Quando alguém clicou

Um funcionário clicou em um link de phishing. Aqui estão os próximos 60 minutos.

Uma redefinição de senha convincente, uma fatura urgente, um email idêntico ao do seu banco — clicado. Acontece nas melhores equipes, e agora velocidade importa muito mais que culpa. Contenha o dano primeiro, entenda o que foi exposto e depois torne o próximo clique um clique seguro. Ajudamos você nas três coisas.

Conte o que aconteceu

Mande uma mensagem — geralmente respondemos em um dia útil. Sua mensagem chega direto ao nosso time, não a um bot.

O que você está enfrentando — em português simples

O clique é o começo, não o fim.

Um clique de phishing raramente causa o dano sozinho — o que acontece nos minutos seguintes é que decide o resultado. Uma senha roubada é usada em horas. Uma fatura falsa é paga em dias. Agir dentro dessa janela é o que separa um incidente de uma história para contar depois.

A primeira hora é sobre fechar portas: troque a senha exposta em todos os lugares onde é reutilizada, encerre as sessões ativas, ative MFA se não estava ativo e verifique se a caixa de email tem regras de encaminhamento que atacantes adicionam em silêncio. Se dinheiro saiu — fatura falsa paga, dados bancários alterados — ligue para o banco imediatamente; a janela para recuperar uma transferência é curta.

A pessoa que clicou — ou que avisou que clicou — fez a coisa certa ao falar. Culpar ensina as pessoas a esconderem o próximo clique, e cliques escondidos são os caros. Resposta calma e documentada vence aqui.

Como ajudamos

Um plano de 3 passos para a primeira hora — e todas as seguintes.

Passo 1 · Os primeiros 60 minutos

Conter

Redefina as credenciais expostas, encerre sessões ativas, remova regras de encaminhamento adicionadas pelo atacante e — se houve pagamento ou fatura — inicie a recuperação com o banco imediatamente. Orientamos cada passo em português simples, na ordem que importa.

Passo 2 · Semana 1

Avaliar

Verificamos o que o atacante realmente podia alcançar: a caixa de email, aplicativos conectados, arquivos armazenados, fluxos de pagamento. Além de um exame de exposição do seu domínio e um teste de phishing no resto da equipe — a mesma isca costuma chegar a mais de uma caixa de entrada.

Passo 3 · Contínuo

Treinar

Simulações mensais de phishing e treinamentos curtos construídos a partir do email que enganou sua equipe — não de modelos genéricos. As pessoas aprendem a reconhecer o próximo errando com segurança contra o último.

Por que nós

Testado no mundo financeiro. Construído para todos os outros.

Nossa equipe passou mais de 10 anos protegendo operações financeiras conectadas às maiores instituições do mundo — programas PCI-DSS, ISO 27001, resposta real a vazamentos. Trazemos essa caixa de ferramentas para sua empresa, em português simples.

Preços

A partir de US$ 99/mês. Ajudamos você a encontrar o plano certo.

Os planos começam em US$ 99/mês no Starter e crescem conforme sua necessidade. Conversamos primeiro sobre sua situação e recomendamos o que faz sentido — sem upsell.

Perguntas comuns

Perguntas comuns de empresários na sua posição.

O funcionário digitou a senha em uma página falsa. Quão grave é?

Trate a senha como roubada e já em uso. Redefina-a em todos os lugares onde é reutilizada, encerre todas as sessões ativas e ative MFA antes de qualquer outra coisa. Se aquela caixa de email pode redefinir outras contas, elas também estão expostas. Resolvido na primeira hora, a maioria desses casos termina sem dano duradouro.

Pagamos uma fatura falsa. Dá para recuperar o dinheiro?

Às vezes — se você agir rápido. Ligue para o banco e peça a devolução ou estorno por fraude imediatamente; as primeiras horas importam muito mais do que qualquer outra coisa. Depois preserve os emails como evidência e deixe-nos ajudar a fechar o caminho que o atacante usou — uma fatura paga tende a convidar novas tentativas.

Nada de ruim parece ter acontecido. Estamos livres?

Ainda não. Atacantes costumam esperar dias ou semanas, e regras silenciosas na caixa de email — encaminhamento automático, exclusão de emails do banco — são como eles ficam invisíveis. Uma verificação rápida de sessões, regras e aplicativos conectados transforma 'parece ok' em 'verificado ok'. Essa verificação faz parte da nossa avaliação da primeira semana.

Devemos avisar clientes ou o banco?

Se dinheiro ou dados de clientes foram tocados, geralmente sim — e cedo, nos seus termos. Quem precisa ser avisado, e quando, depende do que foi alcançado. Ajudamos você a tomar essa decisão rapidamente e a documentá-la, do mesmo jeito que fazemos com vazamentos de dados.

Como evitamos que isso aconteça de novo?

Não com uma apresentação anual. O comportamento muda quando as pessoas praticam contra simulações realistas e recebem treinamento curto e específico quando erram. Essa é a parte contínua do nosso serviço — e você pode começar com um teste de phishing grátis para ver a linha de base da sua equipe.