Como saber se a minha conta de email foi hackeada?

Sinais comuns: contactos a reportar emails que não enviou, mensagens em Enviados que não reconhece, regras de reencaminhamento criadas sem o seu consentimento, login a partir de localizações estranhas no painel de segurança Google/Microsoft, alertas de password rejeitada em cliente de email.

O que fazer se cliquei num link de phishing?

Desligue o computador da rede, mude a palavra-passe a partir de outro dispositivo, active 2FA, corra uma análise completa com Defender ou EDR, revogue palavras-passe de aplicação. Se executou um ficheiro, considere o equipamento comprometido até prova em contrário.

O meu email recebeu DKIM e SPF válidos — pode mesmo ser falso?

Sim. DKIM e SPF garantem apenas que a mensagem saiu autenticada pelo servidor do remetente. Se a conta do remetente foi comprometida, os controlos passam mas a mensagem é maliciosa. Por isso é tão difícil detectar este tipo de ataque sem análise técnica.

Quanto tempo demora a resposta a um incidente de email?

A 3HASH responde em até 60 minutos úteis após submissão do formulário. A contenção inicial (lockdown da conta, rotação de palavras-passe, identificação de regras suspeitas) é feita nas primeiras 2 horas. Auditoria completa e relatório forense entre 24 e 72 horas, consoante a complexidade.

Tenho de reportar ao CERT.PT ou à Polícia Judiciária?

Phishing e contas comprometidas devem ser reportados ao CERT.PT em cncs.gov.pt. Burla com prejuízo financeiro consumado é crime e deve ser reportada à Polícia Judiciária. Entidades essenciais e importantes têm obrigação NIS2 de notificar em 24 horas.

O que é ScreenConnect.ClientSetup.exe e porque a contabilista mo enviou?

É o instalador legítimo do programa de acesso remoto ConnectWise ScreenConnect, usado por atacantes para criar acesso permanente ao computador da vítima. O facto de o email vir do seu contabilista significa que a conta dele foi comprometida — não é falsificação. O parâmetro e=Access cria sessão silenciosa, sem aceitação humana.

Como configurar DMARC, SPF e DKIM em Portugal?

Comece pelo SPF (apenas servidores autorizados, -all para hardfail), publique DKIM com chave de 2048 bits e rotação trimestral, e implemente DMARC em três fases: p=none com rua/ruf para receber relatórios, p=quarantine após 30 dias, p=reject quando os relatórios estiverem limpos. O CNCS publicou RT01/19 com guia detalhado em português.

As obrigações NIS2 aplicam-se à minha PME?

Aplicam-se a entidades essenciais e importantes (Anexo I e II da Directiva NIS2). Mesmo PMEs fora do âmbito directo são frequentemente cadeia de fornecimento e devem demonstrar maturidade de segurança. A 3HASH ajuda no alinhamento independentemente do estatuto.

Devo trocar também a palavra-passe do contabilista?

Não — a palavra-passe é do contabilista. Mas se partilha credenciais ou tem o cliente de email dele configurado no seu computador (raro, mas acontece), avise-o imediatamente para que mude também. Avise-o por telefone, não por email.

Quanto custa uma auditoria de segurança de email?

Sob consulta. A análise inicial é gratuita: após submissão do formulário, ligamos em 60 minutos úteis e indicamos âmbito e custo. Auditoria DNS de email (DMARC, SPF, DKIM, MTA-STS, DNSSEC) parte tipicamente de valores acessíveis a PMEs; resposta a incidente activo é tarifada à hora, com tecto fechado por engagement.

Resposta a incidente · SLA 60 min

A sua conta de email foi comprometida? Atendemos em 60 minutos.

Equipa portuguesa especializada em resposta a incidentes de cibersegurança para PMEs e gabinetes de contabilidade. Auditoria DMARC, SPF, DKIM, MTA-STS, limpeza de cPanel, lockdown da conta — sob RGPD e em alinhamento com a NIS2.

O que fazemos

60 min

SLA resposta

24/7

Disponibilidade

RGPD

Conformidade

NIS2

Alinhamento

Diagnóstico inicial

Como saber se a sua conta foi sequestrada .

Seis sinais que vemos em quase todos os incidentes que tratamos. Se reconhece dois ou mais, a probabilidade de comprometimento é elevada.

01

Emails que não enviou

Contactos a perguntar por mensagens que nunca escreveu.

02

Enviados desconhecidos

Mensagens em "Enviados" sem o seu autor.

03

Regras silenciosas

Reencaminhamentos criados sem o seu consentimento.

04

Login estrangeiro

Acesso à conta a partir de IPs ou países anómalos.

05

Palavra-passe rejeitada

Cliente de email a dar erro apesar de a saber bem.

06

Ficheiros novos suspeitos

Anti-vírus a sinalizar binários em Documents / Downloads.

Os primeiros 60 minutos

Procedimento de contenção imediata .

Se ainda não terminou estes cinco passos, faça antes de qualquer outra coisa. Não execute mais ficheiros, não responda à mensagem, não apague evidência.

01
Pare imediatamente
Não abra anexos, não clique em links, não responda à mensagem. Mantenha o computador ligado; desligue-o da rede se já executou algo suspeito.
02
Mude a palavra-passe a partir de outro dispositivo
Use telemóvel ou computador limpo. Altere no painel do alojamento e na conta Google / Microsoft associada.
03
Active 2FA
Autenticação em dois passos com app (Authenticator) ou chave física. Evite SMS sempre que possível.
04
Reveja Enviados, regras e palavras-passe de aplicação
Verifique pasta Enviados completa, regras silenciosas, App Passwords. Revogue tudo o que não reconheça.
05
Contacte uma equipa de resposta a incidente
Em caso de dúvida, contacte a 3HASH ou o CERT.PT. Preserve evidência: não apague mensagens nem ficheiros.

Caso real · 14 Maio 2026

A "fatura em aberto" do contabilista.

Um cliente nosso recebeu um email autêntico — DKIM, SPF, DMARC todos válidos — do contabilista, com o assunto "Faturas em aberto". O link apontava para uma alegada fatura. Apontava, na verdade, para isto:

https://amundarayapps.screenconnect.com/Bin/ScreenConnect.ClientSetup.exe
   ?e=Access       # acesso permanente, silencioso
   &y=Guest        # sem autenticação do atacante
   &c=F283&c=FACT  # tags do atacante (factura/segmento)

Instalador legítimo do ConnectWise ScreenConnect, configurado para ligar a vítima a uma instância controlada por terceiros (alojada na OVH, IP 57.129.145.98). Se executado, o atacante teria controlo total do equipamento: ecrã, teclado, ficheiros, palavras-passe guardadas no browser, câmara, microfone — e movimento lateral para o resto da rede.

Esta técnica chama-se publicamente "ScreenConnect abuse", está atribuída a grupos como TA571 e Black Basta, e tem como alvos preferenciais gabinetes de contabilidade e PMEs portuguesas e espanholas.

A verdade técnica

DKIM e SPF válidos não garantem que o email é legítimo.

DKIM e SPF garantem apenas que a mensagem saiu autenticada pelo servidor do remetente. Quando a conta do remetente é comprometida — credenciais roubadas, cookie de sessão capturado, malware no computador — o atacante usa o servidor verdadeiro para enviar. Os filtros vêem tudo verde e a mensagem cai na inbox como qualquer outra.

É por isso que DMARC, MTA-STS e DNSSEC existem — não para travar este ataque específico, mas para limitar o dano e dar relatórios que permitem detectar comprometimentos precocemente. Quase 80% dos domínios `.pt` que auditamos não têm DMARC publicado.

O que fazemos numa intervenção

Seis frentes de contenção e auditoria.

Lockdown da conta

Rotação de palavras-passe, revogação de App Passwords e sessões activas, 2FA imediato, audit de regras suspeitas.

Análise forense leve

Cabeçalhos completos, IoCs, identificação do vector, verificação de outros equipamentos da rede.

Auditoria DNS de email

DMARC, SPF, DKIM, MTA-STS, TLS-RPT, DNSSEC. Relatório com prioridade por risco.

Limpeza cPanel / Webmail

Scripts injectados, cron jobs suspeitos, regras Sieve, mailboxes com fluxo anómalo, passwords SMTP em uso.

Reporting CERT.PT / AT / PJ

Apoio na participação a CERT.PT, Autoridade Tributária e Polícia Judiciária quando aplicável.

Formação curta para a equipa

Sessão 90 min com IoCs reais portugueses (factura falsa, ScreenConnect, BEC, redirect M365). Online ou presencial.

Credenciais verificáveis

Formação documentada e auditável.

Toda a nossa formação técnica é verificável publicamente. Ver a lista completa.

✓ Verificado
Cisco
Introduction to Cybersecurity · Cisco Networking Academy
✓ Verificado
CNCS
Centro Nacional de Cibersegurança · Aliança e formação NAU
✓ Verificado
EU AI Pact
Signatária do compromisso da Comissão Europeia
✓ Verificado
Google
Ads AI-Powered · Analytics 4
✓ Verificado
Semrush
SEO Toolkit · Technical SEO · AI Search

Servidores e equipa em Portugal · Conformidade RGPD · Alinhamento NIS2 e AI Act.

Perguntas frequentes

Tudo o que precisa de saber, sem ruído .

Análise inicial gratuita

Suspeita que algo saiu da sua conta sem o seu consentimento ?

Diga-nos. Ligamos para o número que indicar nos próximos 60 minutos úteis.

A sua conta de email foi comprometida? Atendemos em 60 minutos.

Como saber se a sua conta foi sequestrada .

Emails que não enviou

Enviados desconhecidos

Regras silenciosas

Login estrangeiro

Palavra-passe rejeitada

Ficheiros novos suspeitos

Procedimento de contenção imediata .

Pare imediatamente

Mude a palavra-passe a partir de outro dispositivo

Active 2FA

Reveja Enviados, regras e palavras-passe de aplicação

Contacte uma equipa de resposta a incidente