Conta Microsoft, Outlook ou Hotmail hackeada: como recuperar e proteger o acesso
Resposta rápida
Se você perdeu o acesso a uma conta Microsoft (Outlook.com, Hotmail, Live ou Office), aja em três frentes: tente redefinir a senha em account.live.com/password/reset; se o invasor já trocou seus dados de segurança, use o formulário de recuperação em account.live.com/acsr; e, após retomar o controle, revise a Atividade recente, encerre sessões, ative a verificação em duas etapas e revogue aplicativos suspeitos.
A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Cuida da segurança de um negócio? Comece pelo plano gratuito de Gestão de Ameaças.
Sinais de alerta
- ›Você recebe alertas da Microsoft sobre login a partir de locais, dispositivos ou endereços IP que não reconhece.
- ›A senha que sempre funcionou foi recusada e você não solicitou nenhuma alteração.
- ›Contatos relatam mensagens, convites ou links suspeitos enviados em seu nome.
- ›Existem regras de caixa de entrada novas que apagam ou encaminham e-mails automaticamente, ou itens sumindo da pasta Enviados.
- ›O número de telefone, e-mail alternativo ou método de autenticação da conta foi alterado sem o seu conhecimento.
- ›Aparecem aplicativos ou dispositivos conectados que você nunca autorizou na página de segurança da conta.
Passo a passo — o que fazer
- 1
1. Tente redefinir a senha imediatamente
Acesse account.live.com/password/reset de um dispositivo confiável e siga o fluxo de redefinição. Se ainda receber o código de verificação no seu telefone ou e-mail alternativo, defina uma senha nova, longa e exclusiva, que não seja reaproveitada de outro serviço.
- 2
2. Use o formulário de recuperação se perdeu o acesso aos métodos
Quando o invasor já trocou seu telefone e e-mail de segurança, a redefinição comum falha. Abra account.live.com/acsr (Assisted Account Recovery) e preencha o máximo de detalhes possível: senhas antigas, assuntos de e-mails recentes, contatos e dados de cobrança. A Microsoft usa essas respostas para confirmar que a conta é sua.
- 3
3. Revise a Atividade recente da conta
Em account.microsoft.com, abra Segurança e depois Atividade de entrada (Recent activity). Identifique sessões e localizações que não reconhece e marque-as como 'Não fui eu' para acionar a proteção automática e forçar nova verificação.
- 4
4. Encerre todas as sessões abertas
Trocar a senha não derruba automaticamente sessões já autenticadas em outros aparelhos. Use a opção de sair de todos os dispositivos e force a saída remota nos dispositivos listados na página de segurança para expulsar o invasor de qualquer sessão ainda ativa.
- 5
5. Restaure suas informações de segurança
Verifique e corrija o telefone, o e-mail alternativo e o aplicativo autenticador associados à conta. Remova qualquer número ou endereço que você não reconheça, pois ele serve de porta dos fundos para o atacante recuperar o acesso depois.
- 6
6. Ative a verificação em duas etapas
Em Segurança, ative a verificação em duas etapas usando o aplicativo Microsoft Authenticator ou uma chave de segurança física (FIDO2). Salve e guarde o código de recuperação gerado em local seguro, fora da própria conta de e-mail.
- 7
7. Revogue aplicativos e permissões conectados
Acesse a página de aplicativos e serviços com acesso à conta e remova qualquer item desconhecido. Senhas de aplicativo antigas e tokens OAuth podem manter acesso mesmo após a troca de senha, então revogue tudo o que for suspeito.
- 8
8. Limpe regras de e-mail e verifique o desvio de contas
No Outlook.com, abra Configurações e Regras para apagar regras de encaminhamento ou exclusão criadas pelo invasor. Em seguida, troque a senha dos serviços que usam esse e-mail como recuperação (banco, redes sociais, lojas).
O que NÃO fazer
- ✕Não reutilize a senha antiga nem uma variação óbvia dela; o atacante provavelmente já a possui.
- ✕Não clique em links de 'recuperação' recebidos por e-mail ou SMS; vá direto a account.microsoft.com digitando o endereço.
- ✕Não remova a verificação em duas etapas para 'facilitar' o acesso depois de recuperar a conta.
- ✕Não ignore os dispositivos e aplicativos conectados; trocar só a senha deixa sessões e tokens ativos.
- ✕Não demore a avisar contatos e a proteger contas que usam esse e-mail como chave de redefinição.
Como recuperar uma conta totalmente sequestrada
Quando o invasor altera senha, telefone e e-mail alternativo, os fluxos automáticos de redefinição deixam de funcionar. O caminho oficial passa a ser o formulário de recuperação assistida em account.live.com/acsr, que a Microsoft analisa manualmente comparando suas respostas com o histórico real da conta.
Preencha o formulário do dispositivo e da rede que você costuma usar para acessar a conta, porque a localização e o equipamento conhecidos aumentam a confiança da análise. Informe senhas antigas que lembrar, assuntos de e-mails recentes, nomes de contatos frequentes e dados de assinaturas ou compras feitas pela conta.
A Microsoft responde por e-mail em até 24 horas. Se a primeira tentativa for recusada, você pode reenviar com mais detalhes. Enquanto aguarda, comece a proteger as contas dependentes: serviços que usam esse endereço como e-mail de recuperação ficam vulneráveis enquanto o atacante mantiver o controle.
Por que o e-mail é o alvo mais valioso
O e-mail é a chave-mestra da sua identidade digital. Quase todos os serviços enviam links e códigos de redefinição de senha para o endereço cadastrado, então quem domina a caixa de entrada consegue assumir banco, redes sociais e contas de trabalho em sequência, sem precisar quebrar cada senha individualmente.
Essa centralização é exatamente o que o CERT.br recomenda proteger com prioridade: separar contas críticas, ativar verificação em duas etapas e manter os dados de recuperação atualizados. Uma conta de e-mail comprometida costuma ser o primeiro elo de um ataque maior, não o último.
Se você usa um e-mail corporativo do Microsoft 365, o impacto se multiplica. A mesma identidade que entra no Outlook abre o Teams, o SharePoint e o OneDrive, e um único acesso indevido pode expor documentos, contatos e sistemas de toda a empresa. É aqui que a proteção individual encontra a segurança organizacional.
A Decripte atua exatamente nessa ponte entre proteção pessoal e corporativa, atendendo organizações de 1 a mais de 100.000 colaboradores. Nosso plano gratuito de Gestão de Ameaças monitora exposições e acessos indevidos para que um e-mail comprometido não vire um incidente em toda a empresa. Conheça em decripte.com.br.
Cuida da segurança de uma empresa?
Veja de graça o que já vazou do seu negócio.
O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.
Comece grátis agoraComo o atacante mantém acesso depois da invasão
Trocar a senha resolve só metade do problema. Sessões já autenticadas continuam válidas, e por isso é essencial usar a opção de sair de todos os dispositivos. Tokens OAuth, senhas de aplicativo e dispositivos vinculados são mecanismos de persistência que sobrevivem à mudança de senha até serem revogados manualmente.
Outra técnica comum é criar regras de caixa de entrada que encaminham silenciosamente seus e-mails para um endereço externo ou apagam mensagens de alerta de segurança. Mesmo depois de você recuperar o acesso, essas regras continuam vazando informação, então a revisão das configurações de regras é obrigatória.
Por fim, o invasor frequentemente adiciona um método de autenticação próprio: um telefone, um e-mail ou um aplicativo autenticador. Enquanto esse método existir, ele pode disparar a recuperação da conta a qualquer momento. Limpar as informações de segurança fecha essa porta dos fundos.
Configuração definitiva: deixando a conta resistente
Adote uma senha longa e exclusiva, gerenciada por um cofre de senhas, e ative a verificação em duas etapas preferencialmente com aplicativo autenticador ou chave física FIDO2, em vez de SMS. O NIST orienta priorizar autenticadores resistentes a phishing, porque códigos por SMS podem ser interceptados.
Considere ativar o login sem senha com chave de acesso (passkey) no Microsoft Authenticator, que elimina a senha como ponto fraco. Mantenha telefone e e-mail de recuperação atualizados e guarde o código de recuperação da conta fora do próprio e-mail, de preferência impresso ou em outro cofre.
Em ambiente corporativo, essas práticas escalam por políticas: o Microsoft 365 permite impor MFA, bloqueio de acesso por localização e revisão centralizada de aplicativos conectados via Microsoft Entra ID. O que protege uma conta pessoal é a base do que protege toda a frota de identidades de uma organização.
Quando suspeitar de phishing por trás do incidente
A maioria das contas Microsoft é comprometida não por força bruta, mas por phishing: páginas falsas de login que capturam suas credenciais e até o código de segundo fator em tempo real. Desconfie de e-mails que pedem para 'verificar sua conta' com urgência ou que apontam para domínios parecidos, mas diferentes de microsoft.com.
A regra prática é nunca digitar credenciais a partir de um link recebido. Acesse sempre account.microsoft.com ou outlook.com digitando o endereço diretamente no navegador. Se a verificação em duas etapas resistente a phishing já estiver ativa, mesmo uma página falsa não conseguirá reproduzir o segundo fator.
Caso confirme que o vazamento veio de um golpe, registre o ocorrido e reporte o domínio malicioso ao CERT.br. Em contexto corporativo, um único colaborador que cai em phishing pode dar ao atacante a porta de entrada para a rede inteira, o que reforça a importância do monitoramento contínuo de ameaças.
Termos importantes
- Verificação em duas etapas (2FA/MFA)
- Camada extra de proteção que exige, além da senha, um segundo fator, como um código do aplicativo autenticador ou uma chave física, dificultando o acesso mesmo que a senha vaze.
- account.live.com/acsr
- Formulário oficial de recuperação assistida de conta da Microsoft, usado quando o invasor já alterou senha e métodos de segurança e a redefinição automática não funciona mais.
- Token OAuth
- Credencial concedida a um aplicativo conectado para acessar sua conta sem digitar a senha; permanece válida até ser revogada, mesmo após você trocar a senha.
- Passkey (chave de acesso)
- Método de login sem senha baseado no padrão FIDO2, vinculado ao dispositivo e resistente a phishing, que substitui a senha por autenticação biométrica ou PIN local.
Perguntas frequentes
Quanto tempo leva para a Microsoft responder ao formulário de recuperação?
A Microsoft costuma responder por e-mail em até 24 horas após o envio do formulário em account.live.com/acsr. Se a solicitação for recusada, você pode reenviar com mais detalhes corretos, o que aumenta as chances de aprovação.
Trocar a senha é suficiente para expulsar o invasor?
Não. Trocar a senha não encerra sessões já autenticadas nem revoga tokens de aplicativos. É preciso sair de todos os dispositivos, revogar aplicativos conectados, limpar regras de e-mail e corrigir as informações de segurança da conta.
Esqueci minha senha antiga, ainda consigo recuperar a conta?
Sim. O formulário de recuperação assistida aceita respostas parciais. Quanto mais dados verdadeiros você fornecer (contatos, assuntos de e-mails recentes, dados de cobrança), maior a chance de a Microsoft confirmar que a conta é sua, mesmo sem a senha antiga.
Devo usar SMS ou aplicativo autenticador para a segunda etapa?
Prefira o aplicativo autenticador ou uma chave física FIDO2. O NIST recomenda autenticadores resistentes a phishing porque códigos enviados por SMS podem ser interceptados por troca de chip (SIM swap) ou redirecionamento de mensagens.
Como sei se o invasor criou regras na minha caixa de entrada?
No Outlook.com, abra Configurações e depois Regras. Verifique se há regras de encaminhamento para endereços externos ou que apagam mensagens automaticamente. Exclua qualquer regra que você não tenha criado, pois elas vazam e ocultam alertas.
Minha conta era corporativa do Microsoft 365. O que muda?
Em contas corporativas, a recuperação e a segurança são geridas pelo administrador via Microsoft Entra ID, não pelo account.live.com. Avise imediatamente a equipe de TI, pois a mesma identidade dá acesso a Teams, SharePoint e OneDrive de toda a organização.
Como proteger as outras contas que usam esse e-mail?
Depois de retomar o controle, troque a senha de todos os serviços que usam o endereço como recuperação (banco, redes sociais, lojas) e ative a verificação em duas etapas neles. O e-mail é a chave-mestra de redefinição, por isso ele precisa ser o primeiro a ser blindado.
A Decripte ajuda pessoas físicas ou só empresas?
A Decripte atende organizações de 1 a mais de 100.000 colaboradores e oferece um plano gratuito de Gestão de Ameaças que monitora exposições e acessos indevidos. As mesmas práticas que protegem uma conta pessoal sustentam a segurança de identidades corporativas. Saiba mais em decripte.com.br.
Segurança para empresas
A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.
Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.
