Válasz egy feltört e-mail-fiókra
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.
A Microsoft 365-postaládákhoz, -adatokhoz és más szolgáltatásokhoz való hozzáférést hitelesítő adatok (például felhasználónév, jelszó vagy PIN-kód) vezérlik. Ha a kívánt felhasználótól eltérő személy ellopja ezeket a hitelesítő adatokat, a társított fiók sérültnek minősül.
Miután egy támadó ellopja a hitelesítő adatokat, és hozzáférést szerez a fiókhoz, hozzáférhet a kapcsolódó Microsoft 365-postaládához, SharePoint-mappákhoz vagy fájlokhoz a felhasználó OneDrive-ján. A támadók gyakran használják a feltört postaládát arra, hogy eredeti felhasználóként e-mailt küldjenek a szervezeten belüli és kívüli címzetteknek. A külső címzetteknek adatokat küldő támadókat adatkiszivárgásnak nevezzük.
Ez a cikk ismerteti a fiókok feltörésének tüneteit, és azt, hogyan szerezheti vissza a feltört fiók feletti irányítást.
Feltört Microsoft-e-mail fiók tünetei
A felhasználók szokatlan tevékenységet tapasztalhatnak és jelenthetnek a Microsoft 365-postaládájukban. Például:
- Gyanús tevékenység, például hiányzó vagy törölt e-mail.
- Azok a felhasználók, akik a feltört fiókból kapnak e-mailt a feladó Elküldött elemek mappájában lévő megfelelő e-mail nélkül.
- Olyan levelezési szabályok, amelyeket nem a felhasználó vagy a rendszergazdák hoztak létre. Ezek a szabályok automatikusan továbbíthatják az e-maileket ismeretlen címekre, vagy áthelyezhetik az üzeneteket a Jegyzetek, a Levélszemét Email vagy az RSS-előfizetések mappába.
- A felhasználó megjelenítendő neve módosul a globális címlistában.
- A felhasználó postaládája nem küld e-maileket.
- Az Elküldött elemek vagy a Törölt elemek mappa a Microsoft Outlookban vagy a Webes Outlook (korábbi nevén Outlook Web App) tipikus üzeneteket tartalmaz a feltört fiókokhoz (például "Londonban ragadtam, pénzt kérek").
- Szokatlan profilmódosítások. Ilyen például a név, a telefonszám vagy az irányítószám frissítése.
- Több és gyakori jelszómódosítás.
- Nemrég adták hozzá az e-mail-továbbítást.
- A közelmúltban szokatlan aláírásokat adtak hozzá. Például egy hamis banki aláírás vagy egy vényköteles gyógyszer aláírása.
Ha egy felhasználó jelenti ezeket a tüneteket vagy más szokatlan tüneteket, érdemes kivizsgálni. A Microsoft Defender portál és a Azure Portal az alábbi eszközöket kínálják a felhasználói fiókok gyanús tevékenységeinek kivizsgálásához.
Egyesített auditnaplók a Microsoft Defender portálon: Szűrje a naplókat tevékenységre egy olyan dátumtartomány használatával, amely közvetlenül a gyanús tevékenység máig történő bekövetkezése előtt kezdődik. Ne szűrjön adott tevékenységekre a keresés során. További információ: Keresés az auditnaplóban.
bejelentkezési naplók és egyéb kockázati jelentések Microsoft Entra a Microsoft Entra felügyeleti központ: Az alábbi oszlopok értékeinek vizsgálata:
- IP-cím áttekintése
- bejelentkezési helyek
- bejelentkezési időpontok
- sikeres vagy sikertelen bejelentkezés
Fontos
Az alábbi gomb lehetővé teszi a gyanús fióktevékenységek tesztelését és azonosítását. Ez az információ egy feltört fiók helyreállításához használható.
Az e-mail-funkció biztonságossá és visszaállítható egy feltört Microsoft 365-fiókba és -postaládába
Még akkor is, ha a felhasználó visszanyeri a hozzáférését a fiókjához, előfordulhat, hogy a támadó olyan bejegyzéseket hagyott hátra, amelyek lehetővé teszik a támadó számára a fiók feletti ellenőrzés folytatását.
Az alábbi lépések végrehajtásával visszaszerezheti a fiók feletti irányítást. Haladjon végig a lépéseken, amint problémára gyanakszik, és a lehető leggyorsabban győződjön meg arról, hogy a támadó nem folytatja a fiók irányítását. Ezek a lépések segítenek eltávolítani azokat a hátsó ajtó bejegyzéseket is, amelyeket a támadó esetleg hozzáadott a fiókhoz. A lépések elvégzése után javasoljuk, hogy futtasson vírusvizsgálatot, hogy az ügyfélszámítógép biztonsága ne sérüljön.
1. lépés: A felhasználó jelszavának alaphelyzetbe állítása
Kövesse az Üzleti jelszó alaphelyzetbe állítása valakinek című témakörben ismertetett lépéseket.
Fontos
Ne küldje el az új jelszót a felhasználónak e-mailben, mert a támadó jelenleg is hozzáfér a postaládához.
Ügyeljen arra, hogy erős jelszót használjon: kis- és nagybetűket, legalább egy számot és legalább egy speciális karaktert.
Még ha a jelszóelőzményekre vonatkozó követelmény megengedi is, ne használja újra az utolsó öt jelszót. Használjon egyedi jelszót, amelyet a támadó nem talál ki.
Ha a helyszíni identitás össze van kapcsolva a Microsoft 365-tel, módosítania kell a helyszíni fiók jelszavát a helyszínen, majd értesítenie kell a rendszergazdát a biztonsági sérülésről.
Mindenképpen frissítse az alkalmazásjelszavakat. Az alkalmazásjelszavak nem lesznek automatikusan visszavonva a jelszó alaphelyzetbe állításakor. A felhasználónak törölnie kell a meglévő alkalmazásjelszavakat, és újakat kell létrehoznia. Útmutatásért lásd: Alkalmazásjelszavak kezelése kétlépéses ellenőrzéshez.
Erősen ajánlott engedélyezni a többtényezős hitelesítést (MFA) a fiókhoz. Az MFA jó módszer a fiókok biztonságának sérülésének megelőzésére, és nagyon fontos a rendszergazdai jogosultságokkal rendelkező fiókok esetében. Útmutatásért lásd: Többtényezős hitelesítés beállítása.
2. lépés: Gyanús e-mail-továbbítási címek eltávolítása
A Microsoft 365 Felügyeleti központ https://admin.microsoft.comlépjen azAktív felhasználók területre>. Vagy ha közvetlenül az Aktív felhasználók lapra szeretne lépni, használja a következőt https://admin.microsoft.com/Adminportal/Home#/users: .
Az Aktív felhasználók lapon keresse meg a felhasználói fiókot, és jelölje ki úgy, hogy a név melletti jelölőnégyzeten kívül bárhová kattint.
A megnyíló részletes úszó panelen válassza a Levelek lapot.
A Email továbbítás szakaszban alkalmazott érték azt jelzi, hogy az e-mail-továbbítás konfigurálva van a fiókon.
Válassza az E-mail-továbbítás kezelése lehetőséget, törölje a jelet A postaládába küldött összes e-mail továbbítása jelölőnégyzetből a megnyíló E-mail-továbbítás kezelése úszó panelen, majd válassza a Módosítások mentése lehetőséget.
3. lépés: Gyanús levelezési szabályok letiltása
Jelentkezzen be a felhasználó postaládájába a Webes Outlook használatával.
Válassza a Beállítások (fogaskerék ikon) lehetőséget, írja be a "szabályok" kifejezést a Keresés mezőbe, majd válassza a Beérkezett üzenetek szabályai lehetőséget a találatok közül.
A megnyíló úszó panel Szabályok lapján tekintse át a meglévő szabályokat, és kapcsolja ki vagy törölje a gyanús szabályokat.
4. lépés: A felhasználó e-mailek küldésének tiltásának feloldása
Ha a fiókot levélszemét vagy nagy mennyiségű e-mail küldéséhez használták, akkor valószínű, hogy a postaláda nem tudott e-maileket küldeni.
Ha fel szeretné oldani a postaláda e-mailek küldésének letiltását, kövesse a Letiltott felhasználók eltávolítása a Korlátozott entitások lapról című témakörben ismertetett lépéseket.
5. lépés: Nem kötelező: A felhasználói fiók bejelentkezésének letiltása
Fontos
Letilthatja a fiók bejelentkezését, amíg úgy nem gondolja, hogy biztonságosan újra engedélyezheti a hozzáférést.
Hajtsa végre a következő lépéseket a Microsoft 365 Felügyeleti központ:https://admin.microsoft.com
- Lépjen azAktív felhasználók területre>. Vagy ha közvetlenül az Aktív felhasználók lapra szeretne lépni, használja a következőt https://admin.microsoft.com/Adminportal/Home#/users: .
- Az Aktív felhasználók lapon keresse meg és válassza ki a felhasználói fiókot a listából az alábbi lépések egyikével:
- Jelölje ki a felhasználót úgy, hogy a név melletti jelölőnégyzeten kívül bárhová kattint a sorban. A megnyíló részletes úszó panelen válassza a Bejelentkezés letiltása lehetőséget az úszó panel tetején.
- Jelölje ki a felhasználót a név melletti jelölőnégyzet bejelölésével. Válassza a További műveletek>Bejelentkezési állapot szerkesztése lehetőséget.
- A megnyíló Bejelentkezés letiltása úszó panelen olvassa el az információkat, válassza a Felhasználó bejelentkezésének letiltása, majd a Módosítások mentése lehetőséget, majd az úszó panel tetején a Bezárás lehetőséget.
Hajtsa végre a következő lépéseket az Exchange Felügyeleti központban (EAC) a következő címen https://admin.exchange.microsoft.com:
- Lépjen a Címzettek postaládák>elemre. Vagy ha közvetlenül a Postaládák lapra szeretne lépni, használja a parancsot https://admin.exchange.microsoft.com/#/mailboxes.
- A Postaládák lapon keresse meg és válassza ki a felhasználót a listából az alábbi lépések egyikével:
- Jelölje ki a felhasználót úgy, hogy a név mellett megjelenő kerek jelölőnégyzeten kívül bárhová kattint a sorban.
- Jelölje ki a felhasználót a név mellett megjelenő kerek jelölőnégyzet bejelölésével, majd válassza a lapon megjelenő Szerkesztés műveletet.
- A megnyíló részletes úszó panelen hajtsa végre a következő lépéseket:
Ellenőrizze, hogy az Általános lap van-e kiválasztva, majd válassza a Levelezési alkalmazások beállításainak kezelése lehetőséget a Email alkalmazások & mobileszközök szakaszban.
A megnyíló E-mail-alkalmazások beállításainak kezelése úszó panelen tiltsa le az összes elérhető beállítást úgy, hogy a kapcsolókat Letiltva értékre állítja:
- Asztali Outlook (MAPI)
- Webes Exchange-szolgáltatások
- Mobil (Exchange ActiveSync protokoll)
- IMAP
- POP3
- Webes Outlook
Ha végzett a Levelezési alkalmazások beállításainak kezelése úszó panelen, válassza a Mentés, majd a Bezárás lehetőséget az úszó panel tetején.
6. lépés: Nem kötelező: Távolítsa el a vélhetően feltört fiókot az összes felügyeleti szerepkörcsoportból
Megjegyzés:
A fiók biztonságát követően visszaállíthatja a felhasználó tagságát a felügyeleti szerepkörcsoportokban.
A Microsoft 365 Felügyeleti központ https://admin.microsoft.comhajtsa végre a következő lépéseket:
Lépjen azAktív felhasználók területre>. Vagy ha közvetlenül az Aktív felhasználók lapra szeretne lépni, használja a következőt https://admin.microsoft.com/Adminportal/Home#/users: .
Az Aktív felhasználók lapon keresse meg és válassza ki a felhasználói fiókot a listából az alábbi lépések egyikével:
- Jelölje ki a felhasználót úgy, hogy a név melletti jelölőnégyzeten kívül bárhová kattint a sorban. A megnyíló részletes úszó panelen ellenőrizze, hogy a Fiók lap van-e kiválasztva, majd válassza a Szerepkörök kezelése lehetőséget a Szerepkörök szakaszban.
- Jelölje ki a felhasználót a név melletti jelölőnégyzet bejelölésével. Válassza a További műveletek>Szerepkörök kezelése lehetőséget.
A megnyíló Rendszergazdai szerepkörök kezelése úszó panelen hajtsa végre a következő lépéseket:
- Jegyezze fel a később visszaállítani kívánt adatokat.
- Távolítsa el a rendszergazdai szerepkör tagságát a Felhasználó (nincs felügyeleti központ-hozzáférés) lehetőség kiválasztásával.
Ha végzett a Rendszergazdai szerepkörök kezelése úszó panelen, válassza a Módosítások mentése lehetőséget.
A Microsoft Defender portálon https://security.microsoft.comhajtsa végre a következő lépéseket:
- Lépjen az Engedélyek>Email & együttműködési szerepkörök>Szerepkörök területre. Vagy lépjen közvetlenül az Engedélyek lapra a(z) https://security.microsoft.com/emailandcollabpermissions használatával.
- Az Engedélyek lapon válasszon ki egy szerepkörcsoportot a listából.
- Keresse meg a felhasználói fiókot a megnyíló részletes úszó panel Tagok szakaszában. Ha a szerepkörcsoport tartalmazza a felhasználói fiókot, hajtsa végre a következő lépéseket:
- A Tagok szakaszban válassza a Szerkesztés lehetőséget.
- A megnyíló úszó panel Tagok kiválasztása lapján válassza a Szerkesztés lehetőséget.
- A megnyíló Tagok kiválasztása úszó panelen válassza az Eltávolítás lehetőséget.
- A megjelenő Tagok szakaszban jelölje ki a felhasználói fiókot a név melletti jelölőnégyzet bejelölésével, válassza az Eltávolítás, majd a Kész lehetőséget.
- A Szerkesztés tagok kiválasztása úszó panelen válassza a Mentés lehetőséget.
- A szerepkörcsoport részleteit tartalmazó úszó panelen válassza a Bezárás lehetőséget.
- Ismételje meg az előző lépéseket a listában szereplő egyes szerepkörcsoportok esetében.
Az Exchange Felügyeleti központban https://admin.exchange.microsoft.com/hajtsa végre a következő lépéseket:
Lépjen a Szerepkörök>Rendszergazda szerepkörök elemre. Vagy ha közvetlenül a Rendszergazda szerepkörök lapjára szeretne lépni, használja a következőthttps://admin.exchange.microsoft.com/#/adminRoles: .
A Rendszergazda szerepkörök lapon válasszon ki egy szerepkörcsoportot a listából úgy, hogy a név mellett megjelenő kerek jelölőnégyzettől eltérő tetszőleges helyre kattint.
A megnyíló részletes úszó panelen válassza a Hozzárendelt lapot, majd keresse meg a felhasználói fiókot. Ha a szerepkörcsoport tartalmazza a felhasználói fiókot, hajtsa végre a következő lépéseket:
- Válassza ki a felhasználói fiókot.
- Válassza ki a megjelenő Törlés műveletet, válassza az Igen, eltávolítás lehetőséget a figyelmeztető párbeszédpanelen, majd válassza a Bezárás lehetőséget az úszó panel tetején.
Ismételje meg az előző lépéseket a listában szereplő egyes szerepkörcsoportok esetében.
7. lépés: Nem kötelező: További óvintézkedések
Ellenőrizze a fiók Elküldött elemek mappájának tartalmát az Outlookban vagy Webes Outlook.
Előfordulhat, hogy tájékoztatnia kell a partnerlistán szereplő személyeket arról, hogy a fiókját feltörték. Előfordulhat például, hogy a támadó olyan üzeneteket küldött, amelyek pénzt kérnek a partnereitől, vagy a támadó vírust küldött a számítógépeik eltérítéséhez.
Előfordulhat, hogy a fiókot alternatív e-mail-fiókként használó egyéb szolgáltatások fiókjai is sérültek. Miután elvégezte a jelen cikk lépéseit a Microsoft 365-ös szervezet fiókjához, végezze el ezeket a lépéseket a többi fiókjához is.
Ellenőrizze a fiók kapcsolattartási adatait (például telefonszámokat és címeket).
Lásd még
- Outlook-szabályok és egyéni űrlapinjektálási támadások észlelése és elhárítása a Microsoft 365-ben
- Tiltott hozzájárulási támogatások észlelése és orvoslása
- Internetes bűnügyi panaszközpont
- Securities and Exchange Commission - "Adathalászat" csalás
- Ha közvetlenül a Microsoftnak és a rendszergazdának szeretne levélszemét-jelentést küldeni , használja a Jelentési üzenet bővítményt
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: