E-mail hackeado: como recuperar sua conta e proteger tudo o que depende dela

Passo a passo — o que fazer

1. 1

   1. Acesse o fluxo oficial de recuperação

   Para Gmail, acesse g.co/recover e siga as instruções usando seu número de telefone ou e-mail de recuperação cadastrado. Para Outlook/Hotmail, acesse account.live.com/recover e verifique a identidade pelo código enviado ao contato alternativo. Nunca use links de terceiros — vão roubar suas credenciais novamente.

2. 2

   2. Troque a senha imediatamente por uma forte e exclusiva

   Crie uma senha com no mínimo 16 caracteres, combinando letras maiúsculas, minúsculas, números e símbolos. Não reutilize senhas de outros serviços. Use um gerenciador de senhas (Bitwarden, 1Password) para armazená-la com segurança.

3. 3

   3. Encerre todas as sessões ativas

   No Gmail, role até o final da caixa de entrada e clique em 'Detalhes' ao lado de 'Última atividade da conta', depois clique em 'Sair de todas as outras sessões da Web'. No Outlook, vá em Segurança da conta Microsoft (account.microsoft.com/security) e encerre sessões remotamente. Isso desconecta o invasor mesmo que ele ainda esteja logado.

4. 4

   4. Ative a verificação em duas etapas (2FA)

   Para Gmail: Minha Conta Google → Segurança → Verificação em duas etapas. Prefira um aplicativo autenticador (Google Authenticator, Authy) ao SMS, pois SMS pode ser interceptado por troca de chip (SIM swap). Para Outlook: account.microsoft.com/security → Verificação em duas etapas.

5. 5

   5. Revise regras de encaminhamento e filtros ocultos

   Este é o truque mais usado por invasores: eles criam regras que encaminham silenciosamente todas as suas mensagens para um endereço externo e continuam espionando mesmo depois de você trocar a senha. No Gmail: Configurações → Ver todas as configurações → aba Encaminhamento e POP/IMAP e aba Filtros e endereços bloqueados. No Outlook: Configurações → Exibir todas as configurações do Outlook → Email → Regras. Apague qualquer regra desconhecida.

6. 6

   6. Revogue acessos de aplicativos desconhecidos

   Invasores costumam autorizar aplicativos de terceiros que mantêm acesso à sua conta mesmo após a troca de senha. No Gmail: myaccount.google.com/permissions. No Outlook: account.microsoft.com/privacy/app-access. Revogue tudo que você não reconhece.

7. 7

   7. Verifique e atualize dados de recuperação

   Confirme que o e-mail de recuperação e o número de telefone cadastrados são seus. O invasor pode ter alterado esses dados para bloquear futuras recuperações. No Google: myaccount.google.com/security. Na Microsoft: account.microsoft.com/security.

8. 8

   8. Troque a senha de todos os serviços vinculados

   Liste todos os serviços que usam esse e-mail (bancos, redes sociais, plataformas de trabalho, lojas). Troque as senhas de todos eles, pois o invasor pode ter acessado outros sites usando a opção 'esqueci a senha' enquanto tinha controle da sua caixa de entrada.

Por que o e-mail é a 'chave-mestra' de toda a sua vida digital

Praticamente todo serviço online — banco digital, rede social, plataforma de trabalho, loja virtual, sistema de saúde — usa o endereço de e-mail como ponto central de recuperação de acesso. Quando você clica em 'esqueci minha senha', o sistema envia um link de redefinição para o seu e-mail. Isso significa que quem controla sua caixa de entrada controla, indiretamente, todas essas contas.

Um invasor com acesso ao seu e-mail pode, em questão de minutos, redefinir a senha do seu banco, da sua conta no Instagram, do seu perfil no LinkedIn e de qualquer serviço que você usa no trabalho. Esse encadeamento é o motivo pelo qual ataques que começam pelo e-mail costumam causar danos muito maiores do que a perda de um único serviço.

Segundo o relatório Data Breach Investigations Report da Verizon (2024), credenciais roubadas representam a principal forma de acesso não autorizado em incidentes de segurança. O e-mail é o vetor de entrada mais comum porque concentra tanto o acesso direto à comunicação quanto o poder de redefinir senhas de todos os outros sistemas.

Como funciona o fluxo oficial de recuperação do Google e da Microsoft

O Google oferece um assistente de recuperação de conta em g.co/recover. O sistema verifica sua identidade por múltiplos meios: envio de código para o número de telefone cadastrado, envio de link para o e-mail de recuperação alternativo, confirmação de dispositivos onde você estava logado anteriormente ou resposta a perguntas sobre atividade recente na conta. Quanto mais informações de verificação você tiver cadastrado, maiores as chances de recuperação bem-sucedida.

A Microsoft disponibiliza o fluxo de recuperação em account.live.com/recover. O processo é semelhante: verificação por contato alternativo, código enviado por SMS ou chamada de voz. Em casos onde todos os métodos de recuperação foram alterados pelo invasor, a Microsoft oferece um formulário de suporte avançado que exige comprovação de identidade com documentos — o processo leva alguns dias, mas é a última linha de defesa.

Um detalhe crítico: cadastre e atualize regularmente seus dados de recuperação (telefone e e-mail alternativo) enquanto ainda tem acesso à conta. Depois que a conta for comprometida e esses dados alterados pelo invasor, a recuperação se torna muito mais difícil e demorada. Verifique seus dados de recuperação do Google em myaccount.google.com/security e da Microsoft em account.microsoft.com/security.

Regras de encaminhamento: o espião silencioso que ninguém vê

Uma das técnicas mais sofisticadas e menos conhecidas pelos usuários comuns é a criação de regras de encaminhamento automático. Após invadir uma conta, o atacante configura um filtro que copia silenciosamente todas as mensagens recebidas — ou apenas as de bancos, do RH da empresa, de determinados remetentes — para um endereço externo que ele controla.

O perigo é que essa regra permanece ativa mesmo depois que você troca a senha e retoma o controle da conta. Durante semanas ou meses, o invasor continua recebendo cópias de tudo que chega na sua caixa de entrada, sem que você perceba nada de errado. Por isso, a revisão de filtros e regras de encaminhamento é um passo obrigatório — não opcional — após qualquer suspeita de comprometimento.

No Gmail, acesse Configurações (ícone de engrenagem) → Ver todas as configurações → abas 'Encaminhamento e POP/IMAP' e 'Filtros e endereços bloqueados'. No Outlook web, acesse Configurações → Exibir todas as configurações do Outlook → Email → Regras. Qualquer entrada que você não reconhece deve ser apagada imediatamente.

E-mail corporativo comprometido: risco muito maior para empresas (BEC)

Quando o e-mail comprometido é corporativo — um endereço com o domínio da empresa —, o impacto deixa de ser apenas pessoal e passa a colocar toda a organização em risco. O golpe conhecido como BEC (Business Email Compromise, ou Comprometimento de E-mail Corporativo) é um dos mais lucrativos do crime cibernético: segundo o FBI Internet Crime Report 2024, causou perdas superiores a 2,9 bilhões de dólares nos Estados Unidos em um único ano.

No BEC, o invasor usa a conta comprometida para se passar pelo colaborador ou pelo executivo cujo e-mail foi tomado. Ele solicita transferências bancárias urgentes, altera dados de fornecedores para redirecionar pagamentos, acessa sistemas internos usando as credenciais já autenticadas e se move lateralmente pela rede da empresa. Em muitos casos, a fraude só é descoberta semanas depois, quando o dano já é irreversível.

E-mails corporativos comprometidos também representam porta de entrada para sistemas como ERPs, CRMs, plataformas de folha de pagamento e acesso remoto. Uma conta de e-mail de colaborador com privilégios elevados pode dar ao invasor acesso equivalente ao de um administrador de TI — sem precisar explorar qualquer vulnerabilidade técnica adicional.

A Decripte atende exclusivamente empresas — de 1 a mais de 100 mil colaboradores — com planos de gestão de cibersegurança que incluem monitoramento de credenciais vazadas, resposta a incidentes de BEC e treinamento de conscientização. Se o problema já aconteceu na sua empresa, nosso time de resposta a incidentes pode ser acionado. Se você quer prevenir, comece pelo plano gratuito de Gestão de Ameaças em decripte.io.

Depois de recuperar: como garantir que não vai acontecer de novo

A verificação em duas etapas (2FA) é a medida de proteção com maior impacto comprovado. O Google publicou pesquisa mostrando que contas com autenticador de aplicativo bloqueiam 99% dos ataques automatizados de tomada de conta. A diferença entre SMS e aplicativo autenticador é relevante: SMS pode ser interceptado por golpes de troca de chip (SIM swap), enquanto aplicativos como Google Authenticator e Authy geram códigos localmente, sem depender de operadora.

Senhas de aplicativo são um conceito importante para quem usa clientes de e-mail antigos (como Outlook desktop ou Thunderbird) ou aplicativos que não suportam 2FA diretamente. O Google e a Microsoft permitem gerar senhas específicas para esses apps em myaccount.google.com/apppasswords e account.microsoft.com/security, respectivamente. Isso evita que você precise digitar sua senha principal nesses clientes, que podem ser menos seguros.

Por fim, monitore regularmente a atividade da sua conta. O Google oferece o painel de atividade de segurança em myaccount.google.com/security e a lista de dispositivos conectados em myaccount.google.com/device-activity. A Microsoft disponibiliza o histórico de atividades em account.microsoft.com/privacy/activity-history. Verifique esses painéis ao menos uma vez por mês — qualquer dispositivo ou localização desconhecida deve ser investigado imediatamente.

Termos importantes

BEC (Business Email Compromise)

Golpe em que um criminoso toma o controle de um endereço de e-mail corporativo legítimo e o usa para enganar funcionários, fornecedores ou clientes — solicitando transferências bancárias fraudulentas, alterando dados de pagamento ou obtendo acesso a sistemas internos. É uma das fraudes mais lucrativas do crime cibernético, com perdas globais de bilhões de dólares por ano.

Verificação em duas etapas (2FA)

Método de segurança que exige dois fatores distintos para confirmar a identidade do usuário ao fazer login: algo que você sabe (a senha) e algo que você tem (código gerado por aplicativo, chave de segurança física ou código enviado por SMS). Mesmo que um invasor descubra sua senha, não conseguirá acessar a conta sem o segundo fator.

SIM Swap (troca de chip)

Golpe em que um criminoso convence uma operadora de telefonia a transferir o número de telefone da vítima para um chip que ele controla, passando a receber todas as ligações e mensagens SMS destinadas ao número original — incluindo códigos de verificação em duas etapas enviados por SMS.

Regra de encaminhamento maliciosa

Configuração criada por um invasor dentro da conta de e-mail comprometida que redireciona automaticamente cópias de mensagens recebidas (ou enviadas) para um endereço externo controlado pelo atacante. A regra permanece ativa mesmo após a troca de senha, permitindo espionagem contínua da caixa de entrada da vítima.

Perguntas frequentes