Válasz egy feltört e-mail-fiókra

• A következőre érvényes::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

A Microsoft 365-postaládákhoz, -adatokhoz és más szolgáltatásokhoz való hozzáférést hitelesítő adatok (például felhasználónév, jelszó vagy PIN-kód) vezérlik. Ha a kívánt felhasználótól eltérő személy ellopja ezeket a hitelesítő adatokat, a társított fiók sérültnek minősül.

Miután egy támadó ellopja a hitelesítő adatokat, és hozzáférést szerez a fiókhoz, hozzáférhet a kapcsolódó Microsoft 365-postaládához, SharePoint-mappákhoz vagy fájlokhoz a felhasználó OneDrive-ján. A támadók gyakran használják a feltört postaládát arra, hogy eredeti felhasználóként e-mailt küldjenek a szervezeten belüli és kívüli címzetteknek. A külső címzetteknek adatokat küldő támadókat adatkiszivárgásnak nevezzük.

Ez a cikk ismerteti a fiókok feltörésének tüneteit, és azt, hogyan szerezheti vissza a feltört fiók feletti irányítást.

Feltört Microsoft-e-mail fiók tünetei

A felhasználók szokatlan tevékenységet tapasztalhatnak és jelenthetnek a Microsoft 365-postaládájukban. Például:

• Gyanús tevékenység, például hiányzó vagy törölt e-mail.
• Azok a felhasználók, akik a feltört fiókból kapnak e-mailt a feladó Elküldött elemek mappájában lévő megfelelő e-mail nélkül.
• Olyan levelezési szabályok, amelyeket nem a felhasználó vagy a rendszergazdák hoztak létre. Ezek a szabályok automatikusan továbbíthatják az e-maileket ismeretlen címekre, vagy áthelyezhetik az üzeneteket a Jegyzetek, a Levélszemét Email vagy az RSS-előfizetések mappába.
• A felhasználó megjelenítendő neve módosul a globális címlistában.
• A felhasználó postaládája nem küld e-maileket.
• Az Elküldött elemek vagy a Törölt elemek mappa a Microsoft Outlookban vagy a Webes Outlook (korábbi nevén Outlook Web App) tipikus üzeneteket tartalmaz a feltört fiókokhoz (például "Londonban ragadtam, pénzt kérek").
• Szokatlan profilmódosítások. Ilyen például a név, a telefonszám vagy az irányítószám frissítése.
• Több és gyakori jelszómódosítás.
• Nemrég adták hozzá az e-mail-továbbítást.
• A közelmúltban szokatlan aláírásokat adtak hozzá. Például egy hamis banki aláírás vagy egy vényköteles gyógyszer aláírása.

Ha egy felhasználó jelenti ezeket a tüneteket vagy más szokatlan tüneteket, érdemes kivizsgálni. A Microsoft Defender portál és a Azure Portal az alábbi eszközöket kínálják a felhasználói fiókok gyanús tevékenységeinek kivizsgálásához.

• Egyesített auditnaplók a Microsoft Defender portálon: Szűrje a naplókat tevékenységre egy olyan dátumtartomány használatával, amely közvetlenül a gyanús tevékenység máig történő bekövetkezése előtt kezdődik. Ne szűrjön adott tevékenységekre a keresés során. További információ: Keresés az auditnaplóban.

• bejelentkezési naplók és egyéb kockázati jelentések Microsoft Entra a Microsoft Entra felügyeleti központ: Az alábbi oszlopok értékeinek vizsgálata:

  • IP-cím áttekintése
  • bejelentkezési helyek
  • bejelentkezési időpontok
  • sikeres vagy sikertelen bejelentkezés

Fontos

Az alábbi gomb lehetővé teszi a gyanús fióktevékenységek tesztelését és azonosítását. Ez az információ egy feltört fiók helyreállításához használható.

Tesztek futtatása: Feltört fiókok

Az e-mail-funkció biztonságossá és visszaállítható egy feltört Microsoft 365-fiókba és -postaládába

Még akkor is, ha a felhasználó visszanyeri a hozzáférését a fiókjához, előfordulhat, hogy a támadó olyan bejegyzéseket hagyott hátra, amelyek lehetővé teszik a támadó számára a fiók feletti ellenőrzés folytatását.

Az alábbi lépések végrehajtásával visszaszerezheti a fiók feletti irányítást. Haladjon végig a lépéseken, amint problémára gyanakszik, és a lehető leggyorsabban győződjön meg arról, hogy a támadó nem folytatja a fiók irányítását. Ezek a lépések segítenek eltávolítani azokat a hátsó ajtó bejegyzéseket is, amelyeket a támadó esetleg hozzáadott a fiókhoz. A lépések elvégzése után javasoljuk, hogy futtasson vírusvizsgálatot, hogy az ügyfélszámítógép biztonsága ne sérüljön.

1. lépés: A felhasználó jelszavának alaphelyzetbe állítása

Kövesse az Üzleti jelszó alaphelyzetbe állítása valakinek című témakörben ismertetett lépéseket.

Fontos

• Ne küldje el az új jelszót a felhasználónak e-mailben, mert a támadó jelenleg is hozzáfér a postaládához.

• Ügyeljen arra, hogy erős jelszót használjon: kis- és nagybetűket, legalább egy számot és legalább egy speciális karaktert.

• Még ha a jelszóelőzményekre vonatkozó követelmény megengedi is, ne használja újra az utolsó öt jelszót. Használjon egyedi jelszót, amelyet a támadó nem talál ki.

• Ha a helyszíni identitás össze van kapcsolva a Microsoft 365-tel, módosítania kell a helyszíni fiók jelszavát a helyszínen, majd értesítenie kell a rendszergazdát a biztonsági sérülésről.

• Mindenképpen frissítse az alkalmazásjelszavakat. Az alkalmazásjelszavak nem lesznek automatikusan visszavonva a jelszó alaphelyzetbe állításakor. A felhasználónak törölnie kell a meglévő alkalmazásjelszavakat, és újakat kell létrehoznia. Útmutatásért lásd: Alkalmazásjelszavak kezelése kétlépéses ellenőrzéshez.

• Erősen ajánlott engedélyezni a többtényezős hitelesítést (MFA) a fiókhoz. Az MFA jó módszer a fiókok biztonságának sérülésének megelőzésére, és nagyon fontos a rendszergazdai jogosultságokkal rendelkező fiókok esetében. Útmutatásért lásd: Többtényezős hitelesítés beállítása.

2. lépés: Gyanús e-mail-továbbítási címek eltávolítása

1. A Microsoft 365 Felügyeleti központ https://admin.microsoft.comlépjen azAktív felhasználók területre>. Vagy ha közvetlenül az Aktív felhasználók lapra szeretne lépni, használja a következőt https://admin.microsoft.com/Adminportal/Home#/users: .

2. Az Aktív felhasználók lapon keresse meg a felhasználói fiókot, és jelölje ki úgy, hogy a név melletti jelölőnégyzeten kívül bárhová kattint.

3. A megnyíló részletes úszó panelen válassza a Levelek lapot.

4. A Email továbbítás szakaszban alkalmazott érték azt jelzi, hogy az e-mail-továbbítás konfigurálva van a fiókon.

   Válassza az E-mail-továbbítás kezelése lehetőséget, törölje a jelet A postaládába küldött összes e-mail továbbítása jelölőnégyzetből a megnyíló E-mail-továbbítás kezelése úszó panelen, majd válassza a Módosítások mentése lehetőséget.

3. lépés: Gyanús levelezési szabályok letiltása

1. Jelentkezzen be a felhasználó postaládájába a Webes Outlook használatával.

2. Válassza a Beállítások (fogaskerék ikon) lehetőséget, írja be a "szabályok" kifejezést a Keresés mezőbe, majd válassza a Beérkezett üzenetek szabályai lehetőséget a találatok közül.

3. A megnyíló úszó panel Szabályok lapján tekintse át a meglévő szabályokat, és kapcsolja ki vagy törölje a gyanús szabályokat.

4. lépés: A felhasználó e-mailek küldésének tiltásának feloldása

Ha a fiókot levélszemét vagy nagy mennyiségű e-mail küldéséhez használták, akkor valószínű, hogy a postaláda nem tudott e-maileket küldeni.

Ha fel szeretné oldani a postaláda e-mailek küldésének letiltását, kövesse a Letiltott felhasználók eltávolítása a Korlátozott entitások lapról című témakörben ismertetett lépéseket.

5. lépés: Nem kötelező: A felhasználói fiók bejelentkezésének letiltása

Fontos

Letilthatja a fiók bejelentkezését, amíg úgy nem gondolja, hogy biztonságosan újra engedélyezheti a hozzáférést.

1. Hajtsa végre a következő lépéseket a Microsoft 365 Felügyeleti központ:https://admin.microsoft.com

   1. Lépjen azAktív felhasználók területre>. Vagy ha közvetlenül az Aktív felhasználók lapra szeretne lépni, használja a következőt https://admin.microsoft.com/Adminportal/Home#/users: .
   2. Az Aktív felhasználók lapon keresse meg és válassza ki a felhasználói fiókot a listából az alábbi lépések egyikével:
      • Jelölje ki a felhasználót úgy, hogy a név melletti jelölőnégyzeten kívül bárhová kattint a sorban. A megnyíló részletes úszó panelen válassza a Bejelentkezés letiltása lehetőséget az úszó panel tetején.
      • Jelölje ki a felhasználót a név melletti jelölőnégyzet bejelölésével. Válassza a További műveletek>Bejelentkezési állapot szerkesztése lehetőséget.
   3. A megnyíló Bejelentkezés letiltása úszó panelen olvassa el az információkat, válassza a Felhasználó bejelentkezésének letiltása, majd a Módosítások mentése lehetőséget, majd az úszó panel tetején a Bezárás lehetőséget.

2. Hajtsa végre a következő lépéseket az Exchange Felügyeleti központban (EAC) a következő címen https://admin.exchange.microsoft.com:

   1. Lépjen a Címzettek postaládák>elemre. Vagy ha közvetlenül a Postaládák lapra szeretne lépni, használja a parancsot https://admin.exchange.microsoft.com/#/mailboxes.
   2. A Postaládák lapon keresse meg és válassza ki a felhasználót a listából az alábbi lépések egyikével:
      • Jelölje ki a felhasználót úgy, hogy a név mellett megjelenő kerek jelölőnégyzeten kívül bárhová kattint a sorban.
      • Jelölje ki a felhasználót a név mellett megjelenő kerek jelölőnégyzet bejelölésével, majd válassza a lapon megjelenő Szerkesztés műveletet.
   3. A megnyíló részletes úszó panelen hajtsa végre a következő lépéseket:

      1. Ellenőrizze, hogy az Általános lap van-e kiválasztva, majd válassza a Levelezési alkalmazások beállításainak kezelése lehetőséget a Email alkalmazások & mobileszközök szakaszban.

      2. A megnyíló E-mail-alkalmazások beállításainak kezelése úszó panelen tiltsa le az összes elérhető beállítást úgy, hogy a kapcsolókat Letiltva értékre állítja:

         • Asztali Outlook (MAPI)
         • Webes Exchange-szolgáltatások
         • Mobil (Exchange ActiveSync protokoll)
         • IMAP
         • POP3
         • Webes Outlook

         Ha végzett a Levelezési alkalmazások beállításainak kezelése úszó panelen, válassza a Mentés, majd a Bezárás lehetőséget az úszó panel tetején.

6. lépés: Nem kötelező: Távolítsa el a vélhetően feltört fiókot az összes felügyeleti szerepkörcsoportból

Megjegyzés:

A fiók biztonságát követően visszaállíthatja a felhasználó tagságát a felügyeleti szerepkörcsoportokban.

1. A Microsoft 365 Felügyeleti központ https://admin.microsoft.comhajtsa végre a következő lépéseket:

   1. Lépjen azAktív felhasználók területre>. Vagy ha közvetlenül az Aktív felhasználók lapra szeretne lépni, használja a következőt https://admin.microsoft.com/Adminportal/Home#/users: .

   2. Az Aktív felhasználók lapon keresse meg és válassza ki a felhasználói fiókot a listából az alábbi lépések egyikével:

      • Jelölje ki a felhasználót úgy, hogy a név melletti jelölőnégyzeten kívül bárhová kattint a sorban. A megnyíló részletes úszó panelen ellenőrizze, hogy a Fiók lap van-e kiválasztva, majd válassza a Szerepkörök kezelése lehetőséget a Szerepkörök szakaszban.
      • Jelölje ki a felhasználót a név melletti jelölőnégyzet bejelölésével. Válassza a További műveletek>Szerepkörök kezelése lehetőséget.

   3. A megnyíló Rendszergazdai szerepkörök kezelése úszó panelen hajtsa végre a következő lépéseket:

      • Jegyezze fel a később visszaállítani kívánt adatokat.
      • Távolítsa el a rendszergazdai szerepkör tagságát a Felhasználó (nincs felügyeleti központ-hozzáférés) lehetőség kiválasztásával.

      Ha végzett a Rendszergazdai szerepkörök kezelése úszó panelen, válassza a Módosítások mentése lehetőséget.

2. A Microsoft Defender portálon https://security.microsoft.comhajtsa végre a következő lépéseket:

   1. Lépjen az Engedélyek>Email & együttműködési szerepkörök>Szerepkörök területre. Vagy lépjen közvetlenül az Engedélyek lapra a(z) https://security.microsoft.com/emailandcollabpermissions használatával.
   2. Az Engedélyek lapon válasszon ki egy szerepkörcsoportot a listából.
   3. Keresse meg a felhasználói fiókot a megnyíló részletes úszó panel Tagok szakaszában. Ha a szerepkörcsoport tartalmazza a felhasználói fiókot, hajtsa végre a következő lépéseket:
      1. A Tagok szakaszban válassza a Szerkesztés lehetőséget.
      2. A megnyíló úszó panel Tagok kiválasztása lapján válassza a Szerkesztés lehetőséget.
      3. A megnyíló Tagok kiválasztása úszó panelen válassza az Eltávolítás lehetőséget.
      4. A megjelenő Tagok szakaszban jelölje ki a felhasználói fiókot a név melletti jelölőnégyzet bejelölésével, válassza az Eltávolítás, majd a Kész lehetőséget.
      5. A Szerkesztés tagok kiválasztása úszó panelen válassza a Mentés lehetőséget.
      6. A szerepkörcsoport részleteit tartalmazó úszó panelen válassza a Bezárás lehetőséget.
   4. Ismételje meg az előző lépéseket a listában szereplő egyes szerepkörcsoportok esetében.

3. Az Exchange Felügyeleti központban https://admin.exchange.microsoft.com/hajtsa végre a következő lépéseket:

   1. Lépjen a Szerepkörök>Rendszergazda szerepkörök elemre. Vagy ha közvetlenül a Rendszergazda szerepkörök lapjára szeretne lépni, használja a következőthttps://admin.exchange.microsoft.com/#/adminRoles: .

   2. A Rendszergazda szerepkörök lapon válasszon ki egy szerepkörcsoportot a listából úgy, hogy a név mellett megjelenő kerek jelölőnégyzettől eltérő tetszőleges helyre kattint.

   3. A megnyíló részletes úszó panelen válassza a Hozzárendelt lapot, majd keresse meg a felhasználói fiókot. Ha a szerepkörcsoport tartalmazza a felhasználói fiókot, hajtsa végre a következő lépéseket:

      1. Válassza ki a felhasználói fiókot.
      2. Válassza ki a megjelenő Törlés műveletet, válassza az Igen, eltávolítás lehetőséget a figyelmeztető párbeszédpanelen, majd válassza a Bezárás lehetőséget az úszó panel tetején.

   4. Ismételje meg az előző lépéseket a listában szereplő egyes szerepkörcsoportok esetében.

7. lépés: Nem kötelező: További óvintézkedések

1. Ellenőrizze a fiók Elküldött elemek mappájának tartalmát az Outlookban vagy Webes Outlook.

   Előfordulhat, hogy tájékoztatnia kell a partnerlistán szereplő személyeket arról, hogy a fiókját feltörték. Előfordulhat például, hogy a támadó olyan üzeneteket küldött, amelyek pénzt kérnek a partnereitől, vagy a támadó vírust küldött a számítógépeik eltérítéséhez.

2. Előfordulhat, hogy a fiókot alternatív e-mail-fiókként használó egyéb szolgáltatások fiókjai is sérültek. Miután elvégezte a jelen cikk lépéseit a Microsoft 365-ös szervezet fiókjához, végezze el ezeket a lépéseket a többi fiókjához is.

3. Ellenőrizze a fiók kapcsolattartási adatait (például telefonszámokat és címeket).

Lásd még

• Outlook-szabályok és egyéni űrlapinjektálási támadások észlelése és elhárítása a Microsoft 365-ben
• Tiltott hozzájárulási támogatások észlelése és orvoslása
• Internetes bűnügyi panaszközpont
• Securities and Exchange Commission - "Adathalászat" csalás
• Ha közvetlenül a Microsoftnak és a rendszergazdának szeretne levélszemét-jelentést küldeni , használja a Jelentési üzenet bővítményt