Vaarantuneelle sähköpostitilille vastaaminen

• Koskee seuraavia::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lue lisätietoja siitä, kuka voi rekisteröityä, ja kokeiluversion ehdot täältä.

Microsoft 365 -postilaatikoiden, tietojen ja muiden palvelujen käyttöä hallitaan tunnistetiedoilla (esimerkiksi käyttäjänimi ja salasana tai PIN-koodi). Kun joku muu kuin aiottu käyttäjä varastaa nämä tunnistetiedot, siihen liittyvä tili katsotaan vaarantuneeksi.

Kun hyökkääjä on varastanut tunnistetiedot ja pääsee käyttämään tiliä, hän voi käyttää siihen liittyvää Microsoft 365 -postilaatikkoa, SharePoint-kansioita tai tiedostoja käyttäjän OneDrivessa. Hyökkääjät käyttävät usein vaarantunneita postilaatikoita sähköpostin lähettämiseen alkuperäisenä käyttäjänä vastaanottajille organisaation sisä- ja ulkopuolella. Hyökkääjiä, jotka käyttävät sähköpostia tietojen lähettämiseen ulkoisille vastaanottajille, kutsutaan tietojen suodattimeksi.

Tässä artikkelissa kerrotaan tilin vaarantumisen oireista ja siitä, miten vaarantunut tili voidaan palauttaa hallintaan.

Microsoftin sähköpostitilin vaarantumisen oireet

Käyttäjät saattavat huomata ja ilmoittaa epätavallisesta toiminnasta Microsoft 365 -postilaatikoissaan. Esimerkki:

• Epäilyttävä toiminta, kuten puuttuva tai poistettu sähköpostiviesti.
• Käyttäjät, jotka saavat sähköpostia vaarantuneelta tililtä ilman vastaavaa sähköpostia lähettäjän Lähetetyt-kansiossa .
• Saapuneet-kansion säännöt, joita käyttäjä tai järjestelmänvalvoja ei ole luonut. Nämä säännöt saattavat lähettää sähköpostia automaattisesti tuntemattomiin osoitteisiin tai siirtää viestejä Muistiinpanot-, Roskaposti- tai RSS-tilaukset-kansioihin.
• Käyttäjän näyttönimi on muutettu yleisessä osoiteluettelossa.
• Käyttäjän postilaatikkoa on estetty lähettämästä sähköpostia.
• Lähetetyt- tai Poistetut-kansiot Microsoft Outlookissa tai Outlookin verkkoversio (tunnettiin aiemmin nimellä Outlook Web App) sisältävät tyypillisiä viestejä vaarantuneille tileille (esimerkiksi "Olen jumissa Lontoossa, lähetä rahaa").
• Epätavallisia profiilimuutoksia. Esimerkiksi nimi, puhelinnumero tai postinumero päivittyy.
• Useita salasanoja ja usein tehtyjä muutoksia.
• Sähköpostin edelleenlähetys lisättiin äskettäin.
• Epätavallisia allekirjoituksia lisättiin äskettäin. Esimerkiksi väärennetty pankkiallekirjoitus tai reseptilääkkeen allekirjoitus.

Jos käyttäjä ilmoittaa näistä oireista tai muista epätavallisista oireista, tutki asiaa. Microsoft Defender portaali ja Azure-portaali tarjoavat seuraavat työkalut, joiden avulla voit tutkia epäilyttävää toimintaa käyttäjätilillä.

• Yhdistetyt valvontalokit Microsoft Defender portaalissa: Suodata lokit toiminnan mukaan käyttämällä päivämääräaluetta, joka alkaa välittömästi ennen epäilyttävän toiminnan ilmenemistä tähän päivään asti. Älä suodata tiettyjä toimintoja haun aikana. Lisätietoja on valvontalokin Haku kohdassa.

• Microsoft Entra kirjautumislokit ja muut riskiraportit Microsoft Entra -hallintakeskus: Tutki näiden sarakkeiden arvot:

  • Tarkista IP-osoite
  • kirjautumissijainnit
  • kirjautumisajat
  • sisäänkirjautuminen onnistui tai epäonnistui

Tärkeää

Seuraavan painikkeen avulla voit testata ja tunnistaa epäilyttävän tilin toiminnan. Näiden tietojen avulla voit palauttaa vaarantuneet tilit.

Suorita testejä: vaarantuneet tilit

Suojaa ja palauta sähköpostitoiminto vaarantuneelle Microsoft 365 -tilille ja -postilaatikolle

Vaikka käyttäjä on saanut tilinsä käyttöoikeuden takaisin, hyökkääjä on saattanut jättää takaoven merkinnät, joiden avulla hyökkääjä voi jatkaa tilin hallintaa.

Voit palauttaa tilin hallinnan tekemällä kaikki seuraavat vaiheet. Käy vaiheet läpi heti, kun epäilet ongelmaa, ja varmista mahdollisimman nopeasti, ettei hyökkääjä jatka tilin hallintaa. Näiden vaiheiden avulla voit myös poistaa kaikki takaoven merkinnät, jotka hyökkääjä on saattanut lisätä tiliin. Kun olet tehnyt nämä vaiheet, suosittelemme, että suoritat virustarkistuksen varmistaaksesi, ettei asiakastietokone ole vaarantunut.

Vaihe 1: Käyttäjän salasanan vaihtaminen

Noudata ohjeita kohdassa Yrityksen salasanan palauttaminen.

Tärkeää

• Älä lähetä uutta salasanaa käyttäjälle sähköpostitse, koska hyökkääjällä on edelleen pääsy postilaatikkoon tässä vaiheessa.

• Muista käyttää vahvaa salasanaa: isoja ja pieniä kirjaimia, vähintään yksi numero ja vähintään yksi erikoismerkki.

• Vaikka salasanahistoriavaatimus sallisi sen, älä käytä viittä edellistä salasanaa uudelleen. Käytä yksilöllistä salasanaa, jota hyökkääjä ei voi arvata.

• Jos paikallinen käyttäjätieto on liitetty Microsoft 365:een, sinun on vaihdettava paikallisen tilin salasana paikallisesti ja ilmoitettava sitten järjestelmänvalvojalle kompromissista.

• Muista päivittää sovelluksen salasanat. Sovelluksen salasanoja ei peruuteta automaattisesti, kun palautat salasanan. Käyttäjän tulee poistaa olemassa olevat sovelluksen salasanat ja luoda uusia. Katso ohjeet kohdasta Kaksivaiheisen vahvistuksen sovellusten salasanojen hallinta.

• Suosittelemme erittäin, että otat käyttöön monimenetelmäisen todentamisen (MFA) tilille. Monimenetelmäinen todentaminen on hyvä tapa estää tilin vaarantuminen, ja se on erittäin tärkeä tileille, joilla on järjestelmänvalvojan oikeudet. Katso ohjeet kohdasta Monimenetelmäisen todentamisen määrittäminen.

Vaihe 2: Poista epäilyttävät sähköpostin edelleenlähetysosoitteet

1. Siirry Microsoft 365 -hallintakeskus osoitteessa https://admin.microsoft.comkohtaan Käyttäjät Aktiiviset>käyttäjät. Voit myös siirtyä suoraan Aktiiviset käyttäjät -sivulle valitsemalla https://admin.microsoft.com/Adminportal/Home#/users.

2. Etsi Aktiiviset käyttäjät -sivulta käyttäjätili ja valitse se napsauttamalla mitä tahansa muuta rivin kohtaa kuin nimen vieressä olevaa valintaruutua.

3. Valitse avautuvasta Tiedot-pikaikkunasta Sähköposti-välilehti .

4. Sähköpostin edelleenlähetysosiossakäytetty arvo ilmaisee, että sähköpostin edelleenlähetys on määritetty tilillä.

   Valitse Hallitse sähköpostiviestien edelleenlähetystä, poista Lähetä edelleen kaikki tähän postilaatikkoon lähetetyt sähköpostiviestit -valintaruudun valinta näyttöön avautuvassa Sähköpostin edelleenlähetysten hallinta -pikaikkunassa ja valitse sitten Tallenna muutokset.

Vaihe 3: Poista epäilyttävät Saapuneet-kansion säännöt käytöstä

1. Kirjaudu käyttäjän postilaatikkoon Outlookin verkkoversio.

2. Valitse Asetukset (rataskuvake), kirjoita säännöt Haku-ruutuun ja valitse sitten tuloksista Saapuneet-kansion säännöt.

3. Tarkista avautuvan pikaikkunan Säännöt-välilehdeltä olemassa olevat säännöt ja poista epäilyttävät säännöt käytöstä tai poista ne.

Vaihe 4: Poista käyttäjän sähköpostin lähettämisen esto

Jos tiliä käytettiin roskapostin tai suuren sähköpostimäärän lähettämiseen, postilaatikon lähettäminen on todennäköisesti estetty.

Voit poistaa sähköpostin lähettämisen eston noudattamalla estettyjen käyttäjien poistamisen ohjeita Rajoitetut entiteetit -sivulla.

Vaihe 5 Valinnainen: Estä käyttäjätiliä kirjautumasta sisään

Tärkeää

Voit estää tiliä kirjautumasta sisään, kunnes uskot, että on turvallista ottaa käyttöoikeus uudelleen käyttöön.

1. Toimi seuraavasti Microsoft 365 -hallintakeskus kohdassa https://admin.microsoft.com:

   1. Siirry kohtaan Käyttäjät Aktiiviset>käyttäjät. Voit myös siirtyä suoraan Aktiiviset käyttäjät -sivulle valitsemalla https://admin.microsoft.com/Adminportal/Home#/users.
   2. Etsi ja valitse käyttäjätili Aktiiviset käyttäjät -sivulla luettelosta tekemällä jokin seuraavista toimista:
      • Valitse käyttäjä napsauttamalla mitä tahansa muuta rivin kohtaa kuin nimen vieressä olevaa valintaruutua. Valitse avautuvasta tiedot-pikaikkunasta Estä sisäänkirjautuminen pikaikkunan yläreunasta.
      • Valitse käyttäjä valitsemalla nimen vieressä oleva valintaruutu. Valitse Lisää toimintoja>Muokkaa kirjautumistilaa.
   3. Lue tiedot avautuvasta Estä sisäänkirjautuminen -pikaikkunasta, valitse Estä tämä käyttäjä kirjautumasta sisään, valitse Tallenna muutokset ja valitse sitten pikaikkunan yläreunasta Sulje.

2. Toimi seuraavasti Exchange-hallintakeskuksessa (EAC) osoitteessa https://admin.exchange.microsoft.com:

   1. ValitseVastaanottajat-postilaatikot>. Voit myös siirtyä suoraan Postilaatikot-sivulle valitsemalla https://admin.exchange.microsoft.com/#/mailboxes.
   2. Etsi ja valitse käyttäjä Postilaatikot-sivulla luettelosta tekemällä jokin seuraavista toimista:
      • Valitse käyttäjä napsauttamalla mitä tahansa muuta rivin kohtaa kuin nimen vieressä näkyvää pyöreää valintaruutua.
      • Valitse käyttäjä valitsemalla nimen vieressä näkyvä pyöreä valintaruutu ja valitsemalla sitten sivulla näkyvä Muokkaa-toiminto.
   3. Toimi näyttöön avautuvassa tiedot-pikaikkunassa seuraavasti:

      1. Varmista, että Yleiset-välilehti on valittuna, ja valitse sitten Sähköpostisovellukset & mobiililaitteiden kohdassa Sähköpostisovellusten hallinta.

      2. Poista kaikki käytettävissä olevat asetukset käytöstä näyttöön avautuvassa Sähköpostisovellusten asetusten hallinta -pikaikkunassa muuttamalla asetukseksi Poistettu käytöstä:

         • Outlookin työpöytä (MAPI)
         • Exchange-verkkopalvelut
         • Mobiililaite (Exchange ActiveSync)
         • IMAP
         • POP3
         • Outlookin verkkoversio

         Kun olet valmis sähköpostisovellusten hallinta -pikaikkunassa, valitse Tallenna ja valitse sitten pikaikkunan yläreunasta Sulje.

Vaihe 6 Valinnainen: Poista epäilty vaarantunut tili kaikista järjestelmänvalvojan rooliryhmistä

Huomautus

Voit palauttaa käyttäjän jäsenyyden järjestelmänvalvojan rooliryhmissä, kun tili on suojattu.

1. Toimi Microsoft 365 -hallintakeskus osoitteessa https://admin.microsoft.comseuraavasti:

   1. Siirry kohtaan Käyttäjät Aktiiviset>käyttäjät. Voit myös siirtyä suoraan Aktiiviset käyttäjät -sivulle valitsemalla https://admin.microsoft.com/Adminportal/Home#/users.

   2. Etsi ja valitse käyttäjätili Aktiiviset käyttäjät -sivulla luettelosta tekemällä jokin seuraavista toimista:

      • Valitse käyttäjä napsauttamalla mitä tahansa muuta rivin kohtaa kuin nimen vieressä olevaa valintaruutua. Varmista avautuvassa Tiedot-pikaikkunassa, että Tili-välilehti on valittuna, ja valitse sitten Roolien hallinta -osiosta Roolit .
      • Valitse käyttäjä valitsemalla nimen vieressä oleva valintaruutu. Valitse Lisää toimintoja>Roolien hallinta.

   3. Toimi näyttöön avautuvassa Järjestelmänvalvojan roolien hallinta -pikaikkunassa seuraavasti:

      • Tallenna tiedot, jotka haluat palauttaa myöhemmin.
      • Poista järjestelmänvalvojan roolin jäsenyys valitsemalla Käyttäjä (ei hallintakeskuksen käyttöoikeuksia).

      Kun olet valmis Järjestelmänvalvojaroolien hallinta -pikaikkunassa, valitse Tallenna muutokset.

2. Toimi seuraavasti Microsoft Defender-portaalissa osoitteessahttps://security.microsoft.com:

   1. Siirry kohtaan Käyttöoikeudet Sähköposti>& yhteistyöroolien roolit>. Tai jos haluat siirtyä suoraan Käyttöoikeudet-sivulle, käytä osoitetta https://security.microsoft.com/emailandcollabpermissions.
   2. Valitse Käyttöoikeudet-sivulla rooliryhmä luettelosta.
   3. Etsi käyttäjätili avautuvan Tiedot-pikaikkunan Jäsenet-osiosta. Jos rooliryhmä sisältää käyttäjätilin, toimi seuraavasti:
      1. Valitse Jäsenet-osassaMuokkaa.
      2. Valitse avautuvan pikaikkunan Valitse jäsenet -välilehdessä Muokkaa.
      3. Valitse avautuvasta Valitse jäsenet -pikaikkunasta Poista.
      4. Valitse avautuvasta Jäsenet-osiosta käyttäjätili valitsemalla nimen vieressä oleva valintaruutu, valitse Poista ja valitse sitten Valmis.
      5. Valitse Muokkaa Valitse jäsenet -pikaikkunassa Tallenna.
      6. Valitse rooliryhmän tietojen pikaikkunassa Sulje.
   4. Toista edelliset vaiheet kullekin luettelon rooliryhmälle.

3. Toimi Exchange-hallintakeskuksessa osoitteessa https://admin.exchange.microsoft.com/seuraavasti:

   1. Valitse Roolit>Hallinta roolit. Voit myös siirtyä suoraan Hallinta roolien sivulle valitsemalla https://admin.exchange.microsoft.com/#/adminRoles.

   2. Valitse Hallinta roolit -sivulla rooliryhmä luettelosta napsauttamalla mitä tahansa rivin jotakin muuta kohtaa kuin nimen vieressä näkyvää pyöreää valintaruutua.

   3. Valitse avautuvasta Tiedot-pikaikkunasta Määritetty-välilehti ja etsi sitten käyttäjätili. Jos rooliryhmä sisältää käyttäjätilin, toimi seuraavasti:

      1. Valitse käyttäjätili.
      2. Valitse näyttöön avautuva Poista-toiminto, valitse Kyllä, poista varoitusikkunasta ja valitse sitten pikaikkunan yläosasta Sulje.

   4. Toista edelliset vaiheet kullekin luettelon rooliryhmälle.

Vaihe 7 Valinnainen: Lisävarotoimet

1. Tarkista tilin Lähetetyt-kansion sisältö Outlookissa tai Outlookin verkkoversio.

   Sinun on ehkä ilmoitettava yhteystietoluettelosi käyttäjille, että tilisi on vaarantunut. Hyökkääjä on esimerkiksi saattanut lähettää viestejä, joissa hän pyytää yhteyshenkilöiltäsi rahaa, tai hyökkääjä on saattanut lähettää viruksen kaapatakseen tietokoneensa.

2. Myös muiden tätä tiliä vaihtoehtoisena sähköpostitilinä käyttävien palveluiden tilit ovat saattaneet vaarantua. Kun olet tehnyt tämän artikkelin vaiheet tämän Microsoft 365 -organisaation tilille, suorita nämä vaiheet muille tileillesi.

3. Tarkista tilin yhteystiedot (esimerkiksi puhelinnumerot ja osoitteet).

Tutustu myös seuraaviin ohjeartikkeleihin:

• Tunnista ja korjaa Outlookin säännöt ja mukautetut Forms -lisäyshyökkäykset Microsoft 365:ssä
• Tunnista ja korjaa laittomat suostumusavustukset
• Internet-rikosvalituskeskus
• Arvopaperi- ja pörssikomissio - tietojenkalastelupetokset
• Roskapostin ilmoittaminen suoraan Microsoftille ja järjestelmänvalvojallesi Raporttiviesti-apuohjelman avulla