Uma conta digital é considerada comprometida quando alguém consegue aceder a ela sem a tua autorização. Dependendo da situação, esse acesso pode ser usado para consultar informações pessoais, realizar operações financeiras, enganar os teus contactos ou até assumir a tua identidade em serviços online.
Os sinais mais comuns de que algo está errado
Há comportamentos que, isolados, podem parecer inofensivos, mas que juntos formam um padrão preocupante.
Notificações de login desconhecidas são o sinal mais direto: um email ou alerta sobre acesso à tua conta a partir de um local ou dispositivo que não reconheces. Publicações ou mensagens que não enviaste a aparecer no teu perfil são outro indicador claro, normalmente usadas para espalhar spam ou links maliciosos aos teus contactos.
Notificações que desaparecem de repente também merecem atenção. Uma das primeiras ações de quem invade uma conta é desativar alertas, para que não percebas transferências ou alterações feitas sem o teu conhecimento.
Se notares que paraste de receber avisos do banco ou de outros serviços importantes, vale a pena confirmar directamente na app ou no site.
Transações ou alterações que não reconheces, como uma mudança de password que não fizeste ou uma compra que não recordas, são talvez o sinal mais alarmante. Nestes casos, o tempo de reação é crucial.
As formas mais comuns de uma conta ser comprometida
Para que a invasão aconteça, alguém precisa primeiro de obter as tuas credenciais. O método mais conhecido continua a ser o phishing: emails, mensagens ou sites falsos que imitam empresas conhecidas para te induzir a introduzir dados confidenciais.
Vazamentos de dados de empresas também colocam credenciais à venda em massa, que depois são testadas noutros serviços onde uses a mesma password. Mais de 2 mil milhões de combinações de email e password já foram expostas em fugas de dados agregadas, e há uma boa probabilidade de uma das tuas contas estar nessa lista.
Os ataques de força bruta também continuam ativos, com software a testar combinações automáticas a alta velocidade. Por isso é que certos tipos de password continuam entre os mais usados em Portugal e são também os primeiros a cair perante este tipo de ataque.
O que fazer assim que detetares o problema
Se ainda tiveres acesso à conta, muda a password imediatamente e ativa a autenticação em dois fatores se ainda não estiver ativa. Se já tiveres perdido o acesso, usa a função de recuperação de conta do serviço ou contacta o suporte oficial o mais rápido possível.
Se usavas a mesma password noutros sites, muda-a também nesses serviços. É um dos erros mais comuns: uma única credencial reutilizada em várias plataformas transforma uma única fuga de dados numa série de contas comprometidas.
Avisa também os teus contactos, sobretudo se a conta afetada for de redes sociais ou email. É frequente que os hackers usem a conta comprometida para enviar mensagens fraudulentas a amigos e familiares, pedindo dinheiro ou cliques em links maliciosos.
Como reduzir o risco no futuro
A Google disponibiliza uma funcionalidade que verifica automaticamente se as tuas palavras-passe surgiram em fugas de dados conhecidas. Através do Chrome, podes confirmar se essa proteção está ativa e receber alertas caso alguma credencial tenha sido comprometida.
Outra medida essencial é a autenticação multifator. Mesmo que alguém consiga obter a tua palavra-passe, continuará a precisar de uma segunda forma de validação para aceder à conta, o que dificulta significativamente qualquer tentativa de intrusão.
O futuro da autenticação pode passar por deixar as passwords para trás. As passkeys estão a ser adotadas por gigantes como a Google, Apple e Microsoft, numa tentativa de resolver o maior problema da segurança digital: a dependência de palavras-passe que podem ser roubadas, adivinhadas ou reutilizadas.
