Segurança Digital · Conta hackeada

Conta Google / Gmail hackeada: como recuperar e proteger

Resposta rápida

Se você perdeu o acesso à sua conta Google, acesse g.co/recover e siga o fluxo de recuperação informando o último login que reconhece. Caso ainda consiga entrar, revise os dispositivos conectados, encerre as sessões suspeitas, troque a senha e ative a verificação em duas etapas. Em seguida, verifique e-mail e telefone de recuperação, que invasores costumam alterar para reter o controle da conta.

A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Cuida da segurança de um negócio? Comece pelo plano gratuito de Gestão de Ameaças.

Sinais de alerta

  • Você recebe um e-mail do Google avisando sobre login em dispositivo ou local desconhecido
  • A senha parou de funcionar sem que você a tenha alterado
  • O e-mail ou o telefone de recuperação foram modificados sem o seu conhecimento
  • Mensagens enviadas, contatos ou regras de filtro que você não criou aparecem na conta
  • Aplicativos de terceiros ou chaves de acesso desconhecidas constam como autorizados
  • Contatos relatam ter recebido mensagens estranhas vindas do seu endereço

Passo a passo — o que fazer

  1. 1

    1. Tente recuperar pelo fluxo oficial

    Acesse g.co/recover (myaccount.google.com/recovery) e informe o endereço da conta. Responda às perguntas com o máximo de precisão: use uma senha antiga que você lembre, o dispositivo e a rede que costuma usar para entrar. O Google recomenda fazer a recuperação a partir de um aparelho e local conhecidos, pois isso aumenta a chance de confirmar sua identidade.

  2. 2

    2. Troque a senha imediatamente

    Se ainda tiver acesso, vá em myaccount.google.com/security e defina uma senha nova, longa e exclusiva, que não seja reutilizada em nenhum outro serviço. Trocar a senha desconecta automaticamente a maioria das outras sessões ativas, derrubando o invasor dos dispositivos onde ele estava logado.

  3. 3

    3. Encerre as sessões e revise os dispositivos conectados

    Em myaccount.google.com/device-activity verifique todos os dispositivos com acesso à conta. Remova (Sair) qualquer aparelho ou navegador que você não reconheça. Faça o mesmo nos apps conectados, no caminho Segurança > Seus dispositivos e Apps de terceiros com acesso à conta.

  4. 4

    4. Restaure e-mail e telefone de recuperação

    Invasores alteram os dados de recuperação para reter o controle. Em myaccount.google.com/security confira se o e-mail e o telefone de recuperação são seus. Se foram trocados, corrija-os e remova endereços ou números desconhecidos. Esses dados são o que o Google usa para devolver a conta a você no futuro.

  5. 5

    5. Revogue acessos e senhas de app suspeitos

    Na seção Apps de terceiros com acesso à conta, remova autorizações que você não reconhece ou não usa mais. Verifique também se há senhas de app criadas sem o seu conhecimento e revogue-as. Cada autorização ativa é uma porta alternativa de entrada que não depende da sua senha principal.

  6. 6

    6. Ative a verificação em duas etapas

    Em myaccount.google.com/signinoptions/two-step-verification ative a verificação em duas etapas. Prefira o aplicativo Google Authenticator, os avisos do Google no celular ou uma chave de segurança física, em vez de SMS, que é mais vulnerável à troca de chip (SIM swap).

  7. 7

    7. Configure uma chave de acesso (passkey)

    Cadastre uma chave de acesso em g.co/passkeys. A passkey usa a biometria ou o PIN do seu dispositivo e elimina a senha digitável, o que torna o phishing inviável, já que não há senha para ser roubada ou reutilizada. Mantenha pelo menos um segundo método de login para não ficar sem acesso.

  8. 8

    8. Verifique o que foi alterado e faça a Verificação de Segurança

    Rode a Verificação de Segurança em myaccount.google.com/security-checkup. Revise filtros, regras de encaminhamento e respostas automáticas no Gmail, pois invasores criam encaminhamentos ocultos para continuar lendo suas mensagens. Confira também a atividade recente e o histórico de eventos de segurança.

O que NÃO fazer

  • Não reutilize a senha antiga nem variações dela; defina uma senha realmente nova e exclusiva
  • Não clique em links de e-mails ou SMS prometendo recuperar a conta; use sempre g.co/recover digitado no navegador
  • Não confie apenas no SMS como segundo fator se houver risco de troca de chip; prefira app autenticador ou chave física
  • Não ignore mudanças em e-mail e telefone de recuperação, mesmo após retomar o acesso
  • Não remova a verificação em duas etapas para facilitar o login depois de recuperar a conta

Por que a conta Google é o alvo mais valioso

O e-mail funciona como chave mestra da vida digital. A maioria dos serviços, de bancos a redes sociais, envia para o Gmail os links de redefinição de senha. Quem controla a conta Google consegue, na prática, redefinir o acesso a dezenas de outros serviços, o que explica por que ela é um alvo tão procurado.

Além do Gmail, a conta concentra Drive, Fotos, Agenda, Android e, muitas vezes, dados de pagamento. O CERT.br, na Cartilha de Segurança para Internet, descreve como o roubo de uma conta de e-mail costuma ser o ponto de partida para fraudes maiores, incluindo golpes aplicados contra os contatos da vítima.

Como recuperar quando você já não consegue entrar

Quando a senha foi trocada e os dados de recuperação alterados, o caminho é o formulário de g.co/recover. O Google avalia um conjunto de sinais para confirmar que você é o dono legítimo: senhas usadas anteriormente, dispositivos e redes habituais e a data aproximada de criação da conta.

A documentação oficial do Google orienta a fazer a recuperação a partir de um dispositivo e de uma rede que você já usou para entrar, e a responder ao máximo de perguntas possível, mesmo sem certeza. Não há atalho ou suporte por telefone que substitua esse fluxo; desconfie de qualquer pessoa que se ofereça para recuperar a conta mediante pagamento.

Se o invasor configurou encaminhamento automático ou filtros antes de você retomar o controle, ele pode continuar recebendo cópias das suas mensagens mesmo após a troca de senha. Por isso a revisão de filtros e regras do Gmail é parte obrigatória da recuperação, não um passo opcional.

Cuida da segurança de uma empresa?

Veja de graça o que já vazou do seu negócio.

O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.

Comece grátis agora

Verificação em duas etapas e chave de acesso (passkey)

A senha sozinha é o elo mais fraco. O NIST, na publicação SP 800-63B, recomenda autenticação com mais de um fator e desencoraja regras antigas, como a troca periódica obrigatória de senha, em favor de senhas longas e exclusivas combinadas com um segundo fator.

A verificação em duas etapas exige, além da senha, um segundo elemento: um código de aplicativo, um aviso no celular ou uma chave de segurança física. Entre essas opções, o SMS é o mais frágil, porque pode ser interceptado por meio da troca de chip (SIM swap), em que o golpista assume o seu número junto à operadora.

A chave de acesso, ou passkey, vai além: substitui a senha por uma credencial criptográfica vinculada ao seu dispositivo e desbloqueada por biometria ou PIN. Como não existe senha digitável, não há o que ser capturado em uma página falsa, o que neutraliza a maior parte dos ataques de phishing.

Da conta pessoal ao risco corporativo

O mesmo descuido que compromete uma conta pessoal expõe a empresa. Muitos profissionais reutilizam senhas entre o Gmail particular e o Google Workspace corporativo; quando uma credencial vaza, o invasor a testa em todos os serviços, técnica conhecida como credential stuffing.

No ambiente corporativo, o e-mail também é a chave de tudo: redefinição de acessos, aprovação de transferências e comunicação com clientes passam por ele. O comprometimento de uma única conta do Workspace pode abrir caminho para fraude do tipo BEC (golpe do boleto ou do e-mail corporativo) e para o vazamento de dados de toda a organização.

Por isso a higiene de credenciais não é só um cuidado individual. Monitorar se e-mails e senhas da empresa apareceram em vazamentos, exigir verificação em duas etapas e adotar chaves de acesso são medidas que reduzem de forma direta a superfície de ataque, seja a equipe de uma pessoa ou de mais de cem mil colaboradores.

Como a Decripte ajuda a proteger contas e credenciais

A Decripte é uma empresa brasileira de cibersegurança B2B que atende organizações de todos os portes, de um único colaborador a mais de 100.000. Nosso foco é dar visibilidade sobre as ameaças que atingem as identidades digitais da empresa, começando justamente pelo elo que invasores mais exploram: e-mail e senhas.

Oferecemos um plano gratuito de Gestão de Ameaças, que permite acompanhar a exposição da sua organização e identificar credenciais comprometidas antes que sejam usadas em ataques. É o primeiro passo para que a recuperação de uma conta deixe de ser uma emergência e passe a ser uma exceção rara.

Termos importantes

Verificação em duas etapas (2FA)
Camada extra de segurança que, além da senha, exige um segundo fator de autenticação, como um código de aplicativo, um aviso no celular ou uma chave física.
Chave de acesso (passkey)
Credencial criptográfica vinculada ao dispositivo e desbloqueada por biometria ou PIN, que substitui a senha digitável e torna o phishing inviável.
SIM swap (troca de chip)
Golpe em que o criminoso transfere o número de telefone da vítima para um chip sob seu controle, passando a receber os códigos enviados por SMS.
Credential stuffing
Ataque que reutiliza e-mails e senhas vazados em um serviço para tentar acesso automatizado a outros, explorando a reutilização de credenciais.

Perguntas frequentes

Como recuperar minha conta Google se a senha e o e-mail de recuperação foram trocados?

Use o formulário em g.co/recover a partir de um dispositivo e de uma rede que você já usou para entrar. Responda ao máximo de perguntas, informando senhas antigas e a data aproximada de criação da conta. O Google usa esses sinais para confirmar sua identidade.

Quanto tempo demora para recuperar uma conta Google?

Depende dos dados que você consegue confirmar. Com informações precisas e a partir de um dispositivo conhecido, o acesso pode ser restaurado rapidamente. Quando há poucas evidências de identidade, o Google pode pedir tempo adicional para análise.

O Google tem suporte por telefone para recuperar conta?

Não existe um número que recupere contas pessoais. O único caminho oficial é o fluxo em g.co/recover. Qualquer telefone, pessoa ou serviço que prometa recuperar sua conta mediante pagamento é golpe.

Devo usar SMS ou aplicativo na verificação em duas etapas?

Prefira aplicativos como o Google Authenticator, os avisos do Google no celular ou uma chave de segurança física. O SMS protege mais do que nada, mas é vulnerável à troca de chip, em que o golpista assume o seu número.

O que é uma chave de acesso (passkey) e por que usar?

É uma credencial que substitui a senha por biometria ou PIN do seu dispositivo. Como não há senha digitável, não há o que ser roubado em páginas falsas, o que torna o phishing inviável. Configure em g.co/passkeys.

Como saber se invasores ainda têm acesso após a troca de senha?

Revise os dispositivos conectados em myaccount.google.com/device-activity, encerre sessões desconhecidas e cheque filtros, encaminhamentos e respostas automáticas no Gmail, pois invasores criam regras ocultas para continuar lendo suas mensagens.

Reutilizo a senha do Gmail em outros sites; isso é perigoso?

Sim. Quando uma credencial vaza, criminosos a testam em diversos serviços, técnica chamada credential stuffing. Use senhas longas e exclusivas para cada serviço, de preferência com um gerenciador de senhas.

O risco vale também para contas corporativas do Google Workspace?

Sim, e o impacto é maior. Uma conta corporativa comprometida pode levar a fraudes como o golpe do e-mail corporativo (BEC) e ao vazamento de dados da organização. Monitorar credenciais e exigir 2FA reduz esse risco.

Segurança para empresas

A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.

Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.