Vivemos tempos em que a sofisticação dos ataques digitais não pára de crescer e a segurança das suas contas no mundo digital é cada vez mais importante. Infelizmente, os hackers não precisam de entrar nos sistemas. Muitas vezes basta-lhes aceder a uma conta através de credenciais roubadas, e em poucos minutos conseguem alterar IBANs e desviar pagamentos.

No TOConline, estamos atentos a estes padrões de ataque e por isso decidimos agir com urgência.

Mas antes de explicar o que vamos mudar, importa contextualizar.

Porque é que a sua conta pode estar em risco de segurança?

A maior parte das fraudes começa de forma invisível. Um clique num link falso. Um e-mail que parecia legítimo. Um acesso partilhado com alguém que não devia ter acesso. Ninguém está imune.

O problema é que quando um hacker entra numa conta, não precisa de fazer grandes estragos: basta-lhe alterar o IBAN da empresa ou de um colaborador, e esperar que os pagamentos caiam.

Por isso, a primeira linha de defesa tem de ser a validação dos dados mais críticos, por um canal alternativo.

Como o TOConline está a reagir

Estamos a implementar verificação adicional por e-mail sempre que um utilizador tentar realizar operações sensíveis. A isso chamamos validação em dois passos para ações críticas.

O que muda, na prática?

Sempre que alguém tentar:

• Criar uma nova conta bancária
• Alterar o IBAN de uma conta ou colaborador
• Criar um colaborador ou utilizador
• Alterar o e-mail de um utilizador

… o TOConline vai enviar um código de validação para o e-mail do próprio utilizador, que terá de ser inserido antes da operação ser concluída.

Porque é que isto é importante?

Se um hacker tiver acedido à conta de um colaborador, não poderá concluir a operação sem acesso ao e-mail desse colaborador. Isto quebra o ciclo da fraude.

Esta validação também protege os Contabilistas

Muitas vezes, os acessos partilhados ou reutilizados colocam o próprio Contabilista em risco. Com esta nova camada de segurança, mesmo que as credenciais de um CC sejam comprometidas, o sistema impede alterações sensíveis sem validação.

É uma proteção para todos.

E o login? Vamos mais longe.

Estas mudanças fazem parte de um plano mais amplo de reforço da segurança:

1. Fase 1: Validação por código nas ações mais críticas
2. Fase 2: Autenticação em dois fatores (2FA) opcional no login e a dispensa de validações em ações críticas (para quem ativa o 2FA).

O nosso objetivo é claro: reduzir drasticamente o risco de fraude, sem tornar o sistema mais difícil para os utilizadores legítimos.

O que pode fazer hoje para proteger a sua conta com segurança?

Enquanto estas medidas entram em vigor, deixamos algumas recomendações práticas:

• Nunca partilhe os seus dados de acesso.
• Não guarde passwords nos browsers.
• Não use a mesma password em vários sites.
• Ative notificações de segurança, sempre que possível.
• Garanta que todos os utilizadores da conta têm e-mail válido e acessível.
• Forme os colaboradores sobre boas práticas de cibersegurança.

Guardar passwords no browser: prático, mas perigoso

Muitos utilizadores guardam automaticamente as palavras-passe nos browsers, por uma questão de conveniência. No entanto, este é um dos maiores riscos de segurança digital: qualquer pessoa com acesso ao dispositivo (computador ou telemóvel) pode aceder facilmente às credenciais e muitos ataques começam precisamente aqui.

Mesmo que o browser peça autenticação (ex: o login da Google), essa proteção pode ser contornada se o computador for comprometido.

O que recomendamos: use um gestor de passwords seguro (como Bitwarden, 1Password, Dashlane ou outro). Estes sistemas encriptam os dados e exigem autenticação robusta.

Estamos consigo

Sabemos que estas mudanças podem parecer um pequeno incómodo. Mas são essenciais para proteger o seu negócio. Não é alarmismo, é responsabilidade.

---

Se tiver dúvidas, a nossa equipa de suporte está sempre disponível para acompanhar.

Photo by Adrian González on Unsplash