Segurança Digital · Conta hackeada

Conta Microsoft, Outlook ou Hotmail hackeada: como recuperar e proteger o acesso

Resposta rápida

Se você perdeu o acesso a uma conta Microsoft (Outlook.com, Hotmail, Live ou Office), aja em três frentes: tente redefinir a senha em account.live.com/password/reset; se o invasor já trocou seus dados de segurança, use o formulário de recuperação em account.live.com/acsr; e, após retomar o controle, revise a Atividade recente, encerre sessões, ative a verificação em duas etapas e revogue aplicativos suspeitos.

A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Cuida da segurança de um negócio? Comece pelo plano gratuito de Gestão de Ameaças.

Sinais de alerta

  • Você recebe alertas da Microsoft sobre login a partir de locais, dispositivos ou endereços IP que não reconhece.
  • A senha que sempre funcionou foi recusada e você não solicitou nenhuma alteração.
  • Contatos relatam mensagens, convites ou links suspeitos enviados em seu nome.
  • Existem regras de caixa de entrada novas que apagam ou encaminham e-mails automaticamente, ou itens sumindo da pasta Enviados.
  • O número de telefone, e-mail alternativo ou método de autenticação da conta foi alterado sem o seu conhecimento.
  • Aparecem aplicativos ou dispositivos conectados que você nunca autorizou na página de segurança da conta.

Passo a passo — o que fazer

  1. 1

    1. Tente redefinir a senha imediatamente

    Acesse account.live.com/password/reset de um dispositivo confiável e siga o fluxo de redefinição. Se ainda receber o código de verificação no seu telefone ou e-mail alternativo, defina uma senha nova, longa e exclusiva, que não seja reaproveitada de outro serviço.

  2. 2

    2. Use o formulário de recuperação se perdeu o acesso aos métodos

    Quando o invasor já trocou seu telefone e e-mail de segurança, a redefinição comum falha. Abra account.live.com/acsr (Assisted Account Recovery) e preencha o máximo de detalhes possível: senhas antigas, assuntos de e-mails recentes, contatos e dados de cobrança. A Microsoft usa essas respostas para confirmar que a conta é sua.

  3. 3

    3. Revise a Atividade recente da conta

    Em account.microsoft.com, abra Segurança e depois Atividade de entrada (Recent activity). Identifique sessões e localizações que não reconhece e marque-as como 'Não fui eu' para acionar a proteção automática e forçar nova verificação.

  4. 4

    4. Encerre todas as sessões abertas

    Trocar a senha não derruba automaticamente sessões já autenticadas em outros aparelhos. Use a opção de sair de todos os dispositivos e force a saída remota nos dispositivos listados na página de segurança para expulsar o invasor de qualquer sessão ainda ativa.

  5. 5

    5. Restaure suas informações de segurança

    Verifique e corrija o telefone, o e-mail alternativo e o aplicativo autenticador associados à conta. Remova qualquer número ou endereço que você não reconheça, pois ele serve de porta dos fundos para o atacante recuperar o acesso depois.

  6. 6

    6. Ative a verificação em duas etapas

    Em Segurança, ative a verificação em duas etapas usando o aplicativo Microsoft Authenticator ou uma chave de segurança física (FIDO2). Salve e guarde o código de recuperação gerado em local seguro, fora da própria conta de e-mail.

  7. 7

    7. Revogue aplicativos e permissões conectados

    Acesse a página de aplicativos e serviços com acesso à conta e remova qualquer item desconhecido. Senhas de aplicativo antigas e tokens OAuth podem manter acesso mesmo após a troca de senha, então revogue tudo o que for suspeito.

  8. 8

    8. Limpe regras de e-mail e verifique o desvio de contas

    No Outlook.com, abra Configurações e Regras para apagar regras de encaminhamento ou exclusão criadas pelo invasor. Em seguida, troque a senha dos serviços que usam esse e-mail como recuperação (banco, redes sociais, lojas).

O que NÃO fazer

  • Não reutilize a senha antiga nem uma variação óbvia dela; o atacante provavelmente já a possui.
  • Não clique em links de 'recuperação' recebidos por e-mail ou SMS; vá direto a account.microsoft.com digitando o endereço.
  • Não remova a verificação em duas etapas para 'facilitar' o acesso depois de recuperar a conta.
  • Não ignore os dispositivos e aplicativos conectados; trocar só a senha deixa sessões e tokens ativos.
  • Não demore a avisar contatos e a proteger contas que usam esse e-mail como chave de redefinição.

Como recuperar uma conta totalmente sequestrada

Quando o invasor altera senha, telefone e e-mail alternativo, os fluxos automáticos de redefinição deixam de funcionar. O caminho oficial passa a ser o formulário de recuperação assistida em account.live.com/acsr, que a Microsoft analisa manualmente comparando suas respostas com o histórico real da conta.

Preencha o formulário do dispositivo e da rede que você costuma usar para acessar a conta, porque a localização e o equipamento conhecidos aumentam a confiança da análise. Informe senhas antigas que lembrar, assuntos de e-mails recentes, nomes de contatos frequentes e dados de assinaturas ou compras feitas pela conta.

A Microsoft responde por e-mail em até 24 horas. Se a primeira tentativa for recusada, você pode reenviar com mais detalhes. Enquanto aguarda, comece a proteger as contas dependentes: serviços que usam esse endereço como e-mail de recuperação ficam vulneráveis enquanto o atacante mantiver o controle.

Por que o e-mail é o alvo mais valioso

O e-mail é a chave-mestra da sua identidade digital. Quase todos os serviços enviam links e códigos de redefinição de senha para o endereço cadastrado, então quem domina a caixa de entrada consegue assumir banco, redes sociais e contas de trabalho em sequência, sem precisar quebrar cada senha individualmente.

Essa centralização é exatamente o que o CERT.br recomenda proteger com prioridade: separar contas críticas, ativar verificação em duas etapas e manter os dados de recuperação atualizados. Uma conta de e-mail comprometida costuma ser o primeiro elo de um ataque maior, não o último.

Se você usa um e-mail corporativo do Microsoft 365, o impacto se multiplica. A mesma identidade que entra no Outlook abre o Teams, o SharePoint e o OneDrive, e um único acesso indevido pode expor documentos, contatos e sistemas de toda a empresa. É aqui que a proteção individual encontra a segurança organizacional.

A Decripte atua exatamente nessa ponte entre proteção pessoal e corporativa, atendendo organizações de 1 a mais de 100.000 colaboradores. Nosso plano gratuito de Gestão de Ameaças monitora exposições e acessos indevidos para que um e-mail comprometido não vire um incidente em toda a empresa. Conheça em decripte.com.br.

Cuida da segurança de uma empresa?

Veja de graça o que já vazou do seu negócio.

O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.

Comece grátis agora

Como o atacante mantém acesso depois da invasão

Trocar a senha resolve só metade do problema. Sessões já autenticadas continuam válidas, e por isso é essencial usar a opção de sair de todos os dispositivos. Tokens OAuth, senhas de aplicativo e dispositivos vinculados são mecanismos de persistência que sobrevivem à mudança de senha até serem revogados manualmente.

Outra técnica comum é criar regras de caixa de entrada que encaminham silenciosamente seus e-mails para um endereço externo ou apagam mensagens de alerta de segurança. Mesmo depois de você recuperar o acesso, essas regras continuam vazando informação, então a revisão das configurações de regras é obrigatória.

Por fim, o invasor frequentemente adiciona um método de autenticação próprio: um telefone, um e-mail ou um aplicativo autenticador. Enquanto esse método existir, ele pode disparar a recuperação da conta a qualquer momento. Limpar as informações de segurança fecha essa porta dos fundos.

Configuração definitiva: deixando a conta resistente

Adote uma senha longa e exclusiva, gerenciada por um cofre de senhas, e ative a verificação em duas etapas preferencialmente com aplicativo autenticador ou chave física FIDO2, em vez de SMS. O NIST orienta priorizar autenticadores resistentes a phishing, porque códigos por SMS podem ser interceptados.

Considere ativar o login sem senha com chave de acesso (passkey) no Microsoft Authenticator, que elimina a senha como ponto fraco. Mantenha telefone e e-mail de recuperação atualizados e guarde o código de recuperação da conta fora do próprio e-mail, de preferência impresso ou em outro cofre.

Em ambiente corporativo, essas práticas escalam por políticas: o Microsoft 365 permite impor MFA, bloqueio de acesso por localização e revisão centralizada de aplicativos conectados via Microsoft Entra ID. O que protege uma conta pessoal é a base do que protege toda a frota de identidades de uma organização.

Quando suspeitar de phishing por trás do incidente

A maioria das contas Microsoft é comprometida não por força bruta, mas por phishing: páginas falsas de login que capturam suas credenciais e até o código de segundo fator em tempo real. Desconfie de e-mails que pedem para 'verificar sua conta' com urgência ou que apontam para domínios parecidos, mas diferentes de microsoft.com.

A regra prática é nunca digitar credenciais a partir de um link recebido. Acesse sempre account.microsoft.com ou outlook.com digitando o endereço diretamente no navegador. Se a verificação em duas etapas resistente a phishing já estiver ativa, mesmo uma página falsa não conseguirá reproduzir o segundo fator.

Caso confirme que o vazamento veio de um golpe, registre o ocorrido e reporte o domínio malicioso ao CERT.br. Em contexto corporativo, um único colaborador que cai em phishing pode dar ao atacante a porta de entrada para a rede inteira, o que reforça a importância do monitoramento contínuo de ameaças.

Termos importantes

Verificação em duas etapas (2FA/MFA)
Camada extra de proteção que exige, além da senha, um segundo fator, como um código do aplicativo autenticador ou uma chave física, dificultando o acesso mesmo que a senha vaze.
account.live.com/acsr
Formulário oficial de recuperação assistida de conta da Microsoft, usado quando o invasor já alterou senha e métodos de segurança e a redefinição automática não funciona mais.
Token OAuth
Credencial concedida a um aplicativo conectado para acessar sua conta sem digitar a senha; permanece válida até ser revogada, mesmo após você trocar a senha.
Passkey (chave de acesso)
Método de login sem senha baseado no padrão FIDO2, vinculado ao dispositivo e resistente a phishing, que substitui a senha por autenticação biométrica ou PIN local.

Perguntas frequentes

Quanto tempo leva para a Microsoft responder ao formulário de recuperação?

A Microsoft costuma responder por e-mail em até 24 horas após o envio do formulário em account.live.com/acsr. Se a solicitação for recusada, você pode reenviar com mais detalhes corretos, o que aumenta as chances de aprovação.

Trocar a senha é suficiente para expulsar o invasor?

Não. Trocar a senha não encerra sessões já autenticadas nem revoga tokens de aplicativos. É preciso sair de todos os dispositivos, revogar aplicativos conectados, limpar regras de e-mail e corrigir as informações de segurança da conta.

Esqueci minha senha antiga, ainda consigo recuperar a conta?

Sim. O formulário de recuperação assistida aceita respostas parciais. Quanto mais dados verdadeiros você fornecer (contatos, assuntos de e-mails recentes, dados de cobrança), maior a chance de a Microsoft confirmar que a conta é sua, mesmo sem a senha antiga.

Devo usar SMS ou aplicativo autenticador para a segunda etapa?

Prefira o aplicativo autenticador ou uma chave física FIDO2. O NIST recomenda autenticadores resistentes a phishing porque códigos enviados por SMS podem ser interceptados por troca de chip (SIM swap) ou redirecionamento de mensagens.

Como sei se o invasor criou regras na minha caixa de entrada?

No Outlook.com, abra Configurações e depois Regras. Verifique se há regras de encaminhamento para endereços externos ou que apagam mensagens automaticamente. Exclua qualquer regra que você não tenha criado, pois elas vazam e ocultam alertas.

Minha conta era corporativa do Microsoft 365. O que muda?

Em contas corporativas, a recuperação e a segurança são geridas pelo administrador via Microsoft Entra ID, não pelo account.live.com. Avise imediatamente a equipe de TI, pois a mesma identidade dá acesso a Teams, SharePoint e OneDrive de toda a organização.

Como proteger as outras contas que usam esse e-mail?

Depois de retomar o controle, troque a senha de todos os serviços que usam o endereço como recuperação (banco, redes sociais, lojas) e ative a verificação em duas etapas neles. O e-mail é a chave-mestra de redefinição, por isso ele precisa ser o primeiro a ser blindado.

A Decripte ajuda pessoas físicas ou só empresas?

A Decripte atende organizações de 1 a mais de 100.000 colaboradores e oferece um plano gratuito de Gestão de Ameaças que monitora exposições e acessos indevidos. As mesmas práticas que protegem uma conta pessoal sustentam a segurança de identidades corporativas. Saiba mais em decripte.com.br.

Segurança para empresas

A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.

Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.