Pular para o conteúdo principal

Documentation Index

Fetch the complete documentation index at: https://roadtocybersec.com/llms.txt

Use this file to discover all available pages before exploring further.

O Que Fazer Se Você For Hackeado

Mesmo com senhas fortes, MFA (Autenticação Multifator) e hábitos de navegação seguros, incidentes acontecem. Atacantes são persistentes e nenhuma defesa é perfeita. A diferença entre um inconveniente menor e uma catástrofe geralmente depende de quão rápido e efetivamente você responde.

O Framework de Resposta a Incidentes

A resposta profissional segue um ciclo de vida estruturado definido pelo NIST (National Institute of Standards and Technology, ou Instituto Nacional de Padrões e Tecnologia):
1

1. Identificação (Identification)

Detecte e confirme que um incidente ocorreu. Sinais: bloqueios inesperados de conta, localizações de login desconhecidas, transações não autorizadas, arquivos criptografados com notas de resgate, ou contatos reportando mensagens suspeitas vindas das suas contas.
2

2. Contenção (Containment)

Estanque o sangramento. Limite o acesso do atacante para prevenir mais danos.
3

3. Erradicação (Eradication)

Remova o ponto de apoio do atacante, malware, backdoors (portas dos fundos), credenciais comprometidas.
4

4. Recuperação (Recovery)

Restaure sistemas e dados para operação normal a partir de backups limpos.
5

5. Lições Aprendidas (Lessons Learned)

Analise o que aconteceu, como aconteceu e o que pode ser melhorado para prevenir recorrência.

Passo 1: Desconecte e Isole

Se você suspeita que seu dispositivo está infectado com malware ou ransomware:
  • Desconecte da rede imediatamente. Desligue o Wi-Fi, desconecte o cabo Ethernet, ative o Modo Avião.
  • NÃO desligue o dispositivo (a menos que esteja criptografando arquivos ativamente na sua frente). Evidências forenses na RAM são perdidas quando o dispositivo é desligado.
  • Não conecte drives USB externos: o malware pode se espalhar para mídias removíveis.
Para ransomware: se você está vendo arquivos sendo criptografados em tempo real, desligue o dispositivo imediatamente para interromper o processo. A troca de perder dados forenses da RAM vale a pena para salvar seus arquivos restantes.

Passo 2: Preserve Evidências

Antes de começar a trocar senhas e rodar scans, documente tudo:
  • Capture screenshots de mensagens de erro, notas de resgate e e-mails suspeitos.
  • Registre timestamps (marcas de tempo): Quando você notou o problema pela primeira vez? Quando acessou a conta normalmente pela última vez?
  • Verifique o histórico de login: A maioria dos serviços (Google, Microsoft, Facebook, Apple) permite revisar localizações e dispositivos de login recentes.
  • Salve cabeçalhos de e-mail: Se o incidente começou com um e-mail de phishing, salve os cabeçalhos completos para análise.
Em ambiente corporativo, a preservação de evidências é legalmente crítica. Se o incidente pode resultar em litígio, investigação regulatória ou envolvimento policial, NÃO modifique nenhum sistema até que sua equipe jurídica e/ou um profissional de forense digital tenha sido consultado.

Passo 3: Troque Senhas (De um Dispositivo Limpo)

  1. Use um dispositivo diferente e verificadamente limpo para trocar suas senhas.
  2. Comece pelas contas de maior prioridade:
PrioridadeTipo de ContaPor Quê
1E-mailRedefinições de senha de tudo chegam aqui
2Gerenciador de senhasContém todas as outras credenciais
3Banco / FinanceiroImpacto financeiro direto
4Armazenamento em nuvemPode conter documentos sensíveis
5Redes sociaisUsadas para impersonação e phishing de contatos
  1. Gere senhas novas e únicas para cada conta usando seu gerenciador de senhas.
  2. Habilite MFA em cada conta imediatamente.
  3. Revogue sessões ativas: A maioria dos serviços permite “Sair de todos os dispositivos.”

Passo 4: Monitore Contas Financeiras

Se informações financeiras ou documentos de identidade foram potencialmente expostos:
  • Verifique extratos bancários para transações não autorizadas nos últimos 30 dias.
  • Contate seu banco imediatamente para cancelar cartões comprometidos.
  • Configure alertas de transação: Habilite notificações em tempo real para todas as transações.
  • Coloque um alerta de fraude: No Brasil, contate o Serasa e SPC/SCPC para colocar um alerta de fraude no seu cadastro.
  • Considere um bloqueio de crédito: Previne qualquer pessoa de abrir novas contas de crédito em seu nome.

Passo 5: Avise Seus Contatos

Atacantes frequentemente usam e-mail e redes sociais comprometidos para enviar links de phishing para contatos da vítima. Modelo de comunicação:
“Minha conta de [e-mail/rede social] foi comprometida recentemente. Se você recebeu mensagens, links ou solicitações incomuns vindas de mim nos últimos [X dias], por favor não clique neles. Estou trabalhando para proteger minha conta. Desculpe pelo inconveniente.”

Passo 6: Escaneie e Reconstrua

Para Infecções de Malware/Vírus

  1. Rode um scan completo usando antivírus confiável (Malwarebytes, Windows Defender, Bitdefender).
  2. Inicie em Modo Seguro (Safe Mode) para o scan, previne que a maioria dos malwares rode e se esconda.
  3. Escaneie com múltiplas ferramentas: Nenhum antivírus pega tudo. Use um AV primário + um scanner de segunda opinião.

Para Comprometimentos Graves (Ransomware, Rootkits)

A única opção verdadeiramente segura é formatar e reconstruir:
  1. Faça reset de fábrica (ou reinstale o SO a partir de mídia oficial).
  2. Restaure dados de um backup limpo: um que seja anterior à infecção.
  3. Não restaure arquivos executáveis do backup, apenas documentos, fotos e dados.
  4. Reinstale aplicações a partir de fontes oficiais.
Se você foi atingido por ransomware, NÃO pague o resgate. Segundo o FBI, pagar não garante que você terá seus arquivos de volta, e financia organizações criminosas. Verifique nomoreransom.org: um projeto da Europol e empresas de segurança que fornece ferramentas de descriptografia gratuitas para muitas famílias de ransomware.

Passo 7: Revisão Pós-Incidente

Perguntas a Responder

  1. Como o atacante entrou? (E-mail de phishing? Senha reutilizada? Vulnerabilidade sem patch?)
  2. Qual foi o raio de explosão (blast radius)? (Quais contas, dispositivos ou dados foram afetados?)
  3. Quanto tempo o atacante esteve presente?
  4. O que funcionou bem na resposta?
  5. O que falhou ou foi lento demais?

Considerações Legais e Regulatórias

Dependendo da natureza e escopo do incidente, você pode ter obrigações legais:
  • LGPD (Lei Geral de Proteção de Dados, ou Brasil): Organizações devem reportar violações de dados envolvendo dados pessoais à ANPD (Autoridade Nacional de Proteção de Dados) e aos indivíduos afetados em prazo “razoável”.
  • GDPR (General Data Protection Regulation, ou Europa): Organizações devem reportar violações à autoridade supervisora em 72 horas.
Para indivíduos, considere registrar um relatório com:
  • Brasil: CERT.br (cert.br), o CSIRT nacional brasileiro. Também registre B.O. (Boletim de Ocorrência) na delegacia especializada em crimes cibernéticos.
  • Procon: Para fraudes envolvendo relações de consumo.

Principais Conclusões

  1. Velocidade importa: Quanto mais rápido você detecta e responde, menos dano o atacante pode causar.
  2. Preserve evidências antes de consertar: Screenshots, timestamps e histórico de login são críticos.
  3. Troque senhas de um dispositivo limpo: Nunca use o dispositivo comprometido para rotação de credenciais.
  4. Avise seus contatos: Previna o ataque de se espalhar pela sua rede de confiança.
  5. Formate em caso de dúvida: Para infecções graves, reset de fábrica é mais seguro.
  6. Revise e melhore: Todo incidente é uma oportunidade de aprendizado.