Ameaças de segurança ao email acentuam-se em Portugal: como saber que o seu email foi atacado – e o que fazer

Próximo artigo

A ESET, empresa europeia líder em cibersegurança, revelou que em Portugal, em 2021, foram detetadas centenas de milhares de ameaças de segurança a contas de email.

Os maiores picos foram observados entre setembro e dezembro, meses em que a ESET registou o maior número de eventos maliciosos do ano relacionados com contas de correio eletrónico.

A prevalência das ameaças ao email no território português, com especial destaque para tentativas de phishing e exploit de vulnerabilidades e envio de executáveis com código malicioso, sublinha a importância de saber ler os sinais de que a conta de email foi atacada – e o que fazer para recuperar e prevenir ataques futuros.

O email é usado desde há décadas e, apesar do crescimento das redes sociais e apps de comunicação instantânea, a sua presença no dia-a-dia dos utilizadores é ubíqua. A popularidade do email é, naturalmente, um forte atrativo para atividades maliciosas. O “sequestro” (hijacking) de contas de email é um projeto lucrativo para agentes maliciosos e uma experiência stressante e desconcertante para os utilizadores vítimas de ataque.

As contas de email dos utilizadores armazenam dados que, uma vez roubados, podem ser monetizados. De acordo com a explicação de Ricardo Neves, Marketing Manager na ESET, “podem ser informações bancárias enviadas a um contabilista, contratos de aluguer com informações pessoais, ou informações sensíveis encaminhadas para advogados, entre muitas outras. Seja qual for o caso, estes dados, uma vez recolhidos, podem ser usados contra os utilizadores em ataques de phishing, ou explorados para levar a cabo manobras de fraude de identidade.”

Adicionalmente, os cibercriminosos podem querer aceder indevidamente a contas de email para se apropriarem de credenciais de acesso a outras contas, reconfigurar os acessos e palavras-passe de outras contas, ou enviar emails de spam/phishing/maliciosos para outros contactos. Estes motivos, juntamente com as acentuadas deteções de ameaças de segurança ao email em Portugal, evidenciam a importância de permanecer atento aos sinais de ataque tanto a nível pessoal como empresarial.

Como saber se a conta de email foi “sequestrada”?

A ESET chama a atenção para alguns sinais comuns de que as contas de email foram “sequestradas”:

  • Há emails enviados e na caixa de entrada que não reconhece;
  • A palavra-passe foi alterada, bloqueando o seu acesso à sua conta;
  • Tem contactos que se queixam de spam proveniente do seu endereço de email;
  • Recebe pedidos de mudança de várias palavras-passe de outros websites e apps;
  • O seu fornecedor de email informa de vários inícios de sessão a partir de IPs e locais não familiares.

A ESET sugere usar o serviço do site HaveIBeenPwned.com, que executa uma extensa base de dados de contas de email e de telemóveis violadas, para verificar se também o seu email foi alvo de ataques. Além disso, a Google permite-lhe rever a atividade recente da sua conta ou efetuar um “Security Checkup”, que inclui atividade recente, como inícios de sessão recentes. Outros grandes fornecedores de email fornecem opções semelhantes, bem como orientações passo-a-passo para recuperar uma conta comprometida (Gmail, Yahoo Mail e Outlook.com).

Como evitar que a conta de email seja atacada de novo?

Para evitar passar novamente pela experiência de uma conta de email comprometida, a ESET apresenta as seguintes dicas:

  • Alterar as palavras-passe da conta de email e quaisquer outras que estejam a ser reutilizadas noutros websites;
  • Acionar a autenticação multifator (“multi-factor authentication”, MFA), que mitiga o risco de roubo de palavras-passe;
  • Efetuar uma verificação completa ao computador para garantir que está isento de malware;
  • Não preencher informação pessoal e de início de sessão online caso tenha recebido pedidos não solicitados para o fazer (por email, sms, redes sociais, etc.);
  • Não iniciar sessão na conta de email em Wi-Fi público ou num computador partilhado.

Finalmente, a ESET sugere que, após um incidente grave, pode ser útil procurar contactar os seus contactos principais por email, ou mesmo através das redes sociais, além de informar o seu banco.