Reakce na ohrožený e-mailový účet

• Platí pro:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

Přihlašovací údaje řídí přístup k poštovním schránkám, datům a dalším službám Microsoftu 365. Když někdo tyto přihlašovací údaje ukradne, přidružený účet se považuje za ohrožený.

Když útočník přihlašovací údaje ukradne a získá přístup k účtu, získá přístup k přidružené poštovní schránce Microsoftu 365, sharepointovým složkám nebo souborům na OneDrivu uživatele. Útočníci často zneužíjí ohroženou poštovní schránku k odesílání e-mailů příjemcům v organizaci i mimo ni jako původní uživatel. Útočníci, kteří používají e-mail k odesílání dat externím příjemcům, se označuje jako exfiltrace dat.

Tento článek vysvětluje příznaky ohrožení zabezpečení účtu a způsob, jak znovu získat kontrolu nad ohroženým účtem.

Příznaky ohroženého e-mailového účtu Microsoft

Uživatelé si můžou všimnout neobvyklé aktivity ve svých poštovních schránkách Microsoftu 365 a hlásit je. Příklady:

• Podezřelá aktivita, například chybějící nebo odstraněný e-mail.
• Uživatelé, kteří dostávají e-maily ze zneužněného účtu bez odpovídajícího e-mailu ve složce Odeslaná pošta odesílatele.
• Podezřelá pravidla doručené pošty. Tato pravidla můžou automaticky přeposílat e-maily na neznámé adresy nebo přesouvat zprávy do složek Poznámky, Nevyžádaná pošta Email nebo Odběry RSS.
• Zobrazované jméno uživatele se změní v globálním adresáři.
• Poštovní schránka uživatele nemůže odesílat e-maily.
• Složky Odeslaná pošta nebo Odstraněná pošta v Aplikaci Microsoft Outlook nebo Outlook na webu (dříve označované jako Outlook Web App) obsahují typické zprávy pro ohrožené účty (například "Jsem zablokovaný v Londýně, pošli peníze.").
• Neobvyklé změny profilu Například jméno, telefonní číslo nebo aktualizace PSČ.
• Vícenásobné a časté změny hesel
• Nedávno přidané externí přeposílání e-mailů
• Neobvyklé podpisy e-mailových zpráv Například falešný bankovní podpis nebo podpis na předpis.

Musíte okamžitě prozkoumat, jestli uživatel hlásí tyto nebo jiné neobvyklé příznaky. Portál Microsoft Defender a Azure Portal nabízejí následující nástroje, které vám pomůžou prozkoumat podezřelou aktivitu na uživatelském účtu:

• Jednotné protokoly auditu na portálu Microsoft Defender: Filtrujte protokoly pro aktivitu pomocí rozsahu dat, který začíná bezprostředně před tím, než k podezřelé aktivitě došlo, až do dnešního dne. Během hledání nefiltrujte konkrétní aktivity. Další informace najdete v tématu Prohledávání protokolu auditování.

• Microsoft Entra protokoly přihlášení a další sestavy rizik v Centrum pro správu Microsoft Entra: Zkontrolujte hodnoty v těchto sloupcích:

  • Kontrola IP adresy
  • umístění pro přihlášení
  • časy přihlášení
  • Úspěšné nebo neúspěšné přihlášení

Důležité

Následující tlačítko umožňuje otestovat a identifikovat podezřelé aktivity účtu. Tyto informace můžete použít k obnovení napadeného účtu.

Spustit testy: Ohrožené účty

Zabezpečení a obnovení e-mailové funkce do ohroženého účtu a poštovní schránky Microsoftu 365

I poté, co uživatel znovu získá přístup ke svému účtu, může útočník zanechat záznamy back-door, které mohou znovu získat kontrolu nad účtem.

Pokud chcete znovu získat kontrolu nad účtem, proveďte všechny následující kroky. Projděte si kroky, jakmile máte podezření na problém a co nejrychleji, abyste se ujistili, že útočník znovu nezíská kontrolu nad účtem. Tyto kroky vám také pomůžou odebrat všechny back-doorové položky, které útočník přidal do účtu. Po provedení těchto kroků doporučujeme spustit kontrolu virů, abyste se ujistili, že klientský počítač není ohrožen.

Krok 1: Resetování hesla uživatele

Postupujte podle pokynů v tématu Resetování firemního hesla pro někoho.

Důležité

• Neposílejte uživateli nové heslo e-mailem, protože útočník má v tuto chvíli stále přístup k poštovní schránce.

• Nezapomeňte použít silné heslo: velká a malá písmena, aspoň jedno číslo a aspoň jeden speciální znak.

• I když to požadavek na historii hesel umožňuje, nepoužívejte opakovaně žádné z posledních pěti hesel. Použijte jedinečné heslo, které útočník nemůže uhodnout.

• Pokud je identita uživatele federovaná s Microsoftem 365, musíte změnit heslo účtu v místním prostředí a pak na ohrožení zabezpečení upozornit správce.

• Nezapomeňte aktualizovat hesla aplikací. Hesla aplikací se při resetování hesla neodvolá automaticky. Uživatel by měl odstranit stávající hesla aplikací a vytvořit nová. Pokyny najdete v tématu Správa hesel aplikací pro dvoustupňové ověřování.

• Důrazně doporučujeme, abyste pro účet povolili vícefaktorové ověřování (MFA). Vícefaktorové ověřování je dobrý způsob, jak zabránit zneužití účtu, a je velmi důležité pro účty s oprávněními správce. Pokyny najdete v tématu Nastavení vícefaktorového ověřování.

Krok 2: Odebrání podezřelých adres pro přeposílání e-mailů

1. V Centrum pro správu Microsoftu 365 v části https://admin.microsoft.compřejděte na Uživatelé>Aktivní uživatelé. Pokud chcete přejít přímo na stránku Aktivní uživatelé, použijte .https://admin.microsoft.com/Adminportal/Home#/users

2. Na stránce Aktivní uživatelé vyhledejte uživatelský účet a vyberte ho kliknutím kamkoli do jiného řádku, než je zaškrtávací políčko vedle jména.

3. V informačním rámečku podrobností, který se otevře, vyberte kartu Pošta .

4. Na kartě Pošta hodnota Použitá v části Email přeposílání označuje, že je pro účet nakonfigurované přeposílání pošty. Pokud ho chcete odebrat, postupujte následovně:

   • Vyberte Spravovat přeposílání e-mailů.
   • V rozevíracím seznamu Spravovat přeposílání e-mailů , které se otevře, zrušte zaškrtnutí políčka Přeposlat všechny e-maily odeslané do této poštovní schránky a pak vyberte Uložit změny.

Krok 3: Zakázání podezřelých pravidel doručené pošty

1. Přihlaste se k poštovní schránce uživatele pomocí Outlook na webu.

2. Vyberte Nastavení (ikona ozubeného kola), do pole Nastavení hledání zadejte "pravidla" a pak ve výsledcích vyberte Pravidla doručené pošty.

3. V informačním rámečku Pravidla , který se otevře, zkontrolujte existující pravidla a vypněte nebo odstraňte všechna podezřelá pravidla.

Krok 4: Odblokování odesílání pošty uživatelem

Pokud se účet použil k odesílání spamu nebo velkého množství e-mailů, je pravděpodobné, že poštovní schránka nemá možnost odesílat poštu.

Pokud chcete odblokovat odesílání e-mailů do poštovní schránky, postupujte podle pokynů v tématu Odebrání blokovaných uživatelů ze stránky Omezené entity.

Krok 5– Volitelné: Blokování přihlašování uživatelského účtu

Důležité

Přihlášení k účtu můžete zablokovat, dokud nebudete mít jistotu, že je bezpečné znovu povolit přístup.

1. Proveďte následující kroky v Centrum pro správu Microsoftu 365 na adrese https://admin.microsoft.com:

   1. Přejděte na Uživatelé>Aktivní uživatelé. Pokud chcete přejít přímo na stránku Aktivní uživatelé, použijte .https://admin.microsoft.com/Adminportal/Home#/users
   2. Na stránce Aktivní uživatelé vyhledejte a vyberte uživatelský účet v seznamu pomocí jednoho z následujících kroků:
      • Vyberte uživatele kliknutím na libovolné místo na jiném řádku, než je zaškrtávací políčko vedle jména. V informačním rámečku podrobností, který se otevře, vyberte Blokovat přihlášení v horní části informačního rámečku.
      • Vyberte uživatele zaškrtnutím políčka vedle jména. Vyberte Další akce>Upravit stav přihlášení.
   3. V rozevíracím rámečku Blokovat přihlášení , který se otevře, si přečtěte informace, vyberte Blokovat tomuto uživateli přihlášení, vyberte Uložit změny a pak v horní části informačního rámečku vyberte Zavřít .

2. V Centru pro správu Exchange (EAC) proveďte následující kroky na adrese https://admin.exchange.microsoft.com:

   1. Přejděte naPoštovní schránkypříjemců>. Pokud chcete přejít přímo na stránku Poštovní schránky , použijte https://admin.exchange.microsoft.com/#/mailboxes.

   2. Na stránce Správa poštovních schránek vyhledejte a vyberte uživatele v seznamu kliknutím na libovolném jiném řádku než na zaokrouhlené zaškrtávací políčko, které se zobrazí vedle jména.

   3. V informačním rámečku podrobností, který se otevře, proveďte následující kroky:

      1. Ověřte, že je vybraná karta Obecné a pak v části Email aplikace & mobilních zařízení vyberte Spravovat nastavení e-mailových aplikací.
      2. V rozevíracím rámečku Spravovat nastavení pro e-mailové aplikace , který se otevře, zakažte všechna dostupná nastavení změnou přepínačů na Zakázáno:
         • Desktopová aplikace Outlook (MAPI)
         • Webové služby Exchange
         • Mobilní zařízení (protokol Exchange ActiveSync)
         • IMAP
         • POP3
         • Outlook na webu

      Až skončíte v informačním rámečku Spravovat nastavení pro e-mailové aplikace , vyberte Uložit a pak v horní části informačního rámečku vyberte Zavřít .

Krok 6: Volitelné: Odebrání podezřelého ohroženého účtu ze všech rolí pro správu

Poznámka

Po zabezpečení účtu můžete obnovit členství uživatele v rolích pro správu.

1. V Centrum pro správu Microsoftu 365 na adrese https://admin.microsoft.comproveďte následující kroky:

   1. Přejděte na Uživatelé>Aktivní uživatelé. Pokud chcete přejít přímo na stránku Aktivní uživatelé, použijte .https://admin.microsoft.com/Adminportal/Home#/users

   2. Na stránce Aktivní uživatelé vyhledejte a vyberte uživatelský účet v seznamu pomocí jednoho z následujících kroků:

      • Vyberte uživatele kliknutím na libovolné místo na jiném řádku, než je zaškrtávací políčko vedle jména. V informačním rámečku podrobností, který se otevře, ověřte, že je vybraná karta Účet a pak v části Role vyberte Spravovat role.
      • Vyberte uživatele zaškrtnutím políčka vedle jména. Vyberte Další akce>Spravovat role.

   3. V informačním rámečku Spravovat role správců , který se otevře, proveďte následující kroky:

      • Poznamenejte si všechny informace, které chcete později obnovit.
      • Odeberte členství v roli správce výběrem možnosti Uživatel (bez přístupu k Centru pro správu).

      Až budete hotovi v informačním rámečku Spravovat role správců , vyberte Uložit změny.

2. Na portálu Microsoft Defender na adrese https://security.microsoft.comproveďte následující kroky:

   1. Přejděte na Oprávnění>Email & role> pro spolupráciRole. Nebo, pokud chcete přejít přímo na stránku Oprávnění, použijte https://security.microsoft.com/emailandcollabpermissions.

   2. Na stránce Oprávnění vyberte skupinu rolí ze seznamu tak, že zaškrtnete políčko vedle názvu (například Správa organizace) a pak vyberete Upravit akci, která se zobrazí.

   3. Na stránce Upravit členy skupiny rolí , která se otevře, zkontrolujte seznam členů. Pokud skupina rolí obsahuje uživatelský účet, odeberte uživatele tak, že zaškrtnete políčko vedle jména a pak vyberete Odebrat členy.

      Až skončíte na stránce Upravit členy skupiny rolí , vyberte Další.

   4. Na stránce Kontrola skupiny rolí a dokončení zkontrolujte informace a pak vyberte Uložit.

   5. Opakujte předchozí kroky pro každou skupinu rolí v seznamu.

3. V Centru pro správu Exchange na adrese https://admin.exchange.microsoft.com/proveďte následující kroky:

   1. Přejděte na Role>Správa role. Pokud chcete přejít přímo na stránku Správa rolí, použijte https://admin.exchange.microsoft.com/#/adminRoles.

   2. Na stránce Správa role vyberte skupinu rolí v seznamu kliknutím na libovolné místo v řádku, který se zobrazí vedle příslušného názvu.

   3. V informačním rámečku podrobností, který se otevře, vyberte kartu Přiřazeno a vyhledejte uživatelský účet. Pokud skupina rolí obsahuje uživatelský účet, proveďte následující kroky:

      1. Vyberte uživatelský účet zaškrtnutím kruhového políčka, které se zobrazí vedle jména.
      2. Vyberte zobrazenou akci Odstranit, v dialogovém okně s upozorněním vyberte Ano, odebrat a pak v horní části informačního rámečku vyberte Zavřít.

   4. Opakujte předchozí kroky pro každou skupinu rolí v seznamu.

Krok 7: Volitelné: Další preventivní kroky

1. Zkontrolujte obsah složky Odeslaná pošta účtu v Outlooku nebo Outlook na webu.

   Možná budete muset informovat kontakty uživatele, že došlo k ohrožení zabezpečení účtu. Útočník mohl například poslat zprávy s žádostí o peníze kontaktů nebo mohl poslat virus, aby napadl jeho počítače.

2. Jiné služby, které používají tento účet jako alternativní e-mailovou adresu, mohou být také ohroženy. Po provedení kroků v tomto článku pro účet v této organizaci Microsoft 365 proveďte odpovídající kroky v ostatních službách.

3. Ověřte kontaktní informace (například telefonní čísla a adresy) účtu.

Viz také

• Detekce a náprava pravidel Outlooku a útoků pomocí vlastních Forms injektáže v Microsoftu 365
• Detekce a náprava neoprávněných udělení souhlasu
• Internet Crime Complaint Center
• Komise pro cenné papíry a burzy – podvod "phishing"
• Pomocí doplňku Nahlásit zprávu můžete hlásit spamové e-maily přímo microsoftu nebo správcům (v závislosti na konfiguraci nastavení nahlášených uživateli ).