Válasz egy feltört e-mail-fiókra

• A következőre érvényes::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.

A hitelesítő adatok a Microsoft 365-ös postaládákhoz, adatokhoz és egyéb szolgáltatásokhoz való hozzáférést szabályozzák. Ha valaki ellopja ezeket a hitelesítő adatokat, a társított fiókot feltörtnek tekinti a rendszer.

Miután egy támadó ellopja a hitelesítő adatokat, és hozzáférést szerez a fiókhoz, hozzáférhet a kapcsolódó Microsoft 365-postaládához, SharePoint-mappákhoz vagy fájlokhoz a felhasználó OneDrive-ján. A támadók gyakran használják a feltört postaládát arra, hogy eredeti felhasználóként e-mailt küldjenek a szervezeten belüli és kívüli címzetteknek. A külső címzetteknek adatokat küldő támadókat adatkiszivárgásnak nevezzük.

Ez a cikk ismerteti a fiókok feltörésének tüneteit, és azt, hogyan szerezheti vissza a feltört fiók feletti irányítást.

Feltört Microsoft-e-mail fiók tünetei

A felhasználók szokatlan tevékenységet tapasztalhatnak és jelenthetnek a Microsoft 365-postaládájukban. Például:

• Gyanús tevékenység, például hiányzó vagy törölt e-mail.
• Azok a felhasználók, akik a feltört fiókból kapnak e-mailt a feladó Elküldött elemek mappájában lévő megfelelő e-mail nélkül.
• Gyanús levelezési szabályok. Ezek a szabályok automatikusan továbbíthatják az e-maileket ismeretlen címekre, vagy áthelyezhetik az üzeneteket a Jegyzetek, a Levélszemét Email vagy az RSS-előfizetések mappába.
• A felhasználó megjelenítendő neve módosul a globális címlistában.
• A felhasználó postaládája nem küld e-maileket.
• Az Elküldött elemek vagy a Törölt elemek mappa a Microsoft Outlookban vagy a Webes Outlook (korábbi nevén Outlook Web App) tipikus üzeneteket tartalmaz a feltört fiókokhoz (például "Londonban ragadtam, pénzt kérek").
• Szokatlan profilmódosítások. Például név, telefonszám vagy irányítószám frissítése.
• Több és gyakori jelszómódosítás.
• Nemrégiben hozzáadott külső e-mail-továbbítás.
• Szokatlan e-mail-aláírások. Például egy hamis banki aláírás vagy egy vényköteles gyógyszer aláírása.

Azonnal meg kell vizsgálnia, hogy egy felhasználó jelenti-e ezeket vagy más szokatlan tüneteket. A Microsoft Defender portál és a Azure Portal a következő eszközöket kínálják a felhasználói fiókok gyanús tevékenységeinek kivizsgálásához:

• Egyesített auditnaplók a Microsoft Defender portálon: Szűrje a naplókat tevékenységre egy olyan dátumtartomány használatával, amely közvetlenül a gyanús tevékenység máig történő bekövetkezése előtt kezdődik. Ne szűrjön adott tevékenységekre a keresés során. További információ: Keresés az auditnaplóban.

• bejelentkezési naplók és egyéb kockázati jelentések Microsoft Entra a Microsoft Entra felügyeleti központ: Az alábbi oszlopok értékeinek vizsgálata:

  • IP-cím áttekintése
  • bejelentkezési helyek
  • bejelentkezési időpontok
  • sikeres vagy sikertelen bejelentkezés

Fontos

Az alábbi gomb lehetővé teszi a gyanús fióktevékenységek tesztelését és azonosítását. Ez az információ egy feltört fiók helyreállításához használható.

Tesztek futtatása: Feltört fiókok

Az e-mail-funkció biztonságossá és visszaállítható egy feltört Microsoft 365-fiókba és -postaládába

Még ha a felhasználó vissza is nyeri a hozzáférését a fiókjához, a támadó olyan bejegyzéseket hagyhat hátra, amelyek visszavehetik a fiók feletti irányítást.

Az alábbi lépések végrehajtásával visszaszerezheti a fiók feletti irányítást. Haladjon végig a lépéseken, amint problémára gyanakszik, és a lehető leggyorsabban győződjön meg arról, hogy a támadó nem nyeri vissza a fiók feletti irányítást. Ezek a lépések segítenek eltávolítani a fiókhoz hozzáadott hátsó ajtó bejegyzéseket is. A lépések elvégzése után javasoljuk, hogy futtasson vírusvizsgálatot, hogy az ügyfélszámítógép biztonsága ne sérüljön.

1. lépés: A felhasználó jelszavának alaphelyzetbe állítása

Kövesse az Üzleti jelszó alaphelyzetbe állítása valakinek című témakörben ismertetett lépéseket.

Fontos

• Ne küldje el az új jelszót a felhasználónak e-mailben, mert a támadó jelenleg is hozzáfér a postaládához.

• Ügyeljen arra, hogy erős jelszót használjon: kis- és nagybetűket, legalább egy számot és legalább egy speciális karaktert.

• Még ha a jelszóelőzményekre vonatkozó követelmény megengedi is, ne használja újra az utolsó öt jelszót. Használjon egyedi jelszót, amelyet a támadó nem talál ki.

• Ha a felhasználó identitása össze van kapcsolva a Microsoft 365-tel, módosítania kell a fiók jelszavát a helyszíni környezetben, majd értesítenie kell a rendszergazdát a biztonsági sérülésről.

• Mindenképpen frissítse az alkalmazásjelszavakat. Az alkalmazásjelszavak nem lesznek automatikusan visszavonva a jelszó alaphelyzetbe állításakor. A felhasználónak törölnie kell a meglévő alkalmazásjelszavakat, és újakat kell létrehoznia. Útmutatásért lásd: Alkalmazásjelszavak kezelése kétlépéses ellenőrzéshez.

• Erősen ajánlott engedélyezni a többtényezős hitelesítést (MFA) a fiókhoz. Az MFA jó módszer a fiókok biztonságának sérülésének megelőzésére, és nagyon fontos a rendszergazdai jogosultságokkal rendelkező fiókok esetében. Útmutatásért lásd: Többtényezős hitelesítés beállítása.

2. lépés: Gyanús e-mail-továbbítási címek eltávolítása

1. A Microsoft 365 Felügyeleti központ https://admin.microsoft.comlépjen azAktív felhasználók területre>. Vagy ha közvetlenül az Aktív felhasználók lapra szeretne lépni, használja a következőt https://admin.microsoft.com/Adminportal/Home#/users: .

2. Az Aktív felhasználók lapon keresse meg a felhasználói fiókot, és jelölje ki úgy, hogy a név melletti jelölőnégyzeten kívül bárhová kattint.

3. A megnyíló részletes úszó panelen válassza a Levelek lapot.

4. A Levelek lapon a Email továbbítás szakaszban alkalmazott érték azt jelzi, hogy az e-mail-továbbítás konfigurálva van a fiókban. Az eltávolításhoz hajtsa végre a következő lépéseket:

   • Válassza az E-mail-továbbítás kezelése lehetőséget.
   • A megnyíló E-mail-továbbítás kezelése úszó panelen törölje a jelet Az ebbe a postaládába küldött összes e-mail továbbítása jelölőnégyzetből, majd válassza a Módosítások mentése lehetőséget.

3. lépés: Gyanús levelezési szabályok letiltása

1. Jelentkezzen be a felhasználó postaládájába a Webes Outlook használatával.

2. Válassza a Beállítások (fogaskerék ikon) lehetőséget, írja be a "szabályok" kifejezést a Keresési beállítások mezőbe, majd válassza a Beérkezett üzenetek szabályai lehetőséget az eredmények között.

3. A megnyíló Szabályok úszó panelen tekintse át a meglévő szabályokat, és kapcsolja ki vagy törölje a gyanús szabályokat.

4. lépés: A felhasználó e-mailek küldésének tiltásának feloldása

Ha a fiókot levélszemét vagy nagy mennyiségű e-mail küldéséhez használták, akkor valószínű, hogy a postaláda nem tudja elküldeni az e-maileket.

Ha fel szeretné oldani a postaláda e-mailek küldésének letiltását, kövesse a Letiltott felhasználók eltávolítása a Korlátozott entitások lapról című témakörben ismertetett lépéseket.

5. lépés: Nem kötelező: A felhasználói fiók bejelentkezésének letiltása

Fontos

Letilthatja a fiók bejelentkezését, amíg úgy nem gondolja, hogy biztonságosan újra engedélyezheti a hozzáférést.

1. Hajtsa végre a következő lépéseket a Microsoft 365 Felügyeleti központ:https://admin.microsoft.com

   1. Lépjen azAktív felhasználók területre>. Vagy ha közvetlenül az Aktív felhasználók lapra szeretne lépni, használja a következőt https://admin.microsoft.com/Adminportal/Home#/users: .
   2. Az Aktív felhasználók lapon keresse meg és válassza ki a felhasználói fiókot a listából az alábbi lépések egyikével:
      • Jelölje ki a felhasználót úgy, hogy a név melletti jelölőnégyzeten kívül bárhová kattint a sorban. A megnyíló részletes úszó panelen válassza a Bejelentkezés letiltása lehetőséget az úszó panel tetején.
      • Jelölje ki a felhasználót a név melletti jelölőnégyzet bejelölésével. Válassza a További műveletek>Bejelentkezési állapot szerkesztése lehetőséget.
   3. A megnyíló Bejelentkezés letiltása úszó panelen olvassa el az információkat, válassza a Felhasználó bejelentkezésének letiltása, majd a Módosítások mentése lehetőséget, majd az úszó panel tetején a Bezárás lehetőséget.

2. Hajtsa végre a következő lépéseket az Exchange Felügyeleti központban (EAC) a következő címen https://admin.exchange.microsoft.com:

   1. Lépjen a Címzettek postaládák>elemre. Vagy ha közvetlenül a Postaládák lapra szeretne lépni, használja a parancsot https://admin.exchange.microsoft.com/#/mailboxes.

   2. A Postaládák kezelése lapon keresse meg és jelölje ki a felhasználót a listából. Ehhez kattintson a név mellett megjelenő kerek jelölőnégyzettől eltérő tetszőleges helyre.

   3. A megnyíló részletes úszó panelen hajtsa végre a következő lépéseket:

      1. Ellenőrizze, hogy az Általános lap van-e kiválasztva, majd válassza a Levelezési alkalmazások beállításainak kezelése lehetőséget a Email alkalmazások & mobileszközök szakaszban.
      2. A megnyíló E-mail-alkalmazások beállításainak kezelése úszó panelen tiltsa le az összes elérhető beállítást úgy, hogy a kapcsolókat Letiltva értékre állítja:
         • Asztali Outlook (MAPI)
         • Webes Exchange-szolgáltatások
         • Mobil (Exchange ActiveSync protokoll)
         • IMAP
         • POP3
         • Webes Outlook

      Ha végzett a Levelezési alkalmazások beállításainak kezelése úszó panelen, válassza a Mentés, majd a Bezárás lehetőséget az úszó panel tetején.

6. lépés: Nem kötelező: Távolítsa el a vélhetően feltört fiókot az összes rendszergazdai szerepkörből

Megjegyzés:

A fiók biztonságát követően visszaállíthatja a felhasználó tagságát a rendszergazdai szerepkörökben.

1. A Microsoft 365 Felügyeleti központ https://admin.microsoft.comhajtsa végre a következő lépéseket:

   1. Lépjen azAktív felhasználók területre>. Vagy ha közvetlenül az Aktív felhasználók lapra szeretne lépni, használja a következőt https://admin.microsoft.com/Adminportal/Home#/users: .

   2. Az Aktív felhasználók lapon keresse meg és válassza ki a felhasználói fiókot a listából az alábbi lépések egyikével:

      • Jelölje ki a felhasználót úgy, hogy a név melletti jelölőnégyzeten kívül bárhová kattint a sorban. A megnyíló részletes úszó panelen ellenőrizze, hogy a Fiók lap van-e kiválasztva, majd válassza a Szerepkörök kezelése lehetőséget a Szerepkörök szakaszban.
      • Jelölje ki a felhasználót a név melletti jelölőnégyzet bejelölésével. Válassza a További műveletek>Szerepkörök kezelése lehetőséget.

   3. A megnyíló Rendszergazdai szerepkörök kezelése úszó panelen hajtsa végre a következő lépéseket:

      • Jegyezze fel a később visszaállítani kívánt adatokat.
      • Távolítsa el a rendszergazdai szerepkör tagságát a Felhasználó (nincs felügyeleti központ-hozzáférés) lehetőség kiválasztásával.

      Ha végzett a Rendszergazdai szerepkörök kezelése úszó panelen, válassza a Módosítások mentése lehetőséget.

2. A Microsoft Defender portálon https://security.microsoft.comhajtsa végre a következő lépéseket:

   1. Lépjen az Engedélyek>Email & együttműködési szerepkörök>Szerepkörök területre. Vagy lépjen közvetlenül az Engedélyek lapra a(z) https://security.microsoft.com/emailandcollabpermissions használatával.

   2. Az Engedélyek lapon válasszon ki egy szerepkörcsoportot a listából. Ehhez jelölje be a név melletti jelölőnégyzetet (például Szervezetkezelés), majd válassza a Megjelenő Művelet szerkesztése lehetőséget.

   3. A megnyíló Szerepkörcsoport tagjainak szerkesztése lapon tekintse át a tagok listáját. Ha a szerepkörcsoport tartalmazza a felhasználói fiókot, távolítsa el a felhasználót a név melletti jelölőnégyzet bejelölésével, majd válassza a Tagok eltávolítása lehetőséget.

      Ha végzett a Szerepkörcsoport tagjainak szerkesztése lapon, válassza a Tovább gombot.

   4. A Szerepkörcsoport áttekintése és befejezése lapon tekintse át az információkat, majd válassza a Mentés lehetőséget.

   5. Ismételje meg az előző lépéseket a listában szereplő egyes szerepkörcsoportok esetében.

3. Az Exchange Felügyeleti központban https://admin.exchange.microsoft.com/hajtsa végre a következő lépéseket:

   1. Lépjen a Szerepkörök>Rendszergazda szerepkörök elemre. Vagy ha közvetlenül a Rendszergazda szerepkörök lapjára szeretne lépni, használja a következőthttps://admin.exchange.microsoft.com/#/adminRoles: .

   2. A Rendszergazda szerepkörök lapon válasszon ki egy szerepkörcsoportot a listából úgy, hogy a név mellett megjelenő kerek jelölőnégyzettől eltérő tetszőleges helyre kattint.

   3. A megnyíló részletes úszó panelen válassza a Hozzárendelt lapot, majd keresse meg a felhasználói fiókot. Ha a szerepkörcsoport tartalmazza a felhasználói fiókot, hajtsa végre a következő lépéseket:

      1. Válassza ki a felhasználói fiókot a név mellett megjelenő kerek jelölőnégyzet bejelölésével.
      2. Válassza ki a megjelenő Törlés műveletet, válassza az Igen, eltávolítás lehetőséget a figyelmeztető párbeszédpanelen, majd válassza a Bezárás lehetőséget az úszó panel tetején.

   4. Ismételje meg az előző lépéseket a listában szereplő egyes szerepkörcsoportok esetében.

7. lépés: Nem kötelező: További óvintézkedések

1. Ellenőrizze a fiók Elküldött elemek mappájának tartalmát az Outlookban vagy Webes Outlook.

   Előfordulhat, hogy tájékoztatnia kell a felhasználó partnereit arról, hogy a fiók biztonsága sérült. Előfordulhat például, hogy a támadó olyan üzeneteket küldött, amelyek pénzt kérnek a partnerektől, vagy a támadó vírust küldött a számítógépeik eltérítéséhez.

2. A fiókot alternatív e-mail-címként használó egyéb szolgáltatások is veszélybe kerülhetnek. Miután elvégezte a jelen cikkben szereplő lépéseket a Microsoft 365-szervezet fiókjához, végezze el a megfelelő lépéseket a többi szolgáltatásban.

3. Ellenőrizze a fiók kapcsolattartási adatait (például telefonszámokat és címeket).

Lásd még

• Outlook-szabályok és egyéni Forms injektálási támadások észlelése és elhárítása a Microsoft 365-ben
• Tiltott hozzájárulási támogatások észlelése és orvoslása
• Internetes bűnügyi panaszközpont
• Securities and Exchange Commission - "Adathalászat" csalás
• A Jelentési üzenet bővítmény használatával közvetlenül a Microsoftnak és/vagy a rendszergazdáknak jelentheti a levélszemét-e-maileket (attól függően, hogy a felhasználó által jelentett beállítások hogyan vannak konfigurálva).