Conta Microsoft ou Google comprometida:
expulsar o atacante é só o primeiro passo
Intervenção urgente em contas Microsoft 365 e Google Workspace comprometidas: cortamos o acesso do atacante e as persistências escondidas (regras de reencaminhamento, apps OAuth, MFA adicionado), avaliamos o que foi visto e enviado, apoiamos a comunicação a clientes e a avaliação RGPD, e blindamos as contas para não repetir. Resposta em menos de 1 hora em incidentes críticos.
Resposta a contas comprometidas — conter, avaliar, blindar
Situações em que somos chamados
Clientes a receber emails que não enviou
Faturas falsas com IBAN trocado, links de phishing "seus" — o atacante está a usar a confiança dos seus contactos para fraude. Cada hora de atraso é mais um cliente em risco de pagar a conta errada.
Sinais silenciosos de intrusão
Logins de países estranhos, regras de caixa que ninguém criou, respostas que desaparecem. O atacante paciente lê durante semanas antes de agir — apanhá-lo na fase de leitura evita a fraude.
Acesso perdido por completo
Password mudada, MFA trocado, recuperação a apontar para o telefone do atacante. Recuperamos pelo caminho de administrador ou pelos processos de titularidade da Microsoft/Google.
As primeiras 48 horas de um incidente bem gerido
Contacto e triagem imediata
Avaliação rápida da situação e das primeiras ações que pode tomar já ao telefone connosco. Estimativa de custo antes de avançar.
Contenção
Acesso do atacante cortado: credenciais, sessões, tokens, apps. A hemorragia pára na primeira hora de intervenção.
Erradicação
Persistências removidas e todas as contas do tenant verificadas — o atacante sai de vez, não até amanhã.
Avaliação e comunicação
Rasto analisado nos logs, danos externos contidos, avaliação RGPD feita e documentada dentro do prazo.
Blindagem e relatório
MFA, acesso condicional e alertas implementados; relatório final entregue. Opcional: monitorização contínua para o próximo ficar-se pelo alerta.
Suspeita de conta comprometida agora?
Não mude só a password — os atacantes deixam portas escondidas. Fale connosco antes de o alertar com meias-medidas.
Mudar a password não chega — nós sabemos onde os atacantes se escondem
Conhecemos as persistências
Regras escondidas, OAuth malicioso, MFA adicionado — a diferença entre a nossa intervenção e "mudámos a password" é o atacante não voltar na semana seguinte.
Casa dominada: M365 e Workspace
Configuramos e gerimos estes tenants todos os meses — sabemos onde estão os logs, as definições e os cantos escuros de cada plataforma.
Velocidade com método
Resposta em menos de 1 hora útil nos críticos, com um runbook testado — rapidez sem saltar passos, porque os passos saltados são reinfeções.
RGPD sem pânico nem negligência
A avaliação de notificação à CNPD feita com critério e documentada — nem alarme desnecessário, nem a omissão que transforma incidente em coima.
Comunicação que protege a marca
Ajudamos a falar com os clientes afetados da forma certa — empresas que comunicam bem saem de incidentes com a reputação intacta, às vezes reforçada.
Do incidente à prevenção
A blindagem final (MFA, acesso condicional, alertas, formação anti-phishing) transforma a lição cara num sistema que evita a próxima — connosco ou em autonomia.
Dúvidas sobre Recuperação de Contas Comprometidas
Como sei se uma conta da empresa foi mesmo comprometida?
Os sinais típicos: emails enviados que ninguém escreveu (os contactos começam a receber faturas falsas ou links estranhos "seus"), regras de caixa de correio que não criou (reencaminhamentos e filtros que escondem respostas — o truque favorito dos atacantes), alertas de início de sessão de países estranhos, password que deixou de funcionar, ou clientes a perguntar por emails que nunca enviou. Qualquer um destes justifica agir já — o tempo joga contra si.
O que fazem exatamente na intervenção de emergência?
Pela ordem que importa: cortamos o acesso do atacante (reset de credenciais, fecho de todas as sessões ativas, revogação de tokens e apps autorizadas), procuramos as persistências (regras de reencaminhamento, delegações, apps OAuth maliciosas, métodos de MFA adicionados pelo atacante), avaliamos o rasto (o que foi lido, enviado e exfiltrado, através dos logs de auditoria), contemos os danos (aviso a contactos que receberam phishing "seu") e blindamos a conta e as vizinhas — porque quem comprometeu uma tenta as restantes.
O atacante enviou emails aos nossos clientes. E agora?
É o cenário mais comum — a conta comprometida vale sobretudo pela confiança dos seus contactos. Ajudamos a redigir e enviar a comunicação certa aos afetados (rápida, factual, sem dramatismo), o que além de correto protege a relação comercial. Se dados pessoais foram acedidos, há a vertente RGPD: avaliamos consigo a obrigação de notificar a CNPD dentro das 72 horas e documentamos a avaliação — mesmo quando a conclusão é que não é preciso notificar.
Perdemos o acesso total — o atacante mudou tudo. Ainda dá para recuperar?
Quase sempre, sim. Se a empresa mantém acesso de administrador ao tenant (Microsoft 365/Google Workspace), a recuperação é direta — o admin sobrepõe-se à conta comprometida. Se foi a própria conta de administrador a cair, recorremos aos processos de recuperação da Microsoft/Google para organizações, que exigem prova de titularidade (domínio, faturação) — mais lento, mas viável. É também por isso que separar contas de admin do uso diário é das primeiras blindagens que aplicamos depois.
Quanto custa e qual é o tempo de resposta?
A intervenção de emergência é faturada como incidente: diagnóstico rápido, estimativa antes de avançar e resposta prioritária — em incidentes críticos, respondemos em menos de 1 hora útil. O custo total depende da dimensão (uma conta ou o tenant inteiro, com ou sem exfiltração), mas o intervalo típico de uma recuperação de PME fica entre algumas centenas de euros — quase sempre menos do que uma única fraude que o atacante tentaria a partir da conta.
Veja também: Autenticação de Dois Fatores (2FA)