Resposta prática

Quando algo acontece, a ordem das ações importa.

Este guia ajuda a conter dano, preservar evidência e recuperar com menos risco. Em organizações, envolva imediatamente a equipa responsável por TI, segurança, jurídico e comunicação.

Primeiros 15 minutos

Contenção antes de limpeza

Não apague tudo à pressa. Em incidentes sérios, logs, mensagens, emails e ficheiros ajudam a perceber o alcance e a reportar corretamente.

01

Desligue da rede equipamentos suspeitos, mas evite formatar ou apagar evidências.

02

Use um dispositivo limpo para alterar credenciais críticas e revogar sessões.

03

Guarde mensagens, URLs, remetentes, datas, capturas de ecrã e notificações.

04

Contacte banco, fornecedor, equipa técnica ou CERT.PT conforme o impacto.

Cenários comuns

O que fazer em cada caso

Conta comprometida

Email, cloud, rede social ou banco

  • Altere a palavra-passe a partir de um dispositivo limpo.
  • Termine sessões em todos os dispositivos.
  • Reveja regras de reencaminhamento de email, apps ligadas e métodos de recuperação.
  • Ative ou substitua MFA; se possível, migre para passkey ou chave de segurança.
  • Alerte contactos se a conta foi usada para pedir dinheiro ou enviar links.
Phishing ou smishing

Clicou, respondeu ou introduziu dados

  • Se introduziu credenciais, altere-as imediatamente e reveja sessões.
  • Se partilhou dados bancários, contacte o banco de imediato.
  • Reportar a mensagem ajuda a bloquear campanhas semelhantes.
  • Não instale ferramentas sugeridas por desconhecidos para "resolver" o problema.
  • Guarde o link, remetente, número de telefone e conteúdo da mensagem.
Ransomware

Ficheiros cifrados ou extorsão

  • Isole sistemas afetados da rede.
  • Não ligue discos de backup a máquinas comprometidas.
  • Preserve amostras, notas de resgate e logs.
  • Valide backups antes de restaurar e confirme que a origem do ataque foi removida.
  • Para organizações, envolva resposta a incidentes, jurídico, proteção de dados e comunicação.
Fuga de dados

Credenciais, documentos ou informação pessoal exposta

  • Identifique que dados foram expostos e quem pode ser afetado.
  • Rode palavras-passe, tokens, chaves API e credenciais técnicas.
  • Monitorize abuso, tentativas de login e mensagens fraudulentas relacionadas.
  • Considere obrigações de notificação aplicáveis, incluindo proteção de dados.
  • Informe pessoas afetadas com instruções concretas, não com alarmismo.
Ecrã com código e ambiente técnico

Quando escalar

Peça ajuda quando houver risco financeiro, legal ou operacional.

Alguns sinais indicam que a situação exige apoio técnico, financeiro, jurídico ou operacional.

  • Acesso indevido a banco, contas administrativas, cloud empresarial ou sistemas críticos.
  • Ransomware, ameaça de divulgação de dados ou indisponibilidade de serviços.
  • Roubo de documentos de identificação, dados de clientes ou informação clínica/financeira.
  • Movimentos bancários, alteração de IBAN, fraude por email empresarial ou pagamentos suspeitos.

Contactos úteis

Onde reportar ou procurar orientação

CERT.PT / CNCS

O CNCS explica como reportar voluntariamente incidentes ao CERT.PT, incluindo ransomware, phishing, burla digital, tomada de conta e intrusão.

 Polícia Judiciária

Em burla, extorsão, acesso ilegítimo ou fraude financeira, preserve evidência e contacte as autoridades competentes.

 No More Ransom

Projeto internacional com informação e ferramentas públicas de desencriptação para algumas famílias de ransomware.