Recebeu um e‑mail com o assunto “Suspicious Activity Report” e ficou na dúvida se é mesmo da Microsoft? Veja, em linguagem direta, como confirmar a autenticidade, o que fazer imediatamente e como evitar cair nesse tipo de golpe novamente.
Visão geral da pergunta
Pergunta: “Recebi um e‑mail com o assunto ‘Suspicious Activity Report’ vindo de noreply@microsoft365-secure.net. Esse remetente é autêntico da Microsoft?”
Resposta e solução
Conclusão curta: não é um remetente autêntico da Microsoft.
- E‑mails legítimos da Microsoft vêm de domínios que terminam em
microsoft.com(inclui subdomínios, por exemplo,@accountprotection.microsoft.com, usado para avisos de segurança). O domíniomicrosoft365-secure.netnão é um subdomínio demicrosoft.com, logo o e‑mail é muito provavelmente phishing. [1]
Por que microsoft365-secure.net não é da Microsoft
Para entender, basta ler o endereço de e‑mail da direita para a esquerda (o “lado do domínio” vem no final):
noreply @ microsoft365-secure . net
domínio TLD
Um remetente legítimo da Microsoft termina em ...microsoft.com, como em noreply@accountprotection.microsoft.com. Já microsoft365-secure.net termina em .net; portanto, é um domínio completamente diferente, sem relação com microsoft.com. [1]
Golpistas exploram nomes que “soam oficiais” — por exemplo, combinando “microsoft”, “365”, “secure”, “support” ou “account” — para enganar usuários desatentos. Esse truque se chama typosquatting ou brand impersonation.
O que fazer agora
- Não clique em links e não abra anexos.
- Denuncie o e‑mail:
- No Outlook (desktop, Outlook.com ou Outlook Mobile), use o botão Report/Reportar → Report phishing. [2]
- Se usar outro cliente de e‑mail, encaminhe o e‑mail original como anexo para
phish@office365.microsoft.com. A Microsoft precisa do cabeçalho completo. [3] - A própria thread da Comunidade Microsoft também orienta encaminhar para
reportphishing@microsoft.com(endereço aceito pela Microsoft). [4]
- Exclua a mensagem da caixa de entrada e da lixeira.
Se você já clicou
- Troque a senha da sua conta Microsoft e ative (ou garanta) o MFA (verificação em duas etapas).
- Revise atividades de início de sessão e métodos de segurança da conta. [5]
- No Outlook, verifique se regras de encaminhamento e exclusão foram criadas sem autorização.
- Faça uma varredura antivírus/antimalware completa no dispositivo.
- Se for conta corporativa (Microsoft 365 empresarial), avise o TI/Segurança; peça revisão de sessões ativas, redefinição de tokens e verificação de delegações/encaminhamentos externos.
Checklist de verificação rápida
Na dúvida, passe por esta lista antes de interagir com a mensagem:
- Domínio do remetente: deve terminar em
microsoft.com. Endereços fora dessa “raiz” — mesmo contendo “Microsoft 365” — são suspeitos. [1] - Assunto alarmista: urgência extrema, ameaças de bloqueio imediato e pedidos de “confirmar senha/código” são sinais clássicos de golpe.
- Links encurtados ou estranhos: passe o mouse (desktop) ou toque e segure (mobile) para ver o destino real antes de clicar.
- Anexos inesperados: desconfie de anexos
.html,.htm,.iso,.imgou executáveis. - Remetente vs. Responder-para: diferenças entre “De:” e “Responder para:” indicam possível falsificação.
- Botão do Outlook: use o Report/Reportar → Phishing para enviar o caso à Microsoft (os add‑ins “Report Message/Phishing” estão sendo substituídos por esse botão integrado). [6]
Tabela de exemplos práticos
Exemplos comuns para fins educativos (não exaustivos). Regra prática: foque no que termina o domínio.
| Remetente | Parece legítimo? | Motivo |
|---|---|---|
account-security-noreply@account.microsoft.com | Sim | Subdomínio de microsoft.com, usado para alertas de segurança. [1] |
noreply@accountprotection.microsoft.com | Sim | Subdomínio de microsoft.com, comum em verificações de conta. [1] |
store@microsoft.com | Sim | Domínio raiz microsoft.com (loja). [1] |
noreply@microsoft365-secure.net | Não | Domínio termina em .net e não pertence a microsoft.com. Provável phishing. |
suporte@microsoft‑365‑secure.com | Não | Imita a marca, mas não termina em microsoft.com. Padrão de “typosquatting”. |
Como denunciar no Outlook (resumo por plataforma)
- Outlook na Web (Outlook.com / Exchange Online): selecione a mensagem → ícone de Mais ações (…) → Report/Reportar → Phishing. [2]
- Outlook para Windows e macOS (novo Outlook): com a mensagem selecionada, use Report/Reportar na faixa de opções → Phishing. [6]
- Outlook para Windows (clássico): se o botão integrado não estiver disponível, procure o add‑in Report Message ou Report Phishing fornecido pela organização. [6]
- Outlook Mobile (Android/iOS): abra a mensagem → Mais (…) → Report/Reportar → Phishing. [2]
Dica: se precisar encaminhar o e‑mail como anexo (outro cliente ou exigência do seu SOC), no Outlook clássico use Ctrl+Alt+F ou Mais ações → Encaminhar como anexo. [3]
Guia técnico: validando cabeçalhos e autenticação
Se você tem mais familiaridade técnica, validar os cabeçalhos ajuda a confirmar a falsificação:
- Exibir cabeçalho completo:
- Outlook na Web: abra a mensagem → Mais ações (…) → Exibir origem (ou “Ver mensagem original”).
- Outlook para Windows (clássico): abra a mensagem → Arquivo → Propriedades → Cabeçalhos da Internet.
- Novo Outlook: abra a mensagem → Mais ações (…) → Exibir cabeçalhos (a nomenclatura pode variar).
- Compare campos críticos:
From:(remetente exibido)Return-Path:(remetente de retorno; golpes mudam aqui)Reply-To:(para onde vai a resposta)Authentication-Results:(resultados de SPF, DKIM, DMARC)
Em mensagens realmente enviadas pela Microsoft, é comum ver algo como:
Authentication-Results: ...; spf=pass ...; dkim=pass (signature by *.microsoft.com); dmarc=pass ...
From: account-security-noreply@account.microsoft.com
Já em mensagens falsificadas, você pode encontrar:
Authentication-Results: ...; spf=fail ...; dkim=none; dmarc=fail
From: "Microsoft 365 Secure" <noreply@microsoft365-secure.net>
Reply-To: suporte@outro-dominio.com
Observação: golpes podem passar por alguns testes técnicos; por isso a regra do domínio (...@algo.microsoft.com) continua sendo o filtro mais rápido e confiável para usuários finais. [1]
Como reconhecer os próximos golpes
- Domínio do remetente: verifique a raiz (tudo após o último ponto antes do TLD). Ex.:
account.microsoft.com✅ |microsoft365‑secure.net❌. [1] - Pré‑visualização de links: passe o mouse para confirmar se o destino é
microsoft.comantes de clicar. - Pedidos de credenciais: a Microsoft não solicita senha nem código por e‑mail.
- Erros de tradução e formatação: fontes irregulares, logotipos borrados e português truncado denunciam fraude.
- Ataques de look‑alike: caracteres parecidos (ex.: “micr0soft.com” com zero) e domínios compostos (“microsoft‑support‑secure‑365.com”).
- Botão Report do Outlook: use sempre que suspeitar — além de proteger você, ajuda a treinar os filtros da plataforma. [6]
Procedimento completo de resposta a incidentes (usuário final)
- Isolar o risco: não clique, não baixe anexos, marque como phishing.
- Reportar via Outlook (Report/Reportar → Phishing) ou encaminhar como anexo para
phish@office365.microsoft.com/reportphishing@microsoft.com. [3][4] - Remover a mensagem de todas as pastas (inclusive Itens Excluídos e Lixo Eletrônico).
- Revisar a conta: senha, MFA, métodos de recuperação, atividade de login. [5]
- Auditar o Outlook: regras, encaminhamento automático, delegações inesperadas.
- Sanear o dispositivo: antivírus/antimalware atualizado.
Perguntas frequentes
“E se o assunto parecer legítimo, como ‘Atividade suspeita na sua conta’?”
Assuntos convincentes não bastam. Verifique sempre o domínio do remetente e passe o mouse sobre os links. Se algo parecer estranho, denuncie. [2]
“Posso confiar apenas no ‘nome exibido’ (Display Name)?”
Não. O nome “Microsoft 365 Secure” pode ser configurado por qualquer pessoa. Clique/tape no remetente para ver o endereço completo. [1]
“Encaminhar como anexo é mesmo necessário?”
Para análise forense, sim — garante que os cabeçalhos completos cheguem intactos à Microsoft. [3]
“Os add‑ins de denúncia sumiram do meu Outlook.”
É esperado: a Microsoft está consolidando os add‑ins “Report Message/Phishing” no botão integrado Report/Reportar do Outlook. [6]
Resumo em uma linha
O e‑mail noreply@microsoft365-secure.net com assunto “Suspicious Activity Report” é quase certo phishing; não interaja, denuncie à Microsoft e siga as medidas de segurança acima. [4]
Notas sobre as referências
As marcações [1]–[6] remetem a artigos oficiais de ajuda, documentação e fóruns da Microsoft sobre confiança em e‑mails do time de contas, denúncia de phishing no Outlook, proteção contra phishing, discussão sobre endereços aceitos para denúncia, análise de atividade de login e a transição para o botão integrado de Report no Outlook.
Apêndice: sinais de autenticidade vs. falsificação
| Item | Legítimo (tendência) | Falso (tendência) | Como verificar |
|---|---|---|---|
| Domínio do remetente | Termina em microsoft.com | Termina em .net, .co, .info etc. | Leia a parte após o “@” até o final; precisa ser ...microsoft.com. [1] |
| Links | Apontam para microsoft.com | Redirecionam para domínios “parecidos” | Passe o mouse ou toque e segure para ver o destino real |
| Solicitação de dados | Não pede senha/código por e‑mail | Pede confirmação de senha, MFA ou pagamento urgente | Desconfie de urgência e ameaças |
| Cabeçalhos (SPF/DKIM/DMARC) | Normalmente “pass” com *.microsoft.com | “fail” ou “none” | Veja “Exibir origem”/“Cabeçalhos da Internet” |
| Regras no Outlook | Apenas as que você criou | Encaminhamento/Excluir automático inesperado | Configurações → E‑mail → Regras |
Conclusão
Se o remetente não termina em microsoft.com, trate como suspeito. No caso específico, noreply@microsoft365-secure.net é quase certamente um golpe. Aplique a regra do domínio, use o botão Report/Reportar do Outlook e siga as ações de contenção e recuperação descritas aqui. Assim, além de se proteger, você ajuda a melhorar os filtros de toda a comunidade Microsoft.