Código da Microsoft chegou do nada no e-mail? Veja se a sua conta está em risco

Códigos de uso único para acessar e recuperar contas da Microsoft foram enviados para diferentes endereços de e-mail, mesmo sem serem solicitados, nos últimos dias. É o que mostram relatos compartilhados com o Canaltech.

• Como a Microsoft quer reinventar a segurança digital na era da IA
• App de banco mais seguro: 5 ajustes para deixar sua conta protegida

Os e-mails contam com o assunto “Seu código de uso único” e trazem a mensagem “nós recebemos uma solicitação para um código de uso único para a sua conta da Microsoft” acompanhada por um código de seis dígitos.

Além disso, as mensagens não contam com links maliciosos e trazem o endereço “account-security-noreply@accountprotection.microsoft.com” no campo de remetente.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Em nota, a empresa confirmou que se trata de um contato da “Equipe de Contas da Microsoft”, utilizado para encaminhar notificações sobre o perfil.

Os envios miram diferentes provedores, mas tendem a priorizar quem utiliza o serviço do Google. Em um dos casos acompanhados pela reportagem, a credencial foi encaminhada para um único e-mail do Outlook, enquanto outro relato indica que recebeu o código em três endereços diferentes do Gmail.

Em comum, todos os endereços de e-mail que receberam a notificação constam em listas de vazamentos de dados registrados no Have I Been Pwned.

No fórum oficial do Microsoft Build 2026, demais brasileiros relataram que receberam o e-mail de maneira repentina.

“Eu não solicitei esse código”, aponta um tópico aberto em 16 de maio. “Eu já verifiquei qualquer tentativa no relatório de atividade, e não tem nada lá. Apenas a entrada que eu fiz do meu dispositivo. Se foi alguma tentativa de invasão, porque não aparece nada nas atividades?”

As queixas também foram feitas por pessoas de outros países em redes sociais, como o Reddit. As publicações indicam que os códigos foram encaminhados repentinamente ao longo da semana passada, a maioria para endereços com o final “@gmail.com”.

“Na manhã de quinta-feira, recebi um e-mail da Microsoft com um código único indicando que alguém estava tentando acessar minha conta da Microsoft. O e-mail parecia legítimo”, aponta um post feito no último domingo (24). “Verifiquei o histórico de logins e, pelo que pude constatar, os únicos logins foram feitos a partir do meu próprio endereço IP, e o horário coincide com meus próprios logins.”

Os usuários dos fóruns, no entanto, não especificaram se os e-mails em questão já foram expostos em brechas anteriores ou não.

Por que os códigos foram enviados?

Em nota, a Microsoft afirmou que os códigos de uso único podem ser gerados sem a solicitação do usuário quando alguém tenta acessar a conta indevidamente ou inseriu o login errado. A empresa, por outro lado, não explicou o que motivou os relatos recentes.

Segundo o gerente de Engenharia de Segurança da Check Point Software Brasil, Fernando de Falchi, o comportamento “bastante alarmado nas últimas semanas” se trata de um potencial ataque de credential stuffing em larga escala contra contas de serviços da empresa.

O credential stuffing é uma prática que explora nomes de usuário e senhas obtidos em vazamentos de dados. Com as informações em mãos, os atacantes automatizam o login a contas de diferentes serviços, como e-mails, redes sociais, jogos e afins, para invadi-las e até "sequestrá-las".

“Quando o e-mail e senha estão corretos, a Microsoft detecta o login de um local ou IP diferente e envia o código de verificação legítimo para o dono da conta. Por isso as vítimas recebem o código sem terem solicitado nada”, afirma o especialista. “Isso não significa que a conta já foi comprometida, uma vez que o atacante ainda precisa do código, mas é um forte alerta de que a combinação e-mail e senha está sendo testada ativamente.”

Cabe ressaltar que o episódio não está relacionado a uma falha de segurança da Microsoft e de outros provedores de e-mail, como o Gmail.

A minha conta Microsoft está segura?

O envio da notificação não significa que a sua conta foi acessada, uma vez que é preciso inserir o código para concluir o login. “Não responda a nenhum código que você não solicitou. Se alguém estiver tentando acessar sua conta, sem o código, sua conta estará segura”, orienta a Microsoft.

Por outro lado, o gerente da Check Point Software Brasil observa que a notificação indica um forte alerta de que a combinação de e-mail e senha está sendo testada ativamente.

A seguir, confira algumas recomendações para se proteger dos ataques:

• Não use o código e ignore o e-mail;
• Nunca compartilhe o código de acesso com outras pessoas;
• Acesse diretamente o site “account.microsoft.com”, faça login e troque a senha por uma forte e única;
• Ative a autenticação em múltiplos fatores por meio do Microsoft Authenticator, 1Password, Google Auth, Proton Authenticator e demais apps seguros e confiáveis;
• Utilize passkeys;
• Evite o uso de autenticações em duas etapas via SMS e ligação;
• Verifique os dispositivos conectados e aplicativos autorizados na conta.

Também é importante reforçar a segurança de outros serviços. Assim como na conta da Microsoft, troque as senhas por credenciais fortes e únicas e ative a autenticação em múltiplas etapas.