O que fazer ao receber mensagens não solicitadas contendo códigos de login

Os códigos de uso único e a autenticação de dois fatores protegem você contra roubo de contas. Se você receber um código desse tipo ou uma solicitação para inseri-lo quando não estiver fazendo login, pode ser uma tentativa de invadir sua conta.

Nos últimos anos, nos acostumamos a fazer login em sites e aplicativos importantes, como os de bancos on-line, usando uma senha e outro método de verificação. Pode ser uma senha de uso único (OTP) enviada por mensagem de texto, e-mail ou notificação push; um código de aplicativo autenticador ou até mesmo um dispositivo USB especial (“token”). Esse método de login é chamado de autenticação de dois fatores (2FA) e torna a invasão muito mais difícil: roubar ou adivinhar uma senha por si só não é mais suficiente para sequestrar a conta. Mas o que você deve fazer se não tiver tentado fazer login em nenhum lugar e, de repente, receber um código de uso único ou uma solicitação para inseri-lo?

Há três razões pelas quais essa situação pode ocorrer:

  1. Uma tentativa de invasão. Os hackers de alguma forma descobriram, adivinharam ou roubaram sua senha e agora estão tentando usá-la para acessar a conta. Você recebeu uma mensagem legítima do serviço que eles estão tentando acessar.
  2. Preparação para uma invasão. Os hackers descobriram sua senha ou estão tentando induzir você para revelá-la. Nesse caso, a mensagem OTP é uma forma de phishing. A mensagem é falsa, embora possa parecer muito semelhante a uma mensagem genuína.
  3. Apenas um erro. Às vezes, os serviços on-line são configurados para solicitar primeiro um código de confirmação proveniente de uma mensagem de texto e, em seguida, a senha, ou para autenticar somente com um código. Nesse caso, outro usuário pode ter cometido um erro de digitação e inserido seu telefone/e-mail em vez do dele e você recebe o código.

Como você pode ver, pode haver uma intenção maliciosa por trás dessa mensagem. Mas a boa notícia é que, neste estágio, não houve danos irreparáveis e, ao tomar as medidas corretas, você pode evitar qualquer problema.

O que fazer ao receber uma solicitação de código

Mais importante ainda, não clique no botão de confirmação se a mensagem estiver no formato “Sim/Não”, não faça login em lugar nenhum e não compartilhe nenhum código recebido com ninguém.

Se a mensagem de solicitação de código contiver links, não os siga.

Estas são as regras mais essenciais a seguir. Contanto que você não confirme seu login, sua conta estará segura. No entanto, é altamente provável que a senha de sua conta seja conhecida pelos invasores. Portanto, a próxima coisa a fazer é alterar a senha dessa conta. Acesse o serviço em questão inserindo o endereço da Web manualmente, não seguindo um link. Insira sua senha, obtenha um novo código de confirmação (isso é importante!) e insira-o. Em seguida, localize as configurações de senha e defina uma senha nova e forte. Se você usar a mesma senha para outras contas, também precisará alterar a senha para elas, mas lembre-se de criar uma senha exclusiva para cada conta. Entendemos que é difícil se lembrar de tantas senhas, por isso é altamente recomendável armazená-las em um gerenciador de senhas.

Essa etapa, alterar as senhas, não é tão urgente. Não há necessidade de fazer isso com pressa, mas também não adie muito. Para contas com informações valiosas (como serviços bancários), os invasores podem tentar interceptar o OTP se ele for enviado por mensagem de texto. Isso é feito por meio da troca de SIM (registrando um novo cartão SIM em seu número) ou do lançamento de um ataque pela rede de serviço da operadora utilizando uma falha no protocolo de comunicações SS7. Portanto, é importante alterar a senha antes que os bandidos tentem tal ataque. Em geral, os códigos únicos enviados por texto são menos confiáveis do que aplicativos autenticadores e tokens USB. Recomendamos sempre usar o método 2FA mais seguro disponível; uma análise dos diferentes métodos de autenticação de dois fatores pode ser encontrada aqui.

O que fazer se você receber muitas solicitações de OTP

Em uma tentativa de fazer você confirmar um login, os hackers podem bombardear você com códigos. Eles tentam fazer login na conta várias vezes, esperando que você cometa um erro e clique em “Confirmar” ou acesse o serviço e desative a 2FA por aborrecimento. É importante manter a calma e não fazer nada disso. A melhor coisa a fazer é acessar o site do serviço conforme descrito acima (abrir o site manualmente, não por meio de um link) e alterar rapidamente a senha; mas para isso, você precisará receber e inserir seu próprio OTP legítimo. Algumas solicitações de autenticação (por exemplo, avisos sobre o login nos serviços do Google) têm um botão “Não, não sou eu” em separado. Geralmente, esse botão faz com que os sistemas automatizados do serviço bloqueiem automaticamente o invasor e quaisquer novas solicitações de 2FA. Outra opção, embora não a mais conveniente, seria mudar o telefone para o modo silencioso ou mesmo avião por meia hora ou mais até que a onda de códigos diminua.

O que fazer se você acidentalmente confirmar o login de um estranho

Esse é o pior cenário possível, pois você provavelmente permitiu a entrada de um invasor em sua conta. Os invasores agem rapidamente ao alterar configurações e senhas, portanto, você terá que se atualizar e lidar com as consequências do hack. Fornecemos conselhos para esse cenário aqui.

Como se proteger?

O melhor método de defesa nesse caso é ficar um passo à frente dos criminosos: si vis pacem, para bellum. Este é o lugar onde nossa solução de segurança vem a calhar. Ela monitora vazamentos de suas contas vinculadas a endereços de e-mail e números de telefone, inclusive na dark web. Você pode adicionar números de telefone e endereços de e-mail de todos os membros de sua família e, se algum dado da conta se tornar público ou for descoberto em bancos de dados vazados, Kaspersky Premium vai alertar você e dar conselhos sobre o que fazer.

Incluído na assinatura, Kaspersky Password Manager vai avisar você de senhas comprometidas e ajudar a alterá-las, gerando novas senhas indecifráveis para você. Você também pode adicionar tokens de autenticação de dois fatores ou transferi-los facilmente do Google Authenticator com apenas alguns cliques. O armazenamento seguro de seus documentos pessoais protegerá seus documentos e arquivos mais importantes, como digitalizações de passaporte ou fotos pessoais, em formato criptografado para que somente você possa acessá-los.

Além disso, seus logins, senhas, códigos de autenticação e documentos salvos estarão disponíveis em qualquer um de seus dispositivos, computador, smartphone ou tablet. Portanto, mesmo se você perder seu telefone de alguma forma, não perderá nem seus dados nem acesso, e será capaz de restaurá-los facilmente em um novo dispositivo. E para acessar todos os seus dados, você só precisa se lembrar de uma senha, a principal, que não é armazenada em nenhum lugar, exceto em sua cabeça, e é usada para criptografia de dados AES padrão bancário.

Com o “princípio de divulgação zero”, ninguém pode acessar suas senhas ou dados, nem mesmo os funcionários da Kaspersky. A confiabilidade e a eficácia de nossas soluções de segurança foram confirmadas por vários testes independentes, com um exemplo recente sendo nossas soluções de proteção doméstica que receberam o prêmio mais alto, Produto do Ano 2023, em testes executados pelo laboratório europeu independente AV-Comparatives.

Dicas