الرد على حساب بريد إلكتروني تم اختراقه

• ينطبق على:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR ل Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي من Defender ل Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على الأشخاص الذين يمكنهم التسجيل وشروط الإصدار التجريبي هنا.

تتحكم بيانات الاعتماد في الوصول إلى علب بريد Microsoft 365 والبيانات والخدمات الأخرى. عندما يسرق شخص ما بيانات الاعتماد هذه، يعتبر الحساب المرتبط معرضا للخطر.

بعد أن يسرق المهاجم بيانات الاعتماد ويكتسب حق الوصول إلى الحساب، يمكنه الوصول إلى علبة بريد Microsoft 365 المقترنة أو مجلدات SharePoint أو الملفات في OneDrive الخاص بالمستخدم. غالبا ما يستخدم المهاجمون علبة البريد المخترقة لإرسال البريد الإلكتروني كمستخدم أصلي إلى المستلمين داخل المؤسسة وخارجها. يعرف المهاجمون الذين يستخدمون البريد الإلكتروني لإرسال البيانات إلى مستلمين خارجيين باسم النقل غير المصرح للبيانات.

توضح هذه المقالة أعراض اختراق الحساب وكيفية استعادة التحكم في الحساب المخترق.

أعراض حساب بريد Microsoft الإلكتروني المخترق

قد يلاحظ المستخدمون نشاط غير عادي ويبلغون به في علب بريد Microsoft 365 الخاصة بهم. على سبيل المثال:

• نشاط مشبوه، مثل البريد الإلكتروني المفقود أو المحذوف.
• المستخدمون الذين يتلقون بريدا إلكترونيا من الحساب المخترق دون البريد الإلكتروني المقابل في مجلد العناصر المرسلة للمرسل.
• قواعد علبة الوارد المشبوهة. قد تقوم هذه القواعد تلقائيا بإعادة توجيه البريد الإلكتروني إلى عناوين غير معروفة أو نقل الرسائل إلى مجلدات الملاحظات أو البريد الإلكتروني غير الهام أو اشتراكات RSS .
• يتم تغيير اسم عرض المستخدم في قائمة العناوين العمومية.
• تم حظر علبة بريد المستخدم من إرسال البريد الإلكتروني.
• تحتوي مجلدات العناصر المرسلة أو العناصر المحذوفة في Microsoft Outlook أو Outlook على الويب (المعروفة سابقا باسم Outlook Web App) على رسائل نموذجية للحسابات المخترقة (على سبيل المثال، "أنا عالق في لندن، أرسل المال.").
• تغييرات غير عادية في ملف التعريف. على سبيل المثال، الاسم أو رقم الهاتف أو تحديثات التعليمات البرمجية البريدية.
• تغييرات متعددة ومتكررة في كلمة المرور.
• تمت إضافة إعادة توجيه البريد الإلكتروني الخارجي مؤخرا.
• توقيعات رسائل بريد إلكتروني غير عادية. على سبيل المثال، توقيع مصرفي مزيف أو توقيع دواء موصوف طبيا.

تحتاج إلى التحقق على الفور مما إذا كان المستخدم يبلغ عن هذه الأعراض أو غيرها من الأعراض غير العادية. يوفر مدخل Microsoft Defender ومدخل Microsoft Azure الأدوات التالية لمساعدتك في التحقيق في النشاط المشبوه على حساب مستخدم:

• سجلات التدقيق الموحدة في مدخل Microsoft Defender: تصفية السجلات للنشاط باستخدام نطاق تاريخ يبدأ مباشرة قبل حدوث النشاط المشبوه إلى اليوم. لا تقم بالتصفية على أنشطة معينة أثناء البحث. لمزيد من المعلومات، راجع البحث في سجل التدقيق.

• سجلات تسجيل الدخول إلى Microsoft Entra وتقارير المخاطر الأخرى في مركز إدارة Microsoft Entra: فحص القيم الموجودة في هذه الأعمدة:

  • مراجعة عنوان IP
  • مواقع تسجيل الدخول
  • أوقات تسجيل الدخول
  • نجاح تسجيل الدخول أو فشله

هام

يتيح لك الزر التالي اختبار نشاط الحساب المشبوه وتحديده. يمكنك استخدام هذه المعلومات لاسترداد حساب تم اختراقه.

تشغيل الاختبارات: الحسابات المخترقة

تأمين وظيفة البريد الإلكتروني واستعادتها إلى حساب Microsoft 365 وعلبة بريد مخترقة

حتى بعد أن يستعيد المستخدم الوصول إلى حسابه، قد يترك المهاجم إدخالات الباب الخلفي التي يمكن أن تستعيد التحكم في الحساب.

قم بجميع الخطوات التالية لاستعادة التحكم في الحساب. انتقل إلى الخطوات بمجرد أن تشك في وجود مشكلة وبأسرع وقت ممكن للتأكد من أن المهاجم لا يستعيد التحكم في الحساب. تساعدك هذه الخطوات أيضا على إزالة أي إدخالات الباب الخلفي التي أضافها المهاجم إلى الحساب. بعد القيام بهذه الخطوات، نوصي بتشغيل فحص الفيروسات للتأكد من عدم اختراق كمبيوتر العميل.

الخطوة 1: إعادة تعيين كلمة مرور المستخدم

اتبع الإجراءات الواردة في إعادة تعيين كلمة مرور عمل لشخص ما.

هام

• لا ترسل كلمة المرور الجديدة إلى المستخدم عبر البريد الإلكتروني، لأن المهاجم لا يزال لديه حق الوصول إلى علبة البريد في هذه المرحلة.

• تأكد من استخدام كلمة مرور قوية: أحرف كبيرة وأحرف صغيرة ورقم واحد على الأقل وحرف خاص واحد على الأقل.

• حتى إذا كان متطلبات محفوظات كلمة المرور تسمح بذلك، فلا تعيد استخدام أي من كلمات المرور الخمس الأخيرة. استخدم كلمة مرور فريدة لا يمكن للمهاجم تخمينها.

• إذا تم توحيد هوية المستخدم مع Microsoft 365، يجب تغيير كلمة مرور الحساب في البيئة المحلية، ثم إعلام المسؤول بالاختراق.

• تأكد من تحديث كلمات مرور التطبيق. لا يتم إبطال كلمات مرور التطبيقات تلقائيا عند إعادة تعيين كلمة المرور. يجب على المستخدم حذف كلمات مرور التطبيق الموجودة وإنشاء كلمات مرور جديدة. للحصول على الإرشادات، راجع إدارة كلمات مرور التطبيق للتحقق على خطوتين.

• نوصي بشدة بتمكين المصادقة متعددة العوامل (MFA) للحساب. تعد المصادقة متعددة العوامل طريقة جيدة للمساعدة في منع اختراق الحساب، وهي مهمة جدا للحسابات ذات الامتيازات الإدارية. للحصول على الإرشادات، راجع إعداد المصادقة متعددة العوامل.

الخطوة 2: إزالة عناوين إعادة توجيه البريد الإلكتروني المشبوهة

1. في مركز إدارة Microsoft 365 في https://admin.microsoft.com، انتقل إلى المستخدمين النشطين>. أو، للانتقال مباشرة إلى صفحة المستخدمون النشطون ، استخدم https://admin.microsoft.com/Adminportal/Home#/users.

2. في صفحة المستخدمون النشطون ، ابحث عن حساب المستخدم، وحدده بالنقر فوق أي مكان في الصف بخلاف خانة الاختيار الموجودة بجانب الاسم.

3. في القائمة المنبثقة التفاصيل التي تفتح، حدد علامة التبويب البريد .

4. في علامة التبويب البريد ، تشير القيمة المطبقة في قسم إعادة توجيه البريد الإلكتروني إلى تكوين إعادة توجيه البريد على الحساب. لإزالته، قم بالخطوات التالية:

   • حدد إدارة إعادة توجيه البريد الإلكتروني.
   • في القائمة المنبثقة إدارة إعادة توجيه البريد الإلكتروني التي تفتح، قم بإلغاء تحديد خانة الاختيار إعادة توجيه كل رسائل البريد الإلكتروني المرسلة إلى علبة البريد هذه ، ثم حدد حفظ التغييرات.

الخطوة 3: تعطيل قواعد علبة الوارد المشبوهة

1. سجل الدخول إلى علبة بريد المستخدم باستخدام Outlook على الويب.

2. حدد الإعدادات (أيقونة الترس)، وأدخل "القواعد" في مربع إعدادات البحث، ثم حدد قواعد علبة الوارد في النتائج.

3. في القائمة المنبثقة القواعد التي تفتح، راجع القواعد الموجودة، وقم بإيقاف تشغيل أي قواعد مريبة أو حذفها.

الخطوة 4: إلغاء حظر المستخدم من إرسال البريد

إذا تم استخدام الحساب لإرسال بريد عشوائي أو حجم كبير من البريد الإلكتروني، فمن المحتمل أن يتم حظر علبة البريد من إرسال البريد.

لإلغاء حظر علبة بريد من إرسال البريد الإلكتروني، اتبع الإجراءات الواردة في إزالة المستخدمين المحظورين من صفحة الكيانات المقيدة.

الخطوة 5 اختيارية: حظر حساب المستخدم من تسجيل الدخول

هام

يمكنك حظر الحساب من تسجيل الدخول حتى تعتقد أنه من الآمن إعادة تمكين الوصول.

1. قم بالخطوات التالية في مركز إدارة Microsoft 365 على https://admin.microsoft.com:

   1. انتقل إلى المستخدمين>النشطين. أو، للانتقال مباشرة إلى صفحة المستخدمون النشطون ، استخدم https://admin.microsoft.com/Adminportal/Home#/users.
   2. في صفحة المستخدمون النشطون ، ابحث عن حساب المستخدم وحدده من القائمة عن طريق تنفيذ إحدى الخطوات التالية:
      • حدد المستخدم بالنقر فوق أي مكان في الصف بخلاف خانة الاختيار الموجودة بجانب الاسم. في القائمة المنبثقة التفاصيل التي تفتح، حدد حظر تسجيل الدخول في أعلى القائمة المنبثقة.
      • حدد المستخدم عن طريق تحديد خانة الاختيار بجوار الاسم. حدد المزيد من الإجراءات>تحرير حالة تسجيل الدخول.
   3. في القائمة المنبثقة حظر تسجيل الدخول التي تفتح، اقرأ المعلومات، وحدد حظر هذا المستخدم من تسجيل الدخول، وحدد حفظ التغييرات، ثم حدد إغلاق في أعلى القائمة المنبثقة.

2. قم بالخطوات التالية في مركز إدارة Exchange (EAC) على https://admin.exchange.microsoft.com:

   1. انتقل إلىعلب بريدالمستلمين>. أو، للانتقال مباشرة إلى صفحة علب البريد ، استخدم https://admin.exchange.microsoft.com/#/mailboxes.

   2. في صفحة إدارة علب البريد ، ابحث عن المستخدم وحدده من القائمة بالنقر فوق أي مكان في الصف بخلاف خانة الاختيار الدائرية التي تظهر إلى جانب الاسم.

   3. في القائمة المنبثقة التفاصيل التي تفتح، قم بالخطوات التالية:

      1. تحقق من تحديد علامة التبويب عام ، ثم حدد إدارة إعدادات تطبيقات البريد الإلكتروني في قسم تطبيقات البريد الإلكتروني & الأجهزة المحمولة .
      2. في القائمة المنبثقة إدارة الإعدادات لتطبيقات البريد الإلكتروني التي تفتح، قم بتعطيل جميع الإعدادات المتوفرة عن طريق تغيير مفاتيح التبديل إلى معطل:
         • Outlook لسطح المكتب (MAPI)
         • Exchange Web Services
         • الجوال (Exchange ActiveSync)
         • IMAP
         • POP3
         • Outlook على الويب

      عند الانتهاء من القائمة المنبثقة إدارة الإعدادات لتطبيقات البريد الإلكتروني ، حدد حفظ، ثم حدد إغلاق في أعلى القائمة المنبثقة.

الخطوة 6 اختيارية: إزالة الحساب المشتبه به الذي تم اختراقه من جميع الأدوار الإدارية

ملاحظة

يمكنك استعادة عضوية المستخدم في الأدوار الإدارية بعد تأمين الحساب.

1. في مركز إدارة Microsoft 365 في https://admin.microsoft.com، قم بالخطوات التالية:

   1. انتقل إلى المستخدمين>النشطين. أو، للانتقال مباشرة إلى صفحة المستخدمون النشطون ، استخدم https://admin.microsoft.com/Adminportal/Home#/users.

   2. في صفحة المستخدمون النشطون ، ابحث عن حساب المستخدم وحدده من القائمة عن طريق تنفيذ إحدى الخطوات التالية:

      • حدد المستخدم بالنقر فوق أي مكان في الصف بخلاف خانة الاختيار الموجودة بجانب الاسم. في القائمة المنبثقة التفاصيل التي تفتح، تحقق من تحديد علامة التبويب حساب ، ثم حدد إدارة الأدوار في قسم الأدوار .
      • حدد المستخدم عن طريق تحديد خانة الاختيار بجوار الاسم. حدد المزيد من الإجراءات>إدارة الأدوار.

   3. في القائمة المنبثقة إدارة أدوار المسؤول التي تفتح، قم بالخطوات التالية:

      • سجل أي معلومات تريد استعادتها لاحقا.
      • قم بإزالة عضوية الدور الإداري عن طريق تحديد المستخدم (لا يوجد وصول إلى مركز الإدارة).

      عند الانتهاء من القائمة المنبثقة إدارة أدوار المسؤول ، حدد حفظ التغييرات.

2. في مدخل Microsoft Defender في https://security.microsoft.com، قم بالخطوات التالية:

   1. انتقل إلى Permissions>Email & أدوار> التعاون. أو للانتقال مباشرة إلى صفحة الأذونات، استخدم https://security.microsoft.com/emailandcollabpermissions.

   2. في صفحة Permissions ، حدد مجموعة أدوار من القائمة عن طريق تحديد خانة الاختيار بجوار الاسم (على سبيل المثال، Organization Management)، ثم حدد Edit action الذي يظهر.

   3. في صفحة تحرير أعضاء مجموعة الأدوار التي تفتح، راجع قائمة الأعضاء. إذا كانت مجموعة الأدوار تحتوي على حساب المستخدم، فقم بإزالة المستخدم عن طريق تحديد خانة الاختيار بجوار الاسم، ثم تحديد إزالة الأعضاء.

      عند الانتهاء من صفحة تحرير أعضاء مجموعة الأدوار ، حدد التالي

   4. في صفحة مراجعة مجموعة الأدوار والانتهاء ، راجع المعلومات، ثم حدد حفظ.

   5. كرر الخطوات السابقة لكل مجموعة أدوار في القائمة.

3. في مركز إدارة Exchange في https://admin.exchange.microsoft.com/، قم بالخطوات التالية:

   1. انتقل إلىأدوار مسؤولالأدوار>. أو للانتقال مباشرة إلى صفحة أدوار المسؤول ، استخدم https://admin.exchange.microsoft.com/#/adminRoles.

   2. في صفحة أدوار المسؤول ، حدد مجموعة أدوار من القائمة بالنقر فوق أي مكان في الصف بخلاف خانة الاختيار الدائرية التي تظهر إلى جانب الاسم.

   3. في القائمة المنبثقة للتفاصيل التي تفتح، حدد علامة التبويب المعينة ، ثم ابحث عن حساب المستخدم. إذا كانت مجموعة الأدوار تحتوي على حساب المستخدم، فقم بالخطوات التالية:

      1. حدد حساب المستخدم عن طريق تحديد خانة الاختيار الدائرية التي تظهر بجوار الاسم.
      2. حدد إجراء حذف الذي يظهر، وحدد نعم، وقم بإزالة في مربع حوار التحذير، ثم حدد إغلاق في أعلى القائمة المنبثقة.

   4. كرر الخطوات السابقة لكل مجموعة أدوار في القائمة.

الخطوة 7 اختيارية: خطوات وقائية إضافية

1. تحقق من محتويات مجلد العناصر المرسلة للحساب في Outlook أو Outlook على الويب.

   قد تحتاج إلى إعلام جهات اتصال المستخدم بأنه تم اختراق الحساب. على سبيل المثال، قد يكون المهاجم قد أرسل رسائل يطلب فيها من جهات الاتصال المال، أو قد يكون المهاجم قد أرسل فيروسا لاختطاف أجهزة الكمبيوتر الخاصة به.

2. قد يتم أيضا اختراق الخدمات الأخرى التي تستخدم هذا الحساب كعنوان بريد إلكتروني بديل. بعد تنفيذ الخطوات الواردة في هذه المقالة للحساب في مؤسسة Microsoft 365 هذه، قم بالخطوات المقابلة في الخدمات الأخرى.

3. تحقق من معلومات جهة الاتصال (على سبيل المثال، أرقام الهواتف والعناوين) للحساب.

راجع أيضًا

• الكشف عن قواعد Outlook وهجمات حقن النماذج المخصصة ومعالجتها في Microsoft 365
• الكشف عن منح الموافقة غير المشروعة ومعالجتها
• مركز شكاوى جرائم الإنترنت
• لجنة الأوراق المالية والبورصة - الاحتيال "التصيد الاحتيالي"
• استخدم الوظيفة الإضافية Report Message للإبلاغ عن البريد الإلكتروني العشوائي مباشرة إلى Microsoft و/أو المسؤولين (اعتمادا على كيفية تكوين الإعدادات التي أبلغ عنها المستخدم ).