תגובה לחשבון דואר אלקטרוני שנחשף לסכנה

• חל על:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

עצה

הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון כאן.

הגישה לתיבות דואר, נתונים ושירותים אחרים של Microsoft 365 נשלטת על-ידי אישורים (לדוגמה, שם משתמש וסיסמה או מספר זיהוי אישי). כאשר משתמש שאינו המשתמש המיועד גונב אישורים אלה, החשבון המשויך נחשב לסכנה.

לאחר שתוקף גונב את האישורים ומרוויח גישה לחשבון, הוא יכול לגשת לתיבת הדואר המשויכת של Microsoft 365, לתיקיות SharePoint או לקבצים ב- OneDrive של המשתמש. תוקפים משתמשים לעתים קרובות בתיבת הדואר שנחשף לסכנה כדי לשלוח דואר אלקטרוני כמשתמש המקורי לנמענים בתוך הארגון ומחוצה לו. תוקפים המשתמשים בדואר אלקטרוני כדי לשלוח נתונים לנמענים חיצוניים נקראים סינון נתונים.

מאמר זה מסביר את הסימפטומים של פשרה בחשבון וכיצד לקבל שוב שליטה בחשבון שנחשף לסכנה.

תסמינים של חשבון דואר אלקטרוני של Microsoft שנחשף לסכנה

המשתמשים עשויים בחין בפעילות חריגה בתיבות הדואר שלהם ב- Microsoft 365 ולדווח על פעילות חריגה. לדוגמה:

• פעילות חשודה, כגון דואר אלקטרוני חסר או נמחק.
• משתמשים המקבלים דואר אלקטרוני מהחשבון שנחשף לסכנה ללא הודעת הדואר האלקטרוני המתאימה בתיקיה 'פריטים שנשלחו' של השולח .
• כללי תיבת דואר נכנס שלא נוצרו על-ידי המשתמש או מנהלי המערכת. כללים אלה עשויים להעביר באופן אוטומטי דואר אלקטרוני לכתובות לא ידועות או להעביר הודעות לתיקיות 'הערות', 'דואר זבל' או 'מנויי RSS '.
• שם התצוגה של המשתמש משתנה ברשימת הכתובות הכללית.
• תיבת הדואר של המשתמש חסומה בשליחת דואר אלקטרוני.
• התיקיות 'פריטים שנשלחו' או 'פריטים שנמחקו' ב- Microsoft Outlook או ב- Outlook באינטרנט (שנקרא בעבר Outlook Web App) מכילות הודעות אופייניות עבור חשבונות שנחשף לסכנה (לדוגמה, "אני תקוע בלונדון, לשלוח כסף").
• שינויים לא שגרתיים בפרופיל. לדוגמה, עדכונים של שם, מספר טלפון או מיקוד דואר.
• שינויים מרובים ותדירות בסיסמה.
• העברת דואר נוספה לאחרונה.
• חתימות לא שגרתיות נוספו לאחרונה. לדוגמה, חתימה בנקאית מזויפת או חתימת תרופות במרשם.

אם משתמש מדווח על תסמינים אלה או על תסמינים חריגים אחרים, עליך לחקור. הפורטל Microsoft Defender התכלת מציעים את הכלים הבאים כדי לעזור לך לחקור פעילות חשודה בחשבון משתמש.

• יומני ביקורת מאוחדים בפורטל Microsoft Defender: סנן את יומני הרישום לצורך פעילות באמצעות טווח תאריכים המתחילה מיד לפני שהפעילות החשודה התרחשה עד היום. אל תלסנן פעילויות ספציפיות במהלך החיפוש. לקבלת מידע נוסף, חיפוש ביומן הביקורת.

• Microsoft Entra רישום כניסה ודוחות סיכון אחרים מרכז הניהול של Microsoft Entra: בדוק את הערכים בעמודות אלה:

  • סקירת כתובת IP
  • מיקומי כניסה
  • שעות כניסה
  • הצלחה או כשל בכניסה

חשוב

הלחצן הבא מאפשר לך לבדוק ולזהות פעילות חשבון חשודה. באפשרותך להשתמש במידע זה כדי לשחזר חשבון שנחשף לסכנה.

הפעל בדיקות: חשבונות שנחשף לסכנה

אבטחה ושחזור של פונקציית דואר אלקטרוני לחשבון ותיבת דואר של Microsoft 365 שנחשף לסכנה

גם לאחר שהמשתמש קיבל שוב גישה לחשבון שלו, ייתכן שהתוקף השאיר ערכי דלת אחורית שמאפשרים לתוקף לחדש את השליטה בחשבון.

בצע את כל השלבים הבאים כדי לקבל שוב שליטה בחשבון. בצע את השלבים ברגע שאתה חושד בבעיה, ובמהירות האפשרית כדי לוודא שתוקף אינו מחדש את השליטה בחשבון. שלבים אלה גם עוזרים לך להסיר את כל הערכים בדלת האחורית שהתוקף הוסיף לחשבון. לאחר ביצוע שלבים אלה, מומלץ להפעיל סריקת וירוסים כדי לוודא שמחשב הלקוח אינו נחשף לסכנה.

שלב 1: איפוס סיסמת המשתמש

בצע את ההליכים במאמר איפוס סיסמה עסקית עבור מישהו.

חשוב

• אל תשלח את הסיסמה החדשה למשתמש באמצעות דואר אלקטרוני, מכיוון שלתוקף עדיין יש גישה לתיבת הדואר בשלב זה.

• הקפד להשתמש בסיסמה חזקה: אותיות רישיות וקטנות, מספר אחד לפחות ותו מיוחד אחד לפחות.

• גם אם דרישת היסטוריית הסיסמאות מאפשרת זאת, אל תעשה שימוש חוזר בהן אף אחת מחמש הסיסמאות הבאות. השתמש בסיסמה ייחודית שתוקף אינו יכול לנחש.

• אם הזהות המקומית מאוחדת עם Microsoft 365, עליך לשנות את סיסמת החשבון המקומי באופן מקומי ולאחר מכן להודיע למנהל המערכת על הסכנה.

• הקפד לעדכן סיסמאות אפליקציה. סיסמאות אפליקציה אינן מתבטלות באופן אוטומטי בעת איפוס הסיסמה. המשתמש צריך למחוק סיסמאות קיימות של אפליקציות וליצור סיסמאות חדשות. לקבלת הוראות, ראה ניהול סיסמאות אפליקציה לאימות דו-שלבי.

• מומלץ מאוד להפוך אימות רב-גורמי (MFA) לזמין עבור החשבון. MFA הוא דרך טובה לסייע במניעת פשרה בחשבון, והיא חשובה מאוד עבור חשבונות בעלי הרשאות ניהול. לקבלת הוראות, ראה הגדרת אימות רב-גורמי.

שלב 2: הסרת כתובות חשודות להעברת דואר אלקטרוני

1. בכרטיסיה מרכז הניהול של Microsoft 365 , https://admin.microsoft.comעבור אל משתמשים פעילים>. לחלופין, כדי לעבור ישירות לדף משתמשים פעילים , השתמש ב- https://admin.microsoft.com/Adminportal/Home#/users.

2. בדף משתמשים פעילים , אתר את חשבון המשתמש ובחר אותו על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון לצד השם.

3. בתפריט הנשלף של הפרטים שנפתח, בחר את הכרטיסיה דואר.

4. הערך שהוחל במקטע העברת דואר אלקטרוני מציין שהעברת דואר מוגדרת בחשבון.

   בחר נהל העברת דואר אלקטרוני, נקה את תיבת הסימון העבר את כל הדואר האלקטרוני שנשלח לתיבת דואר זו בתפריט הנשלף נהל העברת דואר אלקטרוני שנפתח ולאחר מכן בחר שמור שינויים.

שלב 3: הפיכת כללי תיבת דואר נכנס חשודים ללא זמינים

1. היכנס לתיבת הדואר של המשתמש באמצעות Outlook באינטרנט.

2. בחר הגדרות (סמל גלגל שיניים), הזן 'כללים' בתיבה 'חיפוש' ולאחר מכן בחר כללי תיבת דואר נכנס מהתוצאות.

3. בכרטיסיה כללים של התפריט הנשלף שנפתח, סקור את הכללים הקיימים ובטל או מחק כללים חשודים.

שלב 4: ביטול חסימת המשתמש לשליחת דואר

אם החשבון שימש לשליחת דואר זבל או נפח דואר אלקטרוני רב, ייתכן שתיבת הדואר נחסמה בשליחת דואר.

כדי לבטל חסימה של תיבת דואר לשליחת דואר אלקטרוני, בצע את ההליכים במאמר הסרת משתמשים חסומים מהדף ישויות מוגבלות.

שלב 5 אופציונלי: חסימת חשבון המשתמש מפני כניסה

חשוב

באפשרותך לחסום את הכניסה של החשבון עד שתאמין שניתן להפעיל מחדש את הגישה.

1. בצע את השלבים הבאים מרכז הניהול של Microsoft 365 בכתובת https://admin.microsoft.com:

   1. עבור אל משתמשים>פעילים. לחלופין, כדי לעבור ישירות לדף משתמשים פעילים , השתמש ב- https://admin.microsoft.com/Adminportal/Home#/users.
   2. בדף משתמשים פעילים , אתר ובחר את חשבון המשתמש מהרשימה על-ידי ביצוע אחד מהפעולות הבאות:
      • בחר את המשתמש על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון לצד השם. בתפריט הנשלף של הפרטים שנפתח, בחר חסום כניסה בחלק העליון של התפריט הנשלף.
      • בחר את המשתמש על-ידי בחירה בתיבת הסימון לצד השם. בחר פעולות נוספות>ערוך מצב כניסה.
   3. בתפריט הנשלף חסום כניסה שנפתח, קרא את המידע, בחר חסום משתמש זה מפני כניסה, בחר שמור שינויים ולאחר מכן בחר סגור בחלק העליון של התפריט הנשלף.

2. בצע את השלבים הבאים במרכז הניהול של Exchange (EAC) בכתובת https://admin.exchange.microsoft.com:

   1. עבור אל תיבות דואר>של נמענים. לחלופין, כדי לעבור ישירות לדף 'תיבות דואר ', השתמש ב- https://admin.exchange.microsoft.com/#/mailboxes.
   2. בדף תיבות דואר , אתר ובחר את המשתמש מהרשימה על-ידי ביצוע אחד מהפעולות הבאות:
      • בחר את המשתמש על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון המעוגלת שמופיעה לצד השם.
      • בחר את המשתמש על-ידי בחירה בתיבת הסימון המעוגלת שמופיעה לצד השם ולאחר מכן בחירה בפעולה ערוך המופיעה בדף.
   3. בתפריט הנשלף של הפרטים שנפתח, בצע את השלבים הבאים:

      1. ודא שהכרטיסיה כללי נבחרה ולאחר מכן בחר ניהול הגדרות של אפליקציות דואר אלקטרוני במקטע אפליקציות דואר & למכשירים ניידים.

      2. בתפריט הנשלף נהל הגדרות עבור יישומי דואר אלקטרוני שנפתח, הפוך את כל ההגדרות הזמינות ללא זמינות על-ידי שינוי הלחצן הדו-מצבי ללא זמין:

         • שולחן העבודה של Outlook (MAPI)
         • שירותי אינטרנט של Exchange
         • נייד (Exchange ActiveSync)
         • Imap
         • POP3 (POP3)
         • Outlook באתר

         לאחר שתסיים בתפריט הנשלף נהל הגדרות עבור יישומי דואר אלקטרוני, בחר שמור ולאחר מכן בחר סגור בחלק העליון של התפריט הנשלף.

שלב 6 אופציונלי: הסרת החשבון הנחשף לסכנה מכל קבוצות התפקידים הניהוליים

הערה

באפשרותך לשחזר את החברות של המשתמש בקבוצות תפקידים ניהוליים לאחר שהחשבון מאובטח.

1. בתיבת הדו מרכז הניהול של Microsoft 365 ב- https://admin.microsoft.com, בצע את השלבים הבאים:

   1. עבור אל משתמשים>פעילים. לחלופין, כדי לעבור ישירות לדף משתמשים פעילים , השתמש ב- https://admin.microsoft.com/Adminportal/Home#/users.

   2. בדף משתמשים פעילים , אתר ובחר את חשבון המשתמש מהרשימה על-ידי ביצוע אחד מהפעולות הבאות:

      • בחר את המשתמש על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון לצד השם. בתפריט הנשלף של הפרטים שנפתח, ודא שהכרטיסיה חשבון נבחרה ולאחר מכן בחר נהל תפקידים במקטע תפקידים.
      • בחר את המשתמש על-ידי בחירה בתיבת הסימון לצד השם. בחר פעולות נוספות>נהל תפקידים.

   3. בתפריט הנשלף ניהול תפקידי מנהל מערכת שנפתח, בצע את השלבים הבאים:

      • תעד את כל המידע שברצונך לשחזר מאוחר יותר.
      • הסר חברות בתפקיד ניהול על-ידי בחירת משתמש (אין גישה למרכז הניהול).

      לאחר שתסיים בתפריט הנשלף ניהול תפקידי מנהל מערכת, בחר שמור שינויים.

2. בפורטל Microsoft Defender ב- https://security.microsoft.com, בצע את השלבים הבאים:

   1. עבור אל הרשאות דואר אלקטרוני>& תפקידי שיתוף>פעולה. לחלופין, כדי לעבור ישירות לדף הרשאות, השתמש https://security.microsoft.com/emailandcollabpermissions.
   2. בדף הרשאות , בחר קבוצת תפקידים מהרשימה.
   3. חפש את חשבון המשתמש במקטע חברים בתפריט הנשלף של הפרטים שנפתח. אם קבוצת התפקידים מכילה את חשבון המשתמש, בצע את השלבים הבאים:
      1. במקטע חברים , בחר ערוך.
      2. בכרטיסיה בחירת חברים בתפריט הנשלף שנפתח, בחר ערוך.
      3. בתפריט הנשלף בחר חברים שנפתח, בחר הסר.
      4. במקטע חברים שמופיע , בחר את חשבון המשתמש על-ידי בחירה בתיבת הסימון לצד השם, בחר הסר ולאחר מכן בחר סיום.
      5. בתפריט הנשלף בחירת חברים של עריכה, בחר שמור.
      6. בתפריט הנשלף של פרטי קבוצת התפקידים, בחר סגור.
   4. חזור על השלבים הקודמים עבור כל קבוצת תפקידים ברשימה.

3. במרכז הניהול של Exchange ב- https://admin.exchange.microsoft.com/, בצע את השלבים הבאים:

   1. עבור אל תפקידים>מרכז הניהול תפקידים. לחלופין, כדי לעבור ישירות לדף מרכז הניהול, השתמש ב- https://admin.exchange.microsoft.com/#/adminRoles.

   2. בדף מרכז הניהול, בחר קבוצת תפקידים מהרשימה על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון המעוגלת שמופיעה לצד השם.

   3. בתפריט הנשלף של הפרטים שנפתח, בחר בכרטיסיה מוקצה ולאחר מכן חפש את חשבון המשתמש. אם קבוצת התפקידים מכילה את חשבון המשתמש, בצע את השלבים הבאים:

      1. בחר את חשבון המשתמש.
      2. בחר את הפעולה מחק שמופיעה, בחר כן, הסר בתיבת הדו-שיח של האזהרה ולאחר מכן בחר סגור בחלק העליון של התפריט הנשלף.

   4. חזור על השלבים הקודמים עבור כל קבוצת תפקידים ברשימה.

שלב 7 אופציונלי: שלבים נוספים לאמצעי זהירות

1. אמת את התוכן של התיקיה 'פריטים שנשלחו' של החשבון ב- Outlook או Outlook באינטרנט.

   ייתכן שיהיה עליך ליידע אנשים ברשימת אנשי הקשר שלך שהחשבון שלך נחשף לסכנה. לדוגמה, ייתכן שתוקף שלח הודעות המבקשות כסף לאנשי הקשר שלך, או שתוקף שלח וירוס כדי לחטוף את המחשבים שלו.

2. ייתכן גם שהחשבונות עבור שירותים אחרים המשתמשים בחשבון זה כחשבון דואר אלקטרוני חלופי נחשפו לסכנה. לאחר שתבצע את השלבים המפורטים במאמר זה עבור החשבון בארגון Microsoft 365 זה, בצע שלבים אלה עבור החשבונות האחרים שלך.

3. אמת את פרטי הקשר (לדוגמה, מספרי טלפון וכתובות) של החשבון.

למידע נוסף

• זיהוי ותיקון של כללי Outlook ותקיפות של Forms זריקות ב- Microsoft 365
• זיהוי ותיקון של מענקים להסכמה לא מפורשת
• מרכז תלונה על פשעי אינטרנט
• ניירות ערך ו- Exchange Commission - הונאות "דיוג"
• כדי לדווח על דואר זבל ישירות ל- Microsoft ולמנהל המערכת שלך השתמש בתוספת 'דווח על הודעה'