תגובה לחשבון דואר אלקטרוני שנחשף לסכנה

• חל על:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

עצה

הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 תוכנית 2 ללא תשלום? השתמש בגירסת הניסיון של Defender for Office 365 ל- 90 יום במרכז הניסיון של פורטל Microsoft Defender. למד מי יכול להירשם ולתנאי ניסיון כאן.

אישורים שולטים בגישה לתיבות דואר, נתונים ושירותים אחרים של Microsoft 365. כאשר מישהו גונב אישורים אלה, החשבון המשויך נחשב לסכנה.

לאחר שתוקף גונב את האישורים ומרוויח גישה לחשבון, הוא יכול לגשת לתיבת הדואר המשויכת של Microsoft 365, לתיקיות SharePoint או לקבצים ב- OneDrive של המשתמש. תוקפים משתמשים לעתים קרובות בתיבת הדואר שנחשף לסכנה כדי לשלוח דואר אלקטרוני כמשתמש המקורי לנמענים בתוך הארגון ומחוצה לו. תוקפים המשתמשים בדואר אלקטרוני כדי לשלוח נתונים לנמענים חיצוניים נקראים סינון נתונים.

מאמר זה מסביר את הסימפטומים של פשרה בחשבון וכיצד לקבל שוב שליטה בחשבון שנחשף לסכנה.

תסמינים של חשבון דואר אלקטרוני של Microsoft שנחשף לסכנה

המשתמשים עשויים בחין בפעילות חריגה בתיבות הדואר שלהם ב- Microsoft 365 ולדווח על פעילות חריגה. לדוגמה:

• פעילות חשודה, כגון דואר אלקטרוני חסר או נמחק.
• משתמשים המקבלים דואר אלקטרוני מהחשבון שנחשף לסכנה ללא הודעת הדואר האלקטרוני המתאימה בתיקיה 'פריטים שנשלחו' של השולח .
• כללי תיבת דואר נכנס חשודים. כללים אלה עשויים להעביר באופן אוטומטי דואר אלקטרוני לכתובות לא ידועות או להעביר הודעות לתיקיות 'הערות', 'דואר זבל' או 'מנויי RSS '.
• שם התצוגה של המשתמש משתנה ברשימת הכתובות הכללית.
• תיבת הדואר של המשתמש חסומה בשליחת דואר אלקטרוני.
• התיקיות 'פריטים שנשלחו' או 'פריטים שנמחקו' ב- Microsoft Outlook או ב- Outlook באינטרנט (שנקרא בעבר Outlook Web App) מכילות הודעות אופייניות עבור חשבונות שנחשף לסכנה (לדוגמה, "אני תקוע בלונדון, לשלוח כסף").
• שינויים לא שגרתיים בפרופיל. לדוגמה, עדכונים של שם, מספר טלפון או מיקוד.
• שינויים מרובים ותדירות בסיסמה.
• העברת דואר אלקטרוני חיצונית שנוספה לאחרונה.
• חתימות חריגות של הודעות דואר אלקטרוני. לדוגמה, חתימה בנקאית מזויפת או חתימת תרופות במרשם.

עליך לבדוק מיד אם משתמש מדווח על תסמינים אלה או על תסמינים חריגים אחרים. הפורטל של Microsoft Defender ופורטל Azure מציעים את הכלים הבאים שיעזרו לך לחקור פעילות חשודה בחשבון משתמש:

• יומני ביקורת מאוחדים בפורטל Microsoft Defender: סנן את יומני הרישום לצורך פעילות באמצעות טווח תאריכים המתחילה מיד לפני שהפעילות החשודה התרחשה עד היום. אל תלסנן פעילויות ספציפיות במהלך החיפוש. לקבלת מידע נוסף, ראה חיפוש ביומן הביקורת.

• יומני הכניסה של Microsoft Entra ודוחות סיכון אחרים במרכז הניהול של Microsoft Entra: בדוק את הערכים בעמודות אלה:

  • סקירת כתובת IP
  • מיקומי כניסה
  • שעות כניסה
  • הצלחה או כשל בכניסה

חשוב

הלחצן הבא מאפשר לך לבדוק ולזהות פעילות חשבון חשודה. באפשרותך להשתמש במידע זה כדי לשחזר חשבון שנחשף לסכנה.

הפעל בדיקות: חשבונות שנחשף לסכנה

אבטחה ושחזור של פונקציית דואר אלקטרוני לחשבון ותיבת דואר של Microsoft 365 שנחשף לסכנה

גם לאחר שהמשתמש יוכל לקבל שוב גישה לחשבון שלו, התוקף עשוי להשאיר רשומות של דלת אחורית, שעשויות להחזיר את השליטה על החשבון.

בצע את כל השלבים הבאים כדי לקבל שוב שליטה בחשבון. בצע את השלבים ברגע שאתה חושד בבעיה, ובמהירות האפשרית כדי להבטיח שתוקף לא יוכל לקבל שוב שליטה בחשבון. שלבים אלה גם מסייעים לך להסיר את כל הכניסה האחורית שהתוקף הוסיף לחשבון. לאחר ביצוע שלבים אלה, מומלץ להפעיל סריקת וירוסים כדי לוודא שמחשב הלקוח אינו נחשף לסכנה.

שלב 1: איפוס סיסמת המשתמש

בצע את ההליכים במאמר איפוס סיסמה עסקית עבור מישהו.

חשוב

• אל תשלח את הסיסמה החדשה למשתמש באמצעות דואר אלקטרוני, מכיוון שלתוקף עדיין יש גישה לתיבת הדואר בשלב זה.

• הקפד להשתמש בסיסמה חזקה: אותיות רישיות וקטנות, מספר אחד לפחות ותו מיוחד אחד לפחות.

• גם אם דרישת היסטוריית הסיסמאות מאפשרת זאת, אל תעשה שימוש חוזר בהן אף אחת מחמש הסיסמאות הבאות. השתמש בסיסמה ייחודית שתוקף אינו יכול לנחש.

• אם זהות המשתמש מאוחדת עם Microsoft 365, עליך לשנות את סיסמת החשבון בסביבה המקומית ולאחר מכן להודיע למנהל המערכת על הסכנה.

• הקפד לעדכן סיסמאות אפליקציה. סיסמאות אפליקציה אינן מתבטלות באופן אוטומטי בעת איפוס הסיסמה. המשתמש צריך למחוק סיסמאות קיימות של אפליקציות וליצור סיסמאות חדשות. לקבלת הוראות, ראה ניהול סיסמאות אפליקציה לאימות דו-שלבי.

• מומלץ מאוד להפוך אימות רב-גורמי (MFA) לזמין עבור החשבון. MFA הוא דרך טובה לסייע במניעת פשרה בחשבון, והיא חשובה מאוד עבור חשבונות בעלי הרשאות ניהול. לקבלת הוראות, ראה הגדרת אימות רב-גורמי.

שלב 2: הסרת כתובות חשודות להעברת דואר אלקטרוני

1. במרכז הניהול של Microsoft 365 ב- https://admin.microsoft.com, עבור אל משתמשים>פעילים. לחלופין, כדי לעבור ישירות לדף משתמשים פעילים , השתמש ב- https://admin.microsoft.com/Adminportal/Home#/users.

2. בדף משתמשים פעילים , אתר את חשבון המשתמש ובחר אותו על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון לצד השם.

3. בתפריט הנשלף של הפרטים שנפתח, בחר את הכרטיסיה דואר.

4. בכרטיסיה דואר , הערך שהוחל במקטע העברת דואר אלקטרוני מציין שהעברת דואר מוגדרת בחשבון. כדי להסיר אותו, בצע את השלבים הבאים:

   • בחר נהל העברת דואר אלקטרוני.
   • בתפריט הנשלף נהל העברת דואר אלקטרוני שנפתח, נקה את תיבת הסימון העבר את כל הדואר האלקטרוני שנשלח לתיבת דואר זו ולאחר מכן בחר שמור שינויים.

שלב 3: הפיכת כללי תיבת דואר נכנס חשודים ללא זמינים

1. היכנס לתיבת הדואר של המשתמש באמצעות Outlook באינטרנט.

2. בחר הגדרות (סמל גלגל שיניים), הזן 'כללים' בתיבה הגדרות חיפוש ולאחר מכן בחר כללי תיבת דואר נכנס בתוצאות.

3. בתפריט הנשלף כללים שנפתח, סקור את הכללים הקיימים ובטל או מחק כללים חשודים.

שלב 4: ביטול חסימת המשתמש לשליחת דואר

אם החשבון שימש לשליחת דואר זבל או נפח דואר אלקטרוני רב, ייתכן שתיבת הדואר חסומה בשליחת דואר.

כדי לבטל חסימה של תיבת דואר לשליחת דואר אלקטרוני, בצע את ההליכים במאמר הסרת משתמשים חסומים מהדף ישויות מוגבלות.

שלב 5 אופציונלי: חסימת חשבון המשתמש מפני כניסה

חשוב

באפשרותך לחסום את הכניסה של החשבון עד שתאמין שניתן להפעיל מחדש את הגישה.

1. בצע את השלבים הבאים במרכז הניהול של Microsoft 365 בכתובת https://admin.microsoft.com:

   1. עבור אל משתמשים>פעילים. לחלופין, כדי לעבור ישירות לדף משתמשים פעילים , השתמש ב- https://admin.microsoft.com/Adminportal/Home#/users.
   2. בדף משתמשים פעילים , אתר ובחר את חשבון המשתמש מהרשימה על-ידי ביצוע אחד מהפעולות הבאות:
      • בחר את המשתמש על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון לצד השם. בתפריט הנשלף של הפרטים שנפתח, בחר חסום כניסה בחלק העליון של התפריט הנשלף.
      • בחר את המשתמש על-ידי בחירה בתיבת הסימון לצד השם. בחר פעולות נוספות>ערוך מצב כניסה.
   3. בתפריט הנשלף חסום כניסה שנפתח, קרא את המידע, בחר חסום משתמש זה מפני כניסה, בחר שמור שינויים ולאחר מכן בחר סגור בחלק העליון של התפריט הנשלף.

2. בצע את השלבים הבאים במרכז הניהול של Exchange (EAC) בכתובת https://admin.exchange.microsoft.com:

   1. עבור אל תיבות דואר>של נמענים. לחלופין, כדי לעבור ישירות לדף 'תיבות דואר ', השתמש ב- https://admin.exchange.microsoft.com/#/mailboxes.

   2. בדף ניהול תיבות דואר , חפש ובחר את המשתמש מהרשימה על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון המעוגלת שמופיעה לצד השם.

   3. בתפריט הנשלף של הפרטים שנפתח, בצע את השלבים הבאים:

      1. ודא שהכרטיסיה כללי נבחרה ולאחר מכן בחר ניהול הגדרות של אפליקציות דואר אלקטרוני במקטע אפליקציות דואר & למכשירים ניידים.
      2. בתפריט הנשלף נהל הגדרות עבור יישומי דואר אלקטרוני שנפתח, הפוך את כל ההגדרות הזמינות ללא זמינות על-ידי שינוי הלחצן הדו-מצבי ללא זמין:
         • שולחן העבודה של Outlook (MAPI)
         • שירותי אינטרנט של Exchange
         • מכשירים ניידים (Exchange ActiveSync)
         • IMAP
         • POP3 (POP3)
         • Outlook באתר

      לאחר שתסיים בתפריט הנשלף נהל הגדרות עבור יישומי דואר אלקטרוני, בחר שמור ולאחר מכן בחר סגור בחלק העליון של התפריט הנשלף.

שלב 6 אופציונלי: הסרת החשבון הנחשף לסכנה מכל תפקידי הניהול

הערה

באפשרותך לשחזר את החברות של המשתמש בתפקידי ניהול לאחר שהחשבון מאובטח.

1. במרכז הניהול של Microsoft 365 ב- , בצע את https://admin.microsoft.comהשלבים הבאים:

   1. עבור אל משתמשים>פעילים. לחלופין, כדי לעבור ישירות לדף משתמשים פעילים , השתמש ב- https://admin.microsoft.com/Adminportal/Home#/users.

   2. בדף משתמשים פעילים , אתר ובחר את חשבון המשתמש מהרשימה על-ידי ביצוע אחד מהפעולות הבאות:

      • בחר את המשתמש על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון לצד השם. בתפריט הנשלף של הפרטים שנפתח, ודא שהכרטיסיה חשבון נבחרה ולאחר מכן בחר נהל תפקידים במקטע תפקידים.
      • בחר את המשתמש על-ידי בחירה בתיבת הסימון לצד השם. בחר פעולות נוספות>נהל תפקידים.

   3. בתפריט הנשלף ניהול תפקידי מנהל מערכת שנפתח, בצע את השלבים הבאים:

      • תעד את כל המידע שברצונך לשחזר מאוחר יותר.
      • הסר חברות בתפקיד ניהול על-ידי בחירת משתמש (אין גישה למרכז הניהול).

      לאחר שתסיים בתפריט הנשלף ניהול תפקידי מנהל מערכת, בחר שמור שינויים.

2. בפורטל Microsoft Defender ב- https://security.microsoft.com, בצע את הפעולות הבאות:

   1. עבור אל הרשאות דואר אלקטרוני>& תפקידי שיתוף>פעולה. לחלופין, כדי לעבור ישירות לדף הרשאות, השתמש https://security.microsoft.com/emailandcollabpermissions.

   2. בדף הרשאות, בחר קבוצת תפקידים מהרשימה על-ידי בחירה בתיבת הסימון לצד השם (לדוגמה, ניהול ארגון) ולאחר מכן בחירה בפעולה Edit שמופיעה.

   3. בדף עריכת חברים של קבוצת התפקידים שנפתח , סקור את רשימת החברים. אם קבוצת התפקידים מכילה את חשבון המשתמש, הסר את המשתמש על-ידי בחירה בתיבת הסימון לצד השם ולאחר מכן בחירה באפשרות הסר חברים.

      לאחר שתסיים בדף ערוך חברים בקבוצת התפקידים , בחר הבא

   4. בדף סקירת קבוצת התפקידים והסיום , סקור את המידע ולאחר מכן בחר שמור.

   5. חזור על השלבים הקודמים עבור כל קבוצת תפקידים ברשימה.

3. במרכז הניהול של Exchange ב- https://admin.exchange.microsoft.com/, בצע את השלבים הבאים:

   1. עבור אל תפקידי ניהול>תפקידים. לחלופין, כדי לעבור ישירות לדף תפקידי מנהל מערכת, השתמש ב- https://admin.exchange.microsoft.com/#/adminRoles.

   2. בדף תפקידי ניהול , בחר קבוצת תפקידים מהרשימה על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון המעוגלת שמופיעה לצד השם.

   3. בתפריט הנשלף של הפרטים שנפתח, בחר בכרטיסיה מוקצה ולאחר מכן חפש את חשבון המשתמש. אם קבוצת התפקידים מכילה את חשבון המשתמש, בצע את השלבים הבאים:

      1. בחר את חשבון המשתמש על-ידי בחירה בתיבת הסימון המעוגלת שמופיעה לצד השם.
      2. בחר את הפעולה מחק שמופיעה, בחר כן, הסר בתיבת הדו-שיח של האזהרה ולאחר מכן בחר סגור בחלק העליון של התפריט הנשלף.

   4. חזור על השלבים הקודמים עבור כל קבוצת תפקידים ברשימה.

שלב 7 אופציונלי: שלבים נוספים לאמצעי זהירות

1. אמת את התוכן של התיקיה ' פריטים שנשלחו' של החשבון ב- Outlook או ב- Outlook באינטרנט.

   ייתכן שיהיה עליך להודיע לאנשי הקשר של המשתמש שהחשבון נחשף לסכנה. לדוגמה, ייתכן שתוקף שלח הודעות המבקשות כסף לאנשי קשר, או שתוקף שלח וירוס כדי לחטוף את המחשבים שלו.

2. שירותים אחרים המשתמשים בחשבון זה ככתובת דואר אלקטרוני חלופית עלולים גם הם להיחשף לסכנה. לאחר שתבצע את השלבים המפורטים במאמר זה עבור החשבון בארגון Microsoft 365 זה, בצע את השלבים המתאימים בשירותים האחרים.

3. אמת את פרטי הקשר (לדוגמה, מספרי טלפון וכתובות) של החשבון.

למידע נוסף

• זיהוי ותיקון של כללי Outlook ותקיפות של זריקות טפסים מותאמים אישית ב- Microsoft 365
• זיהוי ותיקון של מענקים להסכמה לא מפורשת
• מרכז תלונה על פשעי אינטרנט
• ניירות ערך ו- Exchange Commission - הונאות "דיוג"
• השתמש בתוספת 'דווח על הודעה' כדי לדווח על דואר זבל ישירות ל- Microsoft ו/או למנהלי מערכת (בהתאם לאופן שבו הוגדר הגדרות שדווחו על-ידי המשתמש).