Como verificar se seu e-mail sofreu um vazamento

As violações de dados são a forma mais comum de o seu endereço de e-mail sofrer um vazamento na internet. Isso pode fazer com que ele apareça em fóruns on-line, na dark web e em outros espaços públicos. Leva-se em média 277 dias para identificar e conter uma violação, de acordo com um relatório da IBM de 2022(nova janela), o que significa que podem passar nove meses antes de você saber que invasores têm seus dados pessoais. Isso representa uma séria ameaça à sua privacidade e segurança on-line.

A única maneira de limitar o impacto de um vazamento de e-mail é verificar regularmente se seus dados pessoais foram comprometidos. Neste artigo, vamos mostrar como verificar se seu e-mail sofreu um vazamento e o que você pode fazer a respeito.

• O que acontece se o seu e-mail for vazado? 
• Como verificar um vazamento de e-mail
• Como se proteger de vazamentos de e-mail
• Escolha um provedor de e-mail seguro

O que acontece se o seu e-mail for vazado?

Dados pessoais expostos em violações de dados aparecem na dark web o tempo todo, causando uma série de problemas para as vítimas. Veja o que pode acontecer se cibercriminosos conseguirem seu e-mail e senha.

Aumento de spam e e-mails de phishing

Um dos maiores sinais de alerta de que seu e-mail sofreu um vazamento é um aumento repentino de spam e e-mails de phishing na sua caixa de entrada. Embora a maioria dos e-mails de spam seja apenas irritante, os e-mails de phishing são mais perigosos. Golpistas de phishing se passam por um remetente legítimo, como a operadora do seu cartão de crédito ou plano de saúde, para induzir você a divulgar informações pessoais.

Outro truque comum é se passar pelo serviço que vazou suas informações. Por exemplo, o Twitter vazou mais de 200 milhões de e-mails(nova janela) no final de 2022, e é muito fácil para os invasores incluírem todas as informações necessárias para que pareça um e-mail legítimo do serviço. Aqui, você pode ver um exemplo de ataques de “spear phishing” direcionados a usuários do Twitter com contas verificadas.

https://twitter.com/zackwhittaker/status/1587188619000922112?s=20

Felizmente, você geralmente pode se defender de golpes de phishing com apenas um pouco de bom senso. Fique atento a frases estranhas, inspecione de perto o endereço de e-mail de quem enviou a mensagem e entre em contato por outro canal para confirmar se o e-mail é legítimo.

Se você suspeitar que um e-mail seja uma tentativa de phishing, não abra nenhum link ou anexo e denuncie o e-mail ao seu provedor de e-mail imediatamente.

Ataques de invasão de conta

Se a senha do seu e-mail também foi vazada em uma violação de dados, um hacker pode assumir o controle da sua conta de e-mail em um ataque de invasão de conta. Muitas vezes, eles usam as informações da sua caixa de entrada para acessar outras contas mais confidenciais, como seu banco on-line ou contas de redes sociais. Eles podem até chantagear você usando seus e-mails ou forçá-lo a pagar um resgate para recuperar o acesso às suas contas.

Roubo de identidade

Outro resultado possível de um vazamento de e-mail é o roubo de identidade. O roubo de identidade ocorre quando um hacker abusa de seus dados pessoais para enganar outras pessoas e organizações, fazendo-as pensar que são você. Eles podem:

• Assinar novas assinaturas e contratos em seu nome
• Solicitar novos cartões de crédito, empréstimos e contas bancárias com seus detalhes
• Fazer compras fraudulentas 
• Dizer que são você e pedir dinheiro a seus amigos e familiares
• Cometer crimes usando seus detalhes

O roubo de identidade tem consequências devastadoras — pode prejudicar seriamente sua carreira e reputação e até deixar você com antecedentes criminais.

Como verificar um vazamento de e-mail

Dada a frequência das violações de dados, é crucial monitorar regularmente os sinais de que seu e-mail sofreu um vazamento. Uma ótima maneira de fazer isso é pesquisar seu endereço de e-mail no banco de dados Have I Been Pwned (HIBP)(nova janela), um site projetado pelo consultor de segurança web Troy Hunt para ajudar as pessoas a verificar se suas informações pessoais foram comprometidas. O HIBP permite pesquisar seu endereço de e-mail, número de telefone e senha.

Para pesquisar seu endereço de e-mail ou número de telefone:

1. Acesse o site Have I Been Pwned(nova janela).
2. Digite seu endereço de e-mail ou número de telefone na barra de pesquisa e clique em pwned?

Para pesquisar sua senha:

1. Acesse o site Have I Been Pwned(nova janela).

3. Clique em senhas localizado no menu de navegação superior.
4. Digite sua senha na barra de pesquisa e clique em pwned?

Como interpretar seus resultados

Se seu endereço de e-mail e número de telefone não foram comprometidos em violações, você verá esta mensagem:

Por outro lado, se você descobrir que suas informações sofreram um vazamento, você verá esta mensagem em vez da outra:

Se você descobrir que é vítima de um vazamento de e-mail, siga estas etapas para se proteger imediatamente.

Como se proteger de vazamentos de e-mail

Altere suas senhas

A primeira coisa que você deve fazer ao descobrir que seu e-mail sofreu um vazamento é alterar as senhas das contas afetadas. Isso supondo que você tenha usado uma senha forte e exclusiva para todas as suas contas. Se você usou a mesma senha para várias contas e uma delas vazou ou foi afetada, você deve alterar essa senha em todos os lugares onde a usou. Esse é mais um motivo pelo qual você não deve reutilizar senhas — isso dificulta a recuperação após uma violação.

Recomendamos usar um gerenciador de senhas de código aberto para facilitar a memorização de várias senhas fortes e exclusivas.

Os gerenciadores de senhas geram e armazenam automaticamente senhas complexas para cada uma das suas contas on-line, dificultando que hackers as decifrem. Tudo o que você precisa fazer é lembrar de uma senha mestre que permite iniciar sessão no seu gerenciador de senhas.

Ative a autenticação de dois fatores

Ao alterar seus endereços de e-mail e as senhas das suas contas on-line, você também deve ativar a autenticação de dois fatores (A2F) sempre que possível. Quando você usa a A2F, defende sua conta contra acessos não autorizados ao exigir uma verificação adicional além da sua senha ao iniciar sessão. Geralmente, trata-se de algo que você possui, como uma chave de segurança ou um dispositivo móvel, ou algo que você é, como seu reconhecimento facial ou impressão digital.

Chaves de segurança, também conhecidas como chaves A2F ou chaves de hardware (por exemplo, YubiKeys(nova janela)), são uma das formas mais seguras de A2F. Ao contrário dos códigos de uso único gerados por um aplicativo de autenticação instalado no seu dispositivo móvel, as chaves de segurança não podem sofrer falsificação de e-mail (spoofing), não têm limite de tempo e não exigem acesso a um dispositivo móvel. Como são chaves USB, você pode facilmente adicionar essas chaves de segurança ao seu chaveiro e levá-las para onde quer que vá. Infelizmente, nem todos os serviços oferecem suporte a chaves de segurança.

Notifique seus contatos

Você deve informar seus contatos que eles podem receber e-mails estranhos que parecem ter sido enviados por você, para evitar que sejam enganados por tentativas de phishing que usam (ou parecem usar) seu endereço de e-mail.

Se você ativou a A2F na sua conta de e-mail antes do vazamento e tem confiança de que o hacker não teve acesso ao seu aplicativo de autenticação ou à sua chave de segurança, você pode pular esta etapa.

Analise detalhadamente seus extratos bancários e do cartão de crédito

Você também deve verificar seus extratos bancários e do cartão de crédito para identificar qualquer atividade incomum, como cobranças que você não reconhece, compras grandes ou até mesmo alterações no seu endereço de faturamento. Às vezes, os criminosos também fazem pequenos “pagamentos de teste” de US$ 1 ou US$ 2 antes de tentarem realizar transações maiores.

Se descobrir qualquer atividade suspeita, relate-a ao seu banco ou operadora do cartão de crédito imediatamente. Normalmente, seu banco ou operadora de cartão de crédito fornecerá uma nova conta bancária ou cartão de crédito e fechará os antigos.

Use aliases de e-mail

Usar aliases de e-mail é uma estratégia útil para preservar sua privacidade on-line, especialmente após um vazamento de e-mail. Ao usar um alias de e-mail, você pode manter seu endereço de e-mail principal privado e limitar a quantidade de informações pessoais que fornece on-line. Você pode criar aliases de e-mail de duas maneiras:

• Ao adicionar um sinal de mais (+): Adicione “+algo” ao seu nome de usuário. Por exemplo, se seu endereço de e-mail é bobsmith@proton.me, seu alias de e-mail pode ser bobsmith+finances@proton.me. Isso é conhecido como subendereçamento de e-mail. 
• Ao criar um novo alias de e-mail com um nome de usuário diferente: Você pode criar aliases de e-mail totalmente novos para contas on-line diferentes.

Observação: nem todos os provedores de e-mail oferecem suporte a esses recursos. O Proton Mail oferece, e também oferecemos +aliases gratuitamente.

Embora seja conveniente e prático, um invasor pode extrair facilmente seu endereço de e-mail real do seu subendereço de e-mail e usá-lo em campanhas de spam. Se você tiver que usar um subendereço de e-mail, certifique-se de que ele não contenha seu nome real.

Gere aliases de e-mail exclusivos automaticamente

A melhor maneira de criar novos aliases de e-mail é configurá-los individualmente. Mas, devido à quantidade de contas on-line que usamos diariamente, é impossível criar manualmente novos aliases de e-mail para todas elas. Também seria um pesadelo logístico organizar e gerenciar tantas caixas de entrada.

É por isso que recomendamos o uso de um serviço de alias de e-mail de código aberto, como o SimpleLogin by Proton(nova janela), para gerar esses endereços. O SimpleLogin é uma extensão de navegador, aplicativo web e aplicativo móvel que fornece endereços de e-mail anônimos sempre que você criar uma conta on-line. Os e-mails enviados para seus aliases são encaminhados instantaneamente para sua caixa de entrada.

Com o SimpleLogin, você pode criar seu próprio alias personalizado ou deixar o software gerar um aleatório automaticamente. Se decidir que não quer mais usar um alias, você pode simplesmente excluí-lo.

Não abra links e anexos suspeitos

Invasores geralmente usam e-mails de phishing para enganar você e fazer com que revele seus dados pessoais em sites fraudulentos ou instale malware(nova janela) no seu computador. Para se manter em segurança, o ideal é abrir apenas e-mails e anexos de remetentes de confiança e ter cautela com e-mails que solicitam ações urgentes (como insistir que você envie dinheiro imediatamente).

Em caso de dúvida, entre em contato com o remetente por um método alternativo, como ligar para a linha de ajuda oficial, e peça para confirmar que enviou um e-mail para você. Se tiver certeza de que se trata de um e-mail de phishing, denuncie ao seu provedor de e-mail imediatamente.

Monitore regularmente seus endereços de e-mail em busca de vazamentos

Ficar de olho em possíveis vazamentos de e-mail pode ajudar muito a proteger suas informações pessoais e sua identidade on-line. O monitoramento regular ajuda você a detectar e responder rapidamente a qualquer atividade incomum e incidentes de segurança.

Você também pode usar o recurso “Notify me” (Notifique-me) do HIBP para receber notificações se seus detalhes pessoais forem comprometidos em uma violação de dados:

1. Acesse o site do Have I Been Pwned(nova janela)
2. Clique em Notify me localizado no menu de navegação superior
3. Insira seu endereço de e-mail e selecione notify me of pwnage

Como alternativa, você pode seguir a conta do Twitter(nova janela) do HIBP para acompanhar todas as violações de dados mais recentes. Se você tiver um gerenciador de senhas premium, como o 1Password, também poderá configurar atualizações automáticas de detecção de vazamento, nas quais o 1Password pesquisará regularmente o banco de dados do HIBP e notificará você se algum dos seus dados de início de sessão aparecer.

Escolha um provedor de e-mail seguro

Seu provedor de e-mail também desempenha um papel crucial na prevenção de acesso não autorizado à sua caixa de entrada. Ele é responsável por implementar medidas de segurança robustas que protegem sua conta de e-mail contra ciberameaças, como hacking, phishing e malware.

Como o maior provedor de e-mail criptografado do mundo, nossa prioridade na Proton é proteger sua privacidade on-line e dar a você o controle dos seus dados. Ao usar o Proton Mail, você pode aproveitar os seguintes recursos de segurança:

• Criptografia de ponta a ponta: ninguém além de você e do destinatário pretendido pode ler suas mensagens. 
• Criptografia de acesso zero: todos os dados armazenados em nossos servidores são totalmente criptografados. Mesmo que um hacker viole nossos servidores, ele não conseguirá ler seus e-mails.
• Aliases de e-mail adicionais: se você tiver um plano pago do Proton Mail, poderá criar pelo menos 10 aliases de e-mail adicionais. Todos os e-mails enviados para seus aliases chegam à sua caixa de entrada normalmente.
• Bloqueio de atividade suspeita: os sistemas de segurança do Proton Mail bloquearão temporariamente sua conta se detectarem comportamento suspeito, como alguém tentando invadir sua caixa de entrada. Sua conta será desbloqueada quando você puder provar sua identidade com um código de verificação (enviado apenas para seu endereço de e-mail de recuperação ou número de telefone).
• Analise os registros de segurança: nas configurações da sua conta do Proton Mail, você pode analisar os registros de segurança e revogar o acesso a qualquer sessão ativa. Você também pode ativar registros avançados que gravam o endereço IP para cada evento nos registros de segurança.
• Filtros de spam robustos: nosso sistema inteligente de detecção de spam detecta e-mails de spam automaticamente e os direciona para sua pasta de spam. Para um controle granular, você também pode adicionar e remover endereços de e-mail da sua Lista de bloqueio.
• Autenticação de dois fatores (A2F) e chaves de segurança: você pode usar a A2F para proteger sua conta do Proton Mail. Oferecemos suporte a códigos temporários gerados por aplicativos de autenticação, YubiKey e outras chaves compatíveis com U2F/FIDO2. 
• Proteção contra phishing: oferecemos proteção antiphishing com o PhishGuard, um conjunto de recursos avançados projetados especificamente para combater o phishing.
• Medidas de proteção contra falsificação de e-mail (spoofing) para domínios personalizados: para proteger você contra ataques de spoofing no seu domínio personalizado, oferecemos suporte a SPF, DKIM e DMARC. 

Ao monitorar seu e-mail em busca de vazamentos, implementar senhas fortes e utilizar os recursos de segurança oferecidos pelo Proton Mail, você pode reduzir o risco de vazamentos de e-mail e manter seus dados pessoais protegidos contra ciberameaças.

Se você quiser apoiar nossa missão de construir uma internet melhor e mais privada, considere criar uma conta gratuita do Proton Mail.