Segurança Informática

Conta Microsoft ou Google comprometida:
expulsar o atacante é só o primeiro passo

Intervenção urgente em contas Microsoft 365 e Google Workspace comprometidas: cortamos o acesso do atacante e as persistências escondidas (regras de reencaminhamento, apps OAuth, MFA adicionado), avaliamos o que foi visto e enviado, apoiamos a comunicação a clientes e a avaliação RGPD, e blindamos as contas para não repetir. Resposta em menos de 1 hora em incidentes críticos.

Resposta <1h em incidentes críticos Persistências do atacante removidas Vertente RGPD e CNPD coberta Estimativa antes de avançar
O que está incluído

Resposta a contas comprometidas — conter, avaliar, blindar

Corte imediato do acesso — reset de credenciais, fecho de todas as sessões ativas em todos os dispositivos e revogação de tokens de aplicação.
Caça às persistências — regras de reencaminhamento escondidas, delegações de caixa, apps OAuth autorizadas pelo atacante e métodos MFA estranhos — os truques que fazem o "hackeado outra vez" uma semana depois.
Análise do rasto nos logs — logs de auditoria do Microsoft 365/Google Workspace: quando entraram, de onde, o que leram, o que enviaram, o que exportaram.
Verificação das contas vizinhas — quem comprometeu uma conta tentou as outras: revisão de sinais de compromisso em todo o tenant, não só na conta que deu o alarme.
Contenção de danos externos — apoio na comunicação a clientes e contactos que receberam phishing enviado da conta — rápida, factual e a proteger a relação.
Avaliação RGPD documentada — dados pessoais acedidos? Obrigação de notificar a CNPD em 72h? Avaliamos consigo e deixamos a decisão documentada, como a lei exige.
Blindagem pós-incidente — MFA resistente a phishing em todos, acesso condicional, admins separados do uso diário e alertas de login suspeito ativados.
Relatório do incidente — o que aconteceu, como entraram, o que foi afetado e o que foi corrigido — para a gestão, o seguro e o próximo questionário de segurança.
Para quem é

Situações em que somos chamados

Clientes a receber emails que não enviou

Faturas falsas com IBAN trocado, links de phishing "seus" — o atacante está a usar a confiança dos seus contactos para fraude. Cada hora de atraso é mais um cliente em risco de pagar a conta errada.

Sinais silenciosos de intrusão

Logins de países estranhos, regras de caixa que ninguém criou, respostas que desaparecem. O atacante paciente lê durante semanas antes de agir — apanhá-lo na fase de leitura evita a fraude.

Acesso perdido por completo

Password mudada, MFA trocado, recuperação a apontar para o telefone do atacante. Recuperamos pelo caminho de administrador ou pelos processos de titularidade da Microsoft/Google.

Como funciona

As primeiras 48 horas de um incidente bem gerido

01

Contacto e triagem imediata

Avaliação rápida da situação e das primeiras ações que pode tomar já ao telefone connosco. Estimativa de custo antes de avançar.

02

Contenção

Acesso do atacante cortado: credenciais, sessões, tokens, apps. A hemorragia pára na primeira hora de intervenção.

03

Erradicação

Persistências removidas e todas as contas do tenant verificadas — o atacante sai de vez, não até amanhã.

04

Avaliação e comunicação

Rasto analisado nos logs, danos externos contidos, avaliação RGPD feita e documentada dentro do prazo.

05

Blindagem e relatório

MFA, acesso condicional e alertas implementados; relatório final entregue. Opcional: monitorização contínua para o próximo ficar-se pelo alerta.

Suspeita de conta comprometida agora?

Não mude só a password — os atacantes deixam portas escondidas. Fale connosco antes de o alertar com meias-medidas.

Porquê a Vuvo

Mudar a password não chega — nós sabemos onde os atacantes se escondem

Conhecemos as persistências

Regras escondidas, OAuth malicioso, MFA adicionado — a diferença entre a nossa intervenção e "mudámos a password" é o atacante não voltar na semana seguinte.

Casa dominada: M365 e Workspace

Configuramos e gerimos estes tenants todos os meses — sabemos onde estão os logs, as definições e os cantos escuros de cada plataforma.

Velocidade com método

Resposta em menos de 1 hora útil nos críticos, com um runbook testado — rapidez sem saltar passos, porque os passos saltados são reinfeções.

RGPD sem pânico nem negligência

A avaliação de notificação à CNPD feita com critério e documentada — nem alarme desnecessário, nem a omissão que transforma incidente em coima.

Comunicação que protege a marca

Ajudamos a falar com os clientes afetados da forma certa — empresas que comunicam bem saem de incidentes com a reputação intacta, às vezes reforçada.

Do incidente à prevenção

A blindagem final (MFA, acesso condicional, alertas, formação anti-phishing) transforma a lição cara num sistema que evita a próxima — connosco ou em autonomia.

Perguntas frequentes

Dúvidas sobre Recuperação de Contas Comprometidas

Como sei se uma conta da empresa foi mesmo comprometida?

Os sinais típicos: emails enviados que ninguém escreveu (os contactos começam a receber faturas falsas ou links estranhos "seus"), regras de caixa de correio que não criou (reencaminhamentos e filtros que escondem respostas — o truque favorito dos atacantes), alertas de início de sessão de países estranhos, password que deixou de funcionar, ou clientes a perguntar por emails que nunca enviou. Qualquer um destes justifica agir já — o tempo joga contra si.

O que fazem exatamente na intervenção de emergência?

Pela ordem que importa: cortamos o acesso do atacante (reset de credenciais, fecho de todas as sessões ativas, revogação de tokens e apps autorizadas), procuramos as persistências (regras de reencaminhamento, delegações, apps OAuth maliciosas, métodos de MFA adicionados pelo atacante), avaliamos o rasto (o que foi lido, enviado e exfiltrado, através dos logs de auditoria), contemos os danos (aviso a contactos que receberam phishing "seu") e blindamos a conta e as vizinhas — porque quem comprometeu uma tenta as restantes.

O atacante enviou emails aos nossos clientes. E agora?

É o cenário mais comum — a conta comprometida vale sobretudo pela confiança dos seus contactos. Ajudamos a redigir e enviar a comunicação certa aos afetados (rápida, factual, sem dramatismo), o que além de correto protege a relação comercial. Se dados pessoais foram acedidos, há a vertente RGPD: avaliamos consigo a obrigação de notificar a CNPD dentro das 72 horas e documentamos a avaliação — mesmo quando a conclusão é que não é preciso notificar.

Perdemos o acesso total — o atacante mudou tudo. Ainda dá para recuperar?

Quase sempre, sim. Se a empresa mantém acesso de administrador ao tenant (Microsoft 365/Google Workspace), a recuperação é direta — o admin sobrepõe-se à conta comprometida. Se foi a própria conta de administrador a cair, recorremos aos processos de recuperação da Microsoft/Google para organizações, que exigem prova de titularidade (domínio, faturação) — mais lento, mas viável. É também por isso que separar contas de admin do uso diário é das primeiras blindagens que aplicamos depois.

Quanto custa e qual é o tempo de resposta?

A intervenção de emergência é faturada como incidente: diagnóstico rápido, estimativa antes de avançar e resposta prioritária — em incidentes críticos, respondemos em menos de 1 hora útil. O custo total depende da dimensão (uma conta ou o tenant inteiro, com ou sem exfiltração), mas o intervalo típico de uma recuperação de PME fica entre algumas centenas de euros — quase sempre menos do que uma única fraude que o atacante tentaria a partir da conta.

O atacante fora, os clientes protegidos, a lição aprendida

Intervenção urgente com estimativa antes de avançar. Em incidentes críticos, resposta em menos de 1 hora útil.

Veja também: Autenticação de Dois Fatores (2FA)