Usuários de diferentes serviços de e-mail relataram, nos últimos dias, o recebimento de códigos de uso único da Microsoft sem terem realizado qualquer solicitação. As mensagens, com o assunto “Seu código de uso único”, foram encaminhadas para endereços diversos, incluindo Gmail e Outlook, gerando preocupações sobre a segurança das contas. A empresa confirmou que os envios são legítimos e fazem parte do sistema de verificação da plataforma.
Características dos E-mails Recebidos
As mensagens enviadas pela Microsoft trazem a seguintes informações: o remetente é o endereço “account-security-noreply@accountprotection.microsoft.com” e o conteúdo afirma que “recebemos uma solicitação para um código de uso único para a sua conta da Microsoft”, acompanhada por um código de seis dígitos. É importante destacar que os e-mails não contêm links maliciosos, o que diferencia essas mensagens de tentativas de phishing tradicionais.
Perfis Afetados e Padrões Identificados
A distribuição dos códigos priorizou diferentes provedores de e-mail, com destaque para usuários do Gmail. Em alguns casos acompanhados pela reportagem, o código foi enviado para um único endereço do Outlook, enquanto em outros cenários foram recebidos até três códigos em diferentes contas do Gmail. Um ponto comum a todos os casos identificados: os endereços de e-mail que receberam as notificações constam em listas de vazamentos de dados públicos, como o banco de dados Have I Been Pwned.
Relatos nas Comunidades Online
Nos fóruns oficiais da Microsoft e em plataformas como Reddit, usuários do Brasil e de outros países relataram a recepção inesperada dos códigos ao longo da semana passada. Em um tópico aberto em 16 de maio no fórum Microsoft Build 2026, um usuário publicou: “Eu não solicitei esse código. Eu já verifiquei qualquer tentativa no relatório de atividade, e não tem nada lá. Apenas a entrada que eu fiz do meu dispositivo.” Outro relato, publicado no último domingo (24), afirmou: “Na manhã de quinta-feira, recebi um e-mail da Microsoft com um código único indicando que alguém estava tentando acessar minha conta. O e-mail parecia legítimo. Verifiquei o histórico de logins e, pelo que pude constatar, os únicos logins foram feitos a partir do meu próprio endereço IP.”
Entendendo o Ataque de Credential Stuffing
Segundo Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Software Brasil, o fenômeno está relacionado a um potencial ataque de credential stuffing em larga escala. Essa técnica consiste em utilizar nomes de usuário e senhas obtidos em vazamentos de dados anteriores para automatizar tentativas de login em diversos serviços, incluindo e-mails, redes sociais e plataformas de jogos.
“Quando o e-mail e senha estão corretos, a Microsoft detecta o login de um local ou IP diferente e envia o código de verificação legítimo para o dono da conta. Por isso as vítimas recebem o código sem terem solicitado nada”, explicou o especialista. “Isso não significa que a conta já foi comprometida, uma vez que o atacante ainda precisa do código, mas é um forte alerta de que a combinação e-mail e senha está sendo testada ativamente.” A empresa de tecnologia confirmou, em nota, que os códigos de uso único podem ser gerados automaticamente quando alguém tenta acessar uma conta indevidamente ou insere credenciais incorretas.
Sua Conta Está em Risco?
O recebimento do código de uso único não indica necessariamente que sua conta foi acessada. Para concluir o login, o atacante precisaria obter o código enviado por e-mail, o que não ocorre automaticamente. A Microsoft orienta os usuários: “Não responda a nenhum código que você não solicitou. Se alguém estiver tentando acessar sua conta, sem o código, sua conta estará segura.” É fundamental alterar a senha imediatamente caso você receba essa notificação e não tenha tentado acessar sua conta recently.
Recomendações de Segurança
Para proteger sua conta Microsoft diante desse cenário, recomenda-se ativar a autenticação de dois fatores, utilizando métodos como aplicativo de autenticação ou chave de segurança física. Além disso, é essencial utilizar senhas únicas e diferentes para cada serviço, evitando que vazamentos de uma plataforma comprometam outras contas. A verificação periódica do histórico de atividades da conta também ajuda a identificar acessos não autorizados.
O episódio não está relacionado a uma falha de segurança nos servidores da Microsoft ou em provedores de e-mail como o Gmail. Trata-se, na realidade, de uma resposta automática da plataforma para proteger os usuários contra tentativas de acesso não autorizado. Manter-se vigilante e não compartilhar códigos de verificação com terceiros permanece como a melhor defesa contra esse tipo de ameaça.
Fonte: https://canaltech.com.br
