Como verificar se o seu e-mail sofreu uma fuga

Os incidentes de dados são a forma mais comum de o seu endereço de e-mail sofrer uma fuga na internet. Isto pode fazer com que apareça em fóruns online, na dark web e noutros espaços públicos. Demora em média 277 dias a identificar e conter um incidente, de acordo com um relatório da IBM de 2022(nova janela), o que significa que podem passar nove meses até se aperceber que os atacantes têm os seus dados pessoais. Isto representa uma ameaça séria para a sua privacidade e segurança online.

A única forma de limitar o impacto de uma fuga de e-mail é verificar regularmente se os seus dados pessoais foram comprometidos. Neste artigo, vamos mostrar-lhe como verificar se o seu e-mail sofreu uma fuga e o que pode fazer a respeito.

• O que acontece se o seu e-mail sofrer uma fuga? 
• Como verificar se houve uma fuga de e-mail
• Como proteger-se de fugas de e-mail
• Escolha um fornecedor de e-mail seguro

O que acontece se o seu e-mail sofrer uma fuga?

Os dados pessoais expostos em incidentes de dados aparecem na dark web a toda a hora, causando uma série de problemas às vítimas. Eis o que poderá acontecer se cibercriminosos obtiverem o seu e-mail e palavra-passe.

Aumento de spam e e-mails de phishing

Um dos maiores sinais de aviso de que o seu e-mail sofreu uma fuga é um aumento súbito de spam e e-mails de phishing na sua caixa de entrada. Embora a maioria dos e-mails de spam sejam meramente irritantes, os e-mails de phishing são mais perigosos. Os burlões de phishing fazem-se passar por um remetente legítimo, como a sua operadora de cartão de crédito ou prestador de cuidados de saúde, para o enganar e levar a divulgar informações pessoais.

Outro truque comum é fazer-se passar pelo serviço que deixou escapar as suas informações. Por exemplo, o Twitter teve uma fuga de mais de 200 milhões de e-mails(nova janela) no final de 2022, e é muito fácil para os atacantes incluírem toda a informação necessária para que pareça um e-mail legítimo do serviço. Aqui, pode ver um exemplo de ataques de “spear phishing” dirigidos a utilizadores do Twitter com contas verificadas.

https://twitter.com/zackwhittaker/status/1587188619000922112?s=20

Felizmente, pode normalmente defender-se contra burlas de phishing apenas com um pouco de senso comum. Fique atento a frases que soem estranhas, inspecione atentamente o endereço de e-mail da pessoa que lhe enviou a mensagem e contacte-a através de outro canal para confirmar que o e-mail é legítimo.

Se suspeitar que um e-mail é uma tentativa de phishing, não abra quaisquer ligações ou anexos e denuncie o e-mail ao seu fornecedor de e-mail imediatamente.

Ataques de apropriação de conta

Se a sua palavra-passe de e-mail também tiver sofrido uma fuga num incidente de dados, um pirata informático poderá assumir o controlo da sua conta de e-mail num ataque de apropriação de conta. Muitas vezes, utilizarão as informações na sua caixa de entrada para aceder a outras contas mais sensíveis, como o seu online banking ou contas de redes sociais. Podem até chantageá-lo utilizando os seus e-mails ou forçá-lo a pagar um resgate para recuperar o acesso às suas contas.

Roubo de identidade

Outro desfecho possível de uma fuga de e-mail é o roubo de identidade. O roubo de identidade ocorre quando um pirata informático abusa dos seus dados pessoais para enganar outras pessoas e organizações, fazendo-as pensar que são o utilizador. Podem:

• Registar novas subscrições e contratos em seu nome
• Aplicar-se a novos cartões de crédito, empréstimos e contas bancárias com os seus detalhes
• Fazer compras fraudulentas 
• Afirmar ser o utilizador e pedir dinheiro aos seus amigos e família
• Cometer crimes utilizando os seus detalhes

O roubo de identidade tem consequências devastadoras — pode danificar seriamente a sua carreira e reputação e até deixá-lo com um registo criminal.

Como verificar se houve uma fuga de e-mail

Dada a frequência dos incidentes de dados, é crucial monitorizar regularmente sinais de que o seu e-mail sofreu uma fuga. Uma excelente forma de o fazer é pesquisar o seu endereço de e-mail na base de dados Have I Been Pwned (HIBP)(nova janela), um sítio web concebido pelo consultor de segurança web Troy Hunt para ajudar as pessoas a verificar se as suas informações pessoais foram comprometidas. O HIBP permite-lhe pesquisar o seu endereço de e-mail, número de telefone e palavra-passe.

Para pesquisar o seu endereço de e-mail ou número de telefone:

1. Aceda ao sítio web Have I Been Pwned(nova janela).
2. Escreva o seu endereço de e-mail ou número de telefone na barra de pesquisa e clique em pwned?

Para pesquisar a sua palavra-passe:

1. Aceda ao sítio web Have I Been Pwned(nova janela).

3. Clique em palavras-passe no menu de navegação superior.
4. Escreva a sua palavra-passe na barra de pesquisa e clique em pwned?

Como interpretar os seus resultados

Se o seu endereço de e-mail e número de telefone não tiverem sofrido incidentes, verá esta mensagem:

Por outro lado, se descobrir que as suas informações sofreram uma fuga, verá esta mensagem em alternativa:

Se descobrir que é vítima de uma fuga de e-mail, tome os seguintes passos para se proteger imediatamente.

Como se proteger de fugas de e-mail

Altere as suas palavras-passe

A primeira coisa que deve fazer após descobrir que o seu e-mail sofreu uma fuga é alterar as palavras-passe nas contas afetadas. Isto partindo do princípio que utilizou uma palavra-passe forte e única para todas as suas contas. Se utilizou a mesma palavra-passe para várias contas e uma dessas contas sofreu uma fuga ou foi afetada, deve alterar essa palavra-passe em todos os locais onde a utilizou. Este é mais um motivo pelo qual não deve reutilizar palavras-passe — torna a recuperação de um incidente mais difícil.

Recomendamos a utilização de um gestor de palavras-passe de código aberto para facilitar a memorização de várias palavras-passe fortes e únicas.

Os gestores de palavras-passe geram e armazenam automaticamente palavras-passe complexas para cada uma das suas contas online, tornando difícil para os piratas informáticos decifrá-las. Tudo o que precisa de fazer é lembrar-se de uma palavra-passe mestra que lhe permita iniciar sessão no seu gestor de palavras-passe.

Ativar a autenticação de dois fatores

À medida que altera os seus endereços de e-mail e palavras-passe das suas contas online, deve também ativar a autenticação de dois fatores (2FA) sempre que possível. Quando utiliza a 2FA, defende a sua conta contra o acesso não autorizado ao exigir uma verificação adicional para além da sua palavra-passe quando inicia sessão. Trata-se tipicamente de algo que possui, como uma chave de segurança ou um dispositivo móvel, ou algo que o identifica, como a sua face ou impressão digital.

Chaves de segurança, também conhecidas como chaves 2FA ou chaves de hardware (por exemplo, YubiKeys(nova janela)), são uma das formas mais seguras de 2FA. Ao contrário dos códigos únicos gerados por uma aplicação de autenticação instalada no seu dispositivo móvel, as chaves de segurança não podem ser alvo de mistificação da identidade, não são limitadas no tempo e não requerem acesso a um dispositivo móvel. Como são chaves USB, pode facilmente adicionar estas chaves de segurança ao seu porta-chaves e levá-las para onde quer que vá. Infelizmente, nem todos os serviços suportam chaves de segurança.

Notifique os seus contactos

Deve informar os seus contactos de que estes podem receber e-mails estranhos que aparentam ser seus, para evitar que sejam enganados por tentativas de phishing que utilizam (ou parecem utilizar) o seu endereço de e-mail.

Se ativou a 2FA na sua conta de e-mail antes da fuga e tem confiança de que o pirata informático não teve acesso à sua aplicação de autenticação ou chave de segurança, pode ignorar este passo.

Examine atentamente os seus extratos bancários e do cartão de crédito

Também deve analisar os seus extratos bancários e de cartão de crédito para detetar qualquer atividade invulgar, como cobranças que não reconhece, compras de valor elevado ou mesmo alterações ao seu endereço de faturação. Por vezes, os criminosos também fazem pequenos “pagamentos de teste” de 1 $ ou 2 $ antes de tentarem efetuar transações maiores.

Se descobrir qualquer atividade suspeita, reporte-a imediatamente ao seu banco ou fornecedor de cartão de crédito. Normalmente, o seu banco ou empresa de cartão de crédito fornecer-lhe-á uma nova conta bancária ou cartão de crédito e fechará o antigo.

Utilize alias de e-mail

Utilizar alias de e-mail é uma estratégia útil para preservar a sua privacidade online, especialmente após uma fuga de e-mail. Ao utilizar um alias de e-mail, pode manter o seu endereço de e-mail principal privado e limitar a quantidade de informações pessoais que disponibiliza online. Pode criar alias de e-mail de duas formas:

• Ao adicionar um sinal de mais (+): adicione “+alguma coisa” ao seu nome de utilizador. Por exemplo, se o seu endereço de e-mail for bobsmith@proton.me, o seu alias de e-mail poderá ser bobsmith+finances@proton.me. Isto é conhecido como subendereçamento de e-mail. 
• Ao criar um novo alias de e-mail com um nome de utilizador diferente: pode criar aliases de e-mail completamente novos para diferentes contas online.

Nota: nem todos os fornecedores de e-mail apoiam estas funcionalidades. O Proton Mail apoia, e também oferecemos +aliases gratuitamente.

Embora conveniente e prático, um atacante pode facilmente extrair o seu endereço de e-mail real do seu subendereço de e-mail e utilizá-lo em campanhas de spam. Se tiver de utilizar um subendereço de e-mail, certifique-se de que não contém o seu nome real.

Gerar automaticamente aliases de e-mail únicos

A melhor forma de criar novos aliases de e-mail é configurá-los individualmente. Mas, dada a quantidade de contas online que utilizamos diariamente, é impossível criar manualmente novos aliases de e-mail para todas elas. Seria também um pesadelo logístico organizar e gerir tantas caixas de entrada.

É por isso que recomendamos a utilização de um serviço de alias de e-mail de código aberto, como o SimpleLogin by Proton(nova janela), para gerar estes endereços. O SimpleLogin é uma extensão de navegador, aplicação web e aplicação móvel que lhe fornece endereços de e-mail anónimos sempre que se registar numa conta online. Os e-mails enviados para os seus aliases são instantaneamente encaminhados para a sua caixa de entrada.

Com o SimpleLogin, pode criar o seu próprio alias personalizado ou deixar que o software gere automaticamente um aleatório. Se decidir que já não quer utilizar um alias, pode simplesmente eliminá-lo.

Não abra ligações e anexos suspeitos

Os atacantes utilizam frequentemente e-mails de phishing para o enganar e levá-lo a revelar os seus dados pessoais em sítios web fraudulentos ou a instalar malware(nova janela) no seu computador. Para se manter seguro, é melhor abrir apenas e-mails e anexos de remetentes de confiança e ser cauteloso com e-mails que o incitem a tomar medidas urgentes (como insistir que envie dinheiro imediatamente).

Em caso de dúvida, contacte o remetente através de um método alternativo, como ligar para a linha de apoio oficial, e peça-lhe para verificar se lhe enviou um e-mail. Se tiver a certeza de que se trata de um e-mail de phishing, denuncie-o imediatamente ao seu fornecedor de e-mail.

Monitorize regularmente os seus endereços de e-mail quanto a fugas

Manter-se atento a potenciais fugas de e-mail pode ser de grande ajuda na proteção das suas informações pessoais e identidade online. A monitorização regular ajuda a detetar e a responder rapidamente a qualquer atividade invulgar e incidentes de segurança.

Também pode utilizar a funcionalidade “Notificar-me” do HIBP para receber notificações se os seus detalhes pessoais forem comprometidos num incidente de dados:

1. Aceda ao sítio web Have I Been Pwned(nova janela)
2. Clique em Notificar-me localizado no menu de navegação superior
3. Introduza o seu endereço de e-mail e selecione notificar-me sobre pwnage

Em alternativa, pode seguir a conta do Twitter(nova janela) do HIBP para acompanhar todos os incidentes de dados mais recentes. Se tiver um gestor de palavras-passe premium, como o 1Password, também pode configurar atualizações automáticas de deteção de fugas, em que o 1Password pesquisará regularmente a base de dados do HIBP e o notificará se algum dos seus detalhes de início de sessão aparecer.

Escolha um fornecedor de e-mail seguro

O seu fornecedor de e-mail também desempenha um papel crucial na prevenção de acessos não autorizados à sua caixa de entrada. É responsável pela implementação de medidas de segurança robustas que protegem a sua conta de e-mail de ciberameaças, tais como pirataria informática, phishing e malware.

Sendo o maior fornecedor mundial de e-mail encriptado, a nossa principal prioridade na Proton é proteger a sua privacidade online e dar-lhe o poder de assumir o controlo dos seus dados. Ao utilizar o Proton Mail, pode usufruir das seguintes funcionalidades de segurança:

• Encriptação ponto a ponto: ninguém além de si e do destinatário pretendido pode ler as suas mensagens. 
• Encriptação de acesso zero: todos os dados armazenados nos nossos servidores estão totalmente encriptados. Mesmo que um pirata informático provoque incidentes nos nossos servidores, não conseguirá ler os seus e-mails.
• Aliases de e-mail adicionais: se tiver um plano pago do Proton Mail, pode criar pelo menos 10 aliases de e-mail adicionais. Todos os e-mails enviados para os seus aliases chegam à sua caixa de entrada como habitualmente.
• Bloquear atividade suspeita: os sistemas de segurança do Proton Mail bloquearão temporariamente a sua conta se detetarem comportamentos suspeitos, como alguém a tentar aceder à sua caixa de entrada. A sua conta será desbloqueada quando puder provar a sua identidade com um código de verificação (enviado apenas para o seu endereço de e-mail de recuperação ou número de telefone).
• Consultar os registos de segurança: Nas definições da sua conta Proton Mail, pode consultar os registos de segurança e revogar o acesso a qualquer sessão ativa. Também pode ativar registos avançados que gravam o endereço IP de cada evento nos registos de segurança.
• Filtros de spam fortes: O nosso sistema inteligente de deteção de spam deteta automaticamente e-mails de spam e envia-os para a sua pasta de spam. Para um controlo granular, também pode adicionar e remover endereços de e-mail da sua Lista de endereços bloqueados.
• Autenticação de dois fatores (2FA) e chaves de segurança: Pode utilizar a 2FA para proteger a sua conta Proton Mail. Oferecemos suporte para códigos temporários gerados por aplicações de autenticação, YubiKey e outras chaves compatíveis com U2F/FIDO2. 
• Proteção contra phishing: Oferecemos proteção contra phishing com o PhishGuard, um conjunto de funcionalidades avançadas concebidas especificamente para combater o phishing.
• Medidas contra a mistificação da identidade para domínios personalizados: Para o proteger contra ataques de mistificação para o seu domínio personalizado, suportamos SPF, DKIM e DMARC. 

Ao monitorizar o seu e-mail para detetar fugas, ao implementar palavras-passe fortes e ao utilizar as funcionalidades de segurança oferecidas pelo Proton Mail, pode reduzir o risco de fugas de e-mail e manter os seus dados pessoais protegidos contra ciberameaças.

Se desejar apoiar a nossa missão de construir uma internet melhor e mais privada, considere registar uma conta Proton Mail gratuita.