Recebeu um e‑mail a dizer que alguém iniciou sessão na sua conta Microsoft a partir de Moscovo/Moscou e há um botão azul para “Reportar”? Veja como separar golpe de aviso legítimo, confirmar tudo sem clicar em links e proteger a sua conta em poucos minutos.
Visão geral da pergunta
Golpistas copiam com precisão os alertas de segurança da Microsoft para induzir cliques em botões que levam a páginas falsas de início de sessão. Ao mesmo tempo, a Microsoft envia avisos reais quando deteta um início de sessão novo ou suspeito. Como saber qual é qual? A chave é confirmar pelos canais oficiais e nunca pelo link do e‑mail.
É golpe ou aviso legítimo?
Comece com duas verificações rápidas que resolvem a maioria dos casos:
Diagnóstico rápido
- Verifique o remetente. Alertas legítimos de segurança costumam vir de
account-security-noreply@accountprotection.microsoft.com(domínio da Microsoft). Se o domínio não for claramente da Microsoft, trate como phishing. - Nunca clique em botões/links de mensagens suspeitas. Em vez disso, abra manualmente um separador do navegador e aceda a
account.microsoft.com> Segurança > Atividade recente (atalho:account.live.com/activity) para confirmar acessos.
Como confirmar e se proteger
Faça o seguinte fluxo, na ordem indicada, sem usar qualquer link do e‑mail recebido:
- Confirmar a atividade: na página Atividade recente, verifique data, hora, local aproximado, endereço IP (quando disponível) e tipo de dispositivo/navegador.
- Se vir algo desconhecido, selecione “Não fui eu” (ou equivalente) e siga o assistente para proteger a conta.
- Se o início de sessão for seu (ex.: via VPN ou viagem), marque como “Fui eu” para parar alertas repetidos daquele evento.
- Trocar a palavra‑passe/senha: crie uma frase‑senha longa (12+ caracteres), única e nunca reutilizada noutros serviços. Considere um gestor de senhas para gerar e guardar.
- Ativar Autenticação em Dois Fatores (2FA): de preferência com a aplicação Microsoft Authenticator.
- SMS é melhor do que nada, mas a app é muito mais segura.
- Se disponível, adicione também chave de segurança e/ou passkey (Windows Hello).
- Revisar as informações de segurança: confirme e‑mail alternativo, telemóvel/celular e códigos de recuperação. Remova contactos que não reconhece.
- Reportar o e‑mail como phishing no Outlook/Outlook.com: Denunciar > Phishing (ou Lixo eletrónico/Junk > Phishing). Em seguida, elimine a mensagem.
- Revisão extra (recomendado):
- Em Dispositivos e Apps e serviços da sua conta Microsoft, revogue sessões/apps desconhecidas.
- No Outlook, verifique Regras e Encaminhamentos para garantir que não há regras maliciosas (ex.: encaminhar tudo para outro endereço).
Verificações essenciais, resumidas
| O que verificar | Onde | O que esperar | Sinais de golpe |
|---|---|---|---|
| Remetente do e‑mail | Detalhes da mensagem | @accountprotection.microsoft.com sem erros | Domínio “parecido” (typos), subdomínios estranhos, contas genéricas |
| Conteúdo e formatação | Corpo do e‑mail | Português correto, sem anexos, sem urgências exageradas | Erros grosseiros, anexos .html ou .pdf, prazo “imediato” |
| Links/botões | Pairar o rato (sem clicar) | Endereços Microsoft | Links encurtados ou domínios desconhecidos |
| Confirmação oficial | Atividade recente | Evento correspondente (horário/local aproximado) | Nenhum evento listado (suspeita de phishing) |
Se você clicou no botão ou link
Acontece. O importante é agir rápido para cortar qualquer acesso indevido:
- Desconecte‑se de Wi‑Fi público (se aplicável) e feche o navegador.
- Faça uma verificação antimalware completa com o seu antivírus (incluindo o Windows Defender). Atualize as assinaturas antes do scan.
- Troque a senha da conta Microsoft a partir de um dispositivo confiável (outro computador ou telemóvel/celular, se possível).
- Reautentique o Microsoft Authenticator e remova aprovações pendentes que não reconhece.
- Revogue tokens/acessos de apps desconhecidas na área Apps e serviços da sua conta Microsoft.
- Revise regras de e‑mail e encaminhamentos no Outlook/Outlook.com.
- Monitore a página de Atividade recente nos próximos dias para novos eventos estranhos.
O que significam “local” e “dispositivo” na Atividade recente
O “local” exibido é aproximado e baseado em geolocalização do endereço IP. É normal ver discrepâncias como outra cidade ou mesmo outro país, principalmente quando:
- Usa VPN (o local pode ser onde está o servidor).
- Está em dados móveis (operadoras roteiam por centros distantes).
- O seu provedor utiliza NAT/CGNAT ou proxies.
Concentre-se no conjunto: data/hora, tipo de dispositivo/navegador, sucesso ou falha do login e se o evento coincide com algo que fez (ex.: login no Xbox, Edge, Outlook). Muitos tentativas falhadas vindas de vários países não significam invasão por si só; com senha forte e 2FA ativa, estas tentativas tendem a falhar.
Sinais claros de phishing em “alertas Microsoft”
- Remetente com display name “Microsoft” mas domínio que não é Microsoft.
- Botão grande e chamativo (“Resolver agora”, “Confirmar identidade”) sem detalhes verificáveis.
- Erros de idioma, formatação desalinhada, logotipos borrados.
- Ameaças ou urgência exagerada para induzir clique.
- Solicitação de anexos ou ficheiros executáveis.
- Página de destino pedindo senha ou 2FA fora dos domínios Microsoft.
Comparativo rápido: legítimo vs golpe
| Característica | Legítimo | Golpe |
|---|---|---|
| Remetente | @accountprotection.microsoft.com | Domínio estranho, parecido ou gratuito |
| Conteúdo | Objetivo, sem anexos, sem pressão | Urgência, anexos, ameaças |
| Confirmação | Evento aparece em Atividade recente | Nada consta na conta |
| Links | Domínios Microsoft (verificados) | Encurtadores, domínios desconhecidos |
Situações comuns e como agir
| Situação | O que vai ver | Próximo passo |
|---|---|---|
| E‑mail é cópia de um alerta real | Nenhum evento correspondente na conta | Reportar como phishing e ignorar |
| Login seu via VPN | Local “fora” (outro país) | Marcar “Fui eu” para esse evento |
| Tentativas falhadas de muitos países | Vários eventos “falhados” | Garantir 2FA e senha forte; monitorizar |
| Alguém acertou a senha | Login bem‑sucedido desconhecido | Marcar “Não fui eu”, trocar senha, 2FA, revogar sessões |
| Regra maliciosa no Outlook | E‑mails sumindo/encaminhados | Remover regras e encaminhamentos suspeitos |
Como verificar melhor o remetente (opcional, nível avançado)
Se quiser ir além do óbvio, abra os cabeçalhos da mensagem (no Outlook Web: Mais ações > Exibir origem da mensagem). Confirme:
- From: domínio Microsoft válido.
- Return‑Path e Received: sem saltos por domínios suspeitos.
- SPF/DKIM/DMARC: idealmente “pass”. (Nem sempre visível a leigos, mas ajuda.)
Dica: não confie apenas no “Nome de Exibição”. É trivial de falsificar.
Para contas pessoais vs. contas de trabalho/escola
- Conta pessoal Microsoft (Outlook.com, Xbox, Skype): confirme em
account.microsoft.com> Segurança > Atividade recente (ouaccount.live.com/activity). - Conta de trabalho/escola (Microsoft 365/Entra ID): confirme em
myaccount.microsoft.com> Atividade de Segurança. Se a sua organização usar políticas adicionais, procure o departamento de TI.
Perguntas frequentes
O alerta pode ser verdadeiro mesmo com “local” estranho?
Sim. O local é estimado pelo IP e pode parecer distante devido a VPN, operadora móvel ou roteamento do provedor. Foque na combinação de fatores e confirme na conta.
O remetente account-security-noreply@accountprotection.microsoft.com é legítimo?
É um endereço típico usado pela Microsoft para avisos de segurança. Ainda assim, não clique em links: valide tudo pela Atividade recente.
Quanto tempo leva para um evento aparecer na Atividade recente?
Normalmente é quase imediato, mas pode demorar alguns minutos em picos de carga. Atualize a página após alguns instantes se necessário.
2FA impede 100% das invasões?
Nada é 100%, mas 2FA (app Authenticator, chave de segurança ou passkey) bloqueia a vasta maioria dos ataques de senha. Evite aprovar notificações push que não iniciou.
Perdi o acesso ao Authenticator. E agora?
Use os métodos de recuperação (e‑mail/telemóvel alternativo, códigos de recuperação). Guarde esses métodos em local seguro e mantenha sempre dois fatores configurados.
Preciso falar com a Microsoft para validar o alerta?
Na maioria dos casos, não. A página Atividade recente fornece a confirmação oficial. Se ainda precisar, use support.microsoft.com e procure Contactar o Suporte (categoria Conta Microsoft).
Boas práticas permanentes
- Use frases‑senha longas, únicas e guarde com um gestor de senhas.
- Mantenha 2FA ativa em todas as contas importantes (e‑mail, bancos, redes sociais).
- Ative atualizações automáticas do sistema e aplicações.
- Desconfie de urgências e brindes inesperados; legitime sempre no site/app oficial digitado por si.
- Faça cópias de segurança regulares dos seus dados.
Checklist final
- ☑ Não cliquei no e‑mail; confirmei em Atividade recente.
- ☑ Troquei a senha por uma frase‑senha forte e única.
- ☑ Ativei 2FA com Microsoft Authenticator.
- ☑ Revoguei sessões desconhecidas e apps conectadas.
- ☑ Verifiquei regras e encaminhamentos no Outlook.
- ☑ Reportei o e‑mail como phishing e eliminei a mensagem.
- ☑ Vou monitorizar a conta durante os próximos dias.
Conclusão
O caminho seguro é simples: não clique em nada vindo do e‑mail suspeito, valide sempre pela sua conta em account.microsoft.com e, se algo parecer fora do lugar, marque “Não fui eu”, troque a senha e ative 2FA. Este método elimina o “achismo” e coloca o controlo de volta nas suas mãos.
Resumo útil: verifique o remetente, confirme a atividade diretamente na sua conta, aplique 2FA e faça uma revisão de segurança rápida. Assim, quer o alerta cite Moscovo, Maputo ou Manaus, você estará protegido.