conta foi comprometida e que pedidos de pagamento ou troca de dados bancários enviados por e-mail devem ser desconsiderados e reconfirmados por voz com um número já conhecido. Em BEC, o prejuízo vem de quem confia no e-mail fraudulento.

  8. 8

    Acione a Resposta a Incidentes e cheque vazamento

    Se há indício de fraude, transferências ou comprometimento de várias contas, acione a Resposta a Incidentes 24/7 da Decripte pelo /contato — SLA de contenção de 1h. Em paralelo, use o plano gratuito de Gestão de Ameaças em https://decripte.io/free para confirmar se sua credencial corporativa vazou e está à venda na dark web.

O que NÃO fazer

  • Não troque apenas a senha e considere o caso encerrado: sem encerrar sessões e remover regras de encaminhamento, o invasor continua dentro da conta e segue lendo seus e-mails.
  • Não confie só em MFA por SMS: o SIM swap permite ao atacante interceptar o código; prefira chave FIDO2 ou passkey resistente a phishing.
  • Não pague nem 'confirme' nenhuma solicitação financeira que tenha chegado por e-mail durante o período suspeito sem validar por voz com um número já conhecido — é assim que o golpe de BEC se concretiza.
  • Não apague logs, e-mails ou evidências antes de preservar o histórico: esse material é essencial para entender o alcance e para a notificação à ANPD, ao banco e à autoridade policial, além de avisar titulares e a ANPD quando houver exposição de dados pessoais com risco relevante.
  • Não use o próprio dispositivo possivelmente infectado para redefinir a senha; se houver malware ou infostealer, a nova senha vaza no mesmo instante.
  • Não decida pagar resgate por impulso se houver extorsão: não há garantia de devolução de acesso ou de dados, o pagamento pode financiar novos ataques e há implicações legais — avalie com a Resposta a Incidentes e preserve as evidências antes de qualquer passo.

Por que trocar a senha não basta: a anatomia de um account takeover

A maioria das pessoas reage a uma invasão trocando a senha e parando por aí. O problema é que um atacante experiente já se preparou para sobreviver a esse gesto. Ao entrar na conta, ele estabelece persistência: cria regras de encaminhamento ocultas, gera senhas de aplicativo, autoriza um app OAuth malicioso ou simplesmente mantém uma sessão ativa com cookie válido. Qualquer um desses mecanismos continua funcionando depois que você muda a senha, porque eles não dependem mais dela.

É por isso que a ordem das ações importa. Trocar a senha de um dispositivo confiável, forçar MFA e — crucialmente — encerrar todas as sessões ativas derruba os acessos baseados em sessão. Remover regras de encaminhamento e filtros corta a exfiltração silenciosa. Revogar apps OAuth elimina o acesso delegado. Só quando todos esses caminhos estão fechados é que a conta volta de fato para as suas mãos. Pular um deles é deixar uma porta dos fundos aberta.

BEC: quando a conta invadida vira arma de fraude financeira

O Business Email Compromise (BEC) é o desfecho mais caro de um account takeover corporativo. Com acesso à sua caixa, o criminoso estuda o jeito que você escreve, com quem você fala e quais pagamentos estão em andamento. Então, no momento certo, ele envia uma mensagem perfeitamente plausível pedindo a um fornecedor, cliente ou ao seu próprio financeiro que altere os dados bancários de uma fatura ou antecipe um pagamento. Para esconder a manobra, ele usa filtros que apagam as respostas antes que você as veja.

Por isso, durante a contenção, a auditoria dos e-mails enviados e excluídos é tão importante quanto a redefinição de senha. Você precisa saber exatamente o que foi enviado em seu nome e avisar os destinatários por um canal fora do e-mail. A regra de ouro para a sua organização passa a ser: nenhuma troca de dados bancários ou pagamento atípico solicitado por e-mail é executado sem confirmação por voz com um número já conhecido. Essa única política barra a esmagadora maioria dos golpes de BEC. Se um pagamento via Pix já foi feito por engano, o pagador deve contatar o banco imediatamente para acionar o MED.

Resposta a Incidentes · 24/7

Cada minuto conta. Comece o diagnóstico gratuito agora e veja o que já vazou.

Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.

Comece grátis agora Ver planos pagos

Contenção, erradicação e recuperação na prática

A resposta a um account takeover segue a lógica do NIST. A detecção e análise é entender como o invasor entrou (credencial vazada, phishing, infostealer) e até onde foi. A contenção é o bloco de ações imediatas: senha nova, MFA forçado, sessões encerradas, encaminhamentos e OAuth removidos. A erradicação remove a persistência que sobrou — senhas de app, regras de servidor, dispositivos vinculados — e fecha o vetor de entrada original, por exemplo trocando credenciais reaproveitadas em outros sistemas.

A recuperação devolve a operação ao normal com monitoramento reforçado: você observa novos logins, valida que nenhuma regra reaparece e confirma que os contatos foram avisados. As lições aprendidas viram política — MFA FIDO2 obrigatório, bloqueio de encaminhamento automático externo no tenant, alertas de regra de caixa e revisão periódica de apps OAuth. Quando o incidente envolve fraude, múltiplas contas ou risco de movimentação financeira, a Resposta a Incidentes 24/7 da Decripte assume essa cadeia inteira com SLA de contenção de até uma hora, preservando evidências e coordenando a comunicação com banco, ANPD e titulares.

Como sua credencial chegou ao atacante — e como descobrir antes

Boa parte dos account takeovers não começa com um hacker 'invadindo' nada: começa com uma senha que já estava à venda. Infostealers em máquinas infectadas e vazamentos de outros serviços despejam enormes volumes de pares de e-mail e senha em fóruns e na dark web. Se a sua senha corporativa apareceu em um desses dumps — ou se você a reutilizava em outro site que vazou — o criminoso só precisou testá-la. Por isso, depois de conter o incidente, é essencial saber se a credencial circula publicamente.

O plano gratuito de Gestão de Ameaças da Decripte, o Decripte Intelligence Center (DIC), monitora exatamente isso: vazamento de credenciais, exposição na dark web e reputação do seu domínio — sem cartão de crédito e sem precisar de equipe técnica. Você cadastra seu domínio em https://decripte.io/free e descobre quais e-mails da sua empresa já apareceram em vazamentos, transformando a resposta a este incidente em prevenção contínua dos próximos. É a forma mais barata de fechar a torneira que alimenta os ataques de takeover.

Obrigações legais (Brasil)

No Brasil, se a invasão expôs dados pessoais e o incidente puder acarretar risco relevante aos titulares, a notificação à ANPD deve ocorrer em até 3 dias úteis a partir da ciência do incidente, conforme a Resolução CD/ANPD nº 15/2024, com comunicação também aos titulares afetados. Em caso de fraude financeira via Pix, acione imediatamente o banco para o MED (Mecanismo Especial de Devolução) e registre boletim de ocorrência — a janela para tentativa de bloqueio dos valores é curta. Preserve logs e e-mails como evidência desde o primeiro momento.

Termos importantes

Account Takeover (ATO)
Tomada de controle de uma conta legítima por um terceiro não autorizado, geralmente usando credenciais válidas obtidas em vazamentos, phishing ou malware. No contexto corporativo, costuma ser o primeiro passo para fraude por e-mail.
BEC (Business Email Compromise)
Golpe em que o criminoso, com acesso ou imitando uma conta corporativa, induz funcionários, clientes ou fornecedores a fazer pagamentos ou alterar dados bancários. Geralmente usa regras de encaminhamento e filtros para esconder a fraude.
MFA / FIDO2
Autenticação multifator exige um segundo fator além da senha. FIDO2 é o padrão de chaves de segurança e passkeys resistentes a phishing, que não podem ser interceptadas como um código por SMS, sendo a forma mais segura de proteger a conta.
OAuth
Protocolo que permite a apps de terceiros acessar sua conta sem ver sua senha, por meio de um token. Um app OAuth malicioso autorizado pelo invasor mantém acesso à conta mesmo depois que a senha é trocada, por isso precisa ser revogado.
Regra de encaminhamento maliciosa
Configuração criada pelo atacante para reencaminhar automaticamente cópias dos seus e-mails a um endereço externo, ou filtros que apagam mensagens. É a tática clássica de persistência e exfiltração silenciosa em ataques de BEC.
MED (Mecanismo Especial de Devolução)
Procedimento do Pix que permite ao banco bloquear e tentar devolver valores em casos de fraude ou falha operacional, mediante contato rápido da vítima. A janela de acionamento é curta, por isso o contato com o banco deve ser imediato.

Perguntas frequentes

Troquei a senha do e-mail mas ainda recebo alertas de login estranho. O que faço?

Trocar a senha não derruba quem já está logado com uma sessão ativa. Vá nas configurações de segurança e use a opção de encerrar todas as sessões / revogar tokens (no Microsoft 365 e no Google Workspace existe esse comando). Depois remova regras de encaminhamento e apps OAuth que você não reconhece. Se os alertas persistirem, o atacante mantém persistência por outro caminho e você deve acionar a Resposta a Incidentes 24/7 da Decripte pelo /contato.

Como sei se a conta invadida criou um encaminhamento escondido?

Acesse as configurações de regras e encaminhamento da sua conta (no Outlook/M365: Regras e Encaminhamento; no Gmail/Workspace: Encaminhamento e POP/IMAP e Filtros). Procure qualquer encaminhamento para um endereço externo e filtros que apagam, arquivam ou marcam como lidas mensagens sobre fatura, pagamento ou boleto. Apague tudo o que você não criou. Esse é o mecanismo mais comum de BEC e costuma passar despercebido.

O invasor mandou e-mails em meu nome pedindo pagamento. Já era?

Não necessariamente. Aja rápido: liste os e-mails enviados e excluídos para saber exatamente quem recebeu o quê e avise cada destinatário por telefone que a solicitação é fraudulenta. Se algum pagamento por Pix já foi feito, o pagador deve contatar o banco imediatamente para acionar o MED (Mecanismo Especial de Devolução) e registrar boletim de ocorrência — a janela para tentar bloquear os valores é curta.

Preciso avisar a ANPD se minha conta de e-mail foi invadida?

Se a invasão expôs dados pessoais (de clientes, funcionários ou terceiros) e o incidente puder acarretar risco relevante aos titulares, sim. A Resolução CD/ANPD nº 15/2024 determina notificar a ANPD em até 3 dias úteis a partir da ciência do incidente e comunicar também os titulares afetados. Preserve as evidências e os logs desde já, porque eles fundamentam essa notificação e a avaliação de risco.

MFA por SMS resolve o problema de invasão de conta?

Ajuda, mas é o elo mais fraco. O código por SMS pode ser interceptado via SIM swap, em que o criminoso clona seu número. Para uma conta que já foi alvo, prefira MFA resistente a phishing: chave de segurança FIDO2 ou passkey. Em ambiente corporativo, force esse padrão por política para todos os usuários, não apenas para a conta comprometida.

Como descubro se a senha da minha empresa vazou na dark web?

Use o plano gratuito de Gestão de Ameaças da Decripte em https://decripte.io/free. Você cadastra seu domínio e ele monitora vazamento de credenciais, exposição na dark web e reputação do domínio, sem cartão de crédito e sem equipe técnica. Assim você identifica quais e-mails corporativos já apareceram em vazamentos e troca essas senhas antes que virem um novo account takeover.

Devo desligar o computador ou a conta para parar o ataque?

Não desligue nem apague nada por impulso. Desligar pode destruir evidências voláteis e nem sempre interrompe o acesso, que muitas vezes vem de fora do seu dispositivo. O correto é conter na própria conta — senha, MFA, sessões, regras, OAuth — preservando logs e e-mails. Se houver malware suspeito na máquina, isole-a da rede (sem desligar) e use outro dispositivo confiável para a redefinição.

Quando devo acionar a Resposta a Incidentes da Decripte em vez de resolver sozinho?

Acione imediatamente se há indício de fraude financeira, transferências, múltiplas contas comprometidas, dados pessoais expostos ou se o invasor reaparece mesmo após suas ações de contenção. A Resposta a Incidentes 24/7 da Decripte tem SLA de contenção de até 1 hora, assume a investigação, preserva evidências e coordena a comunicação com banco, ANPD e titulares. O contato é pelo /contato.

Incidente em andamento?

Comece agora pelo diagnóstico gratuito — e ative SOC 24/7 e resposta a incidentes nos planos pagos.

Veja em minutos o que já vazou da sua empresa. Quando precisar, a Decripte assume a contenção, a investigação forense e a recuperação do ambiente com SLA de contenção de 1 hora.

Comece grátis agora Ver planos pagos