Risposta a un account di posta elettronica compromesso

• Si applica a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni dettagliate su chi può iscriversi e condizioni di provaqui.

L'accesso a cassette postali, dati e altri servizi di Microsoft 365 è controllato dalle credenziali ,ad esempio un nome utente e una password o un PIN. Quando un utente diverso dall'utente previsto ruba tali credenziali, l'account associato viene considerato compromesso.

Dopo che un utente malintenzionato ruba le credenziali e ottiene l'accesso all'account, può accedere alla cassetta postale di Microsoft 365, alle cartelle di SharePoint o ai file associati in OneDrive dell'utente. Gli utenti malintenzionati usano spesso la cassetta postale compromessa per inviare messaggi di posta elettronica come utente originale ai destinatari all'interno e all'esterno dell'organizzazione. Gli utenti malintenzionati che usano la posta elettronica per inviare dati a destinatari esterni sono noti come esfiltrazione dei dati.

Questo articolo illustra i sintomi della compromissione dell'account e come riprendere il controllo dell'account compromesso.

Sintomi di un account di posta elettronica Microsoft compromesso

Gli utenti potrebbero notare e segnalare attività insolite nelle proprie cassette postali di Microsoft 365. Ad esempio:

• Attività sospette, ad esempio messaggi di posta elettronica mancanti o eliminati.
• Gli utenti che ricevono messaggi di posta elettronica dall'account compromesso senza il messaggio di posta elettronica corrispondente nella cartella Posta inviata del mittente.
• Regole della posta in arrivo che non sono state create dall'utente o dagli amministratori. Queste regole potrebbero inoltrare automaticamente i messaggi di posta elettronica a indirizzi sconosciuti o spostare i messaggi nelle cartelle Note, Email indesiderata o Sottoscrizioni RSS.
• Il nome visualizzato dell'utente viene modificato nell'elenco indirizzi globale.
• Non è possibile inviare messaggi di posta elettronica dalla cassetta postale dell'utente.
• Le cartelle Posta inviata o Posta eliminata in Microsoft Outlook o Outlook sul web (precedentemente nota come Outlook Web App) contengono messaggi tipici per gli account compromessi (ad esempio, "Sono bloccato a Londra, invia denaro").
• Modifiche insolite del profilo. Ad esempio, il nome, il numero di telefono o il codice postale vengono aggiornati.
• Modifiche multiple e frequenti delle password.
• È stato aggiunto di recente un inoltro della posta di Outlook.
• Di recente sono state aggiunte firme insolite. Ad esempio, una firma bancaria falsa o una firma di farmaco da prescrizione.

Se un utente segnala questi sintomi o altri sintomi insoliti, è necessario indagare. Il portale Microsoft Defender e il portale di Azure offrono gli strumenti seguenti per analizzare le attività sospette in un account utente.

• Log di controllo unificati nel portale di Microsoft Defender: filtrare i log per l'attività usando un intervallo di date che inizia immediatamente prima che si verificasse l'attività sospetta. Non filtrare in base a attività specifiche durante la ricerca. Per altre informazioni, vedere Search il log di controllo.

• Microsoft Entra log di accesso e altri report sui rischi nel Interfaccia di amministrazione di Microsoft Entra: Esaminare i valori in queste colonne:

  • Esaminare l'indirizzo IP
  • Posizioni di accesso
  • Orari di accesso
  • Esito dell’accesso

Importante

Il pulsante seguente consente di testare e identificare le attività sospette dell'account. È possibile usare queste informazioni per ripristinare un account compromesso.

Eseguire test: account compromessi

Proteggere e ripristinare la funzione di posta elettronica in un account e una cassetta postale di Microsoft 365 compromessi

Anche dopo che l'utente ha ripreso l'accesso al proprio account, l'utente malintenzionato potrebbe aver lasciato voci backdoor che consentono all'utente malintenzionato di riprendere il controllo dell'account.

Eseguire tutti i passaggi seguenti per riprendere il controllo dell'account. Eseguire i passaggi non appena si sospetta un problema e il più rapidamente possibile per assicurarsi che l'utente malintenzionato non riprenda il controllo dell'account. Questi passaggi consentono anche di rimuovere eventuali voci backdoor che l'utente malintenzionato potrebbe aver aggiunto all'account. Dopo aver eseguito questi passaggi, è consigliabile eseguire un'analisi antivirus per assicurarsi che il computer client non sia compromesso.

Passaggio 1: Reimpostare la password dell'utente

Seguire le procedure in reimpostare la password per un utente .

Importante

• Non inviare la nuova password all'utente tramite posta elettronica, perché l'utente malintenzionato ha ancora accesso alla cassetta postale a questo punto.

• Assicurarsi di usare una password complessa: lettere maiuscole e minuscole, almeno un numero e almeno un carattere speciale.

• Anche se il requisito di cronologia delle password lo consente, non riutilizzare nessuna delle ultime cinque password. Usare una password univoca che l'utente malintenzionato non riesce a indovinare.

• Se l'identità locale è federata con Microsoft 365, è necessario modificare la password dell'account locale in locale e quindi notificare la compromissione all'amministratore.

• Assicurati di aggiornare le password dell'app. Le password dell'app non vengono revocate automaticamente quando si reimposta la password. L'utente deve eliminare le password dell'app esistenti e crearne nuove. Per istruzioni, vedere Gestire le password dell'app per la verifica in due passaggi.

• È consigliabile abilitare l'autenticazione a più fattori (MFA) per l'account. L'autenticazione a più fattori è un buon modo per impedire la compromissione degli account ed è molto importante per gli account con privilegi amministrativi. Per istruzioni, vedere Configurare l'autenticazione a più fattori.

Passaggio 2: Rimuovere gli indirizzi di inoltro di posta elettronica sospetti

1. Nel interfaccia di amministrazione di Microsoft 365 in https://admin.microsoft.compassare a Utenti>attivi. In alternativa, per passare direttamente alla pagina Utenti attivi , usare https://admin.microsoft.com/Adminportal/Home#/users.

2. Nella pagina Utenti attivi individuare l'account utente e selezionarlo facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al nome.

3. Nel riquadro a comparsa dei dettagli visualizzato selezionare la scheda Posta.

4. Il valore Applicato nella sezione inoltro Email indica che l'inoltro di posta elettronica è configurato nell'account.

   Selezionare Gestisci inoltro di posta elettronica, deselezionare la casella di controllo Inoltra tutto il messaggio di posta elettronica inviato a questa cassetta postale nel riquadro a comparsa Gestisci inoltro di posta elettronica visualizzato e quindi selezionare Salva modifiche.

Passaggio 3: Disabilitare le regole sospette della posta in arrivo

1. Aprire la cassetta postale dell’utente con Outlook sul web.

2. Selezionare Impostazioni (icona a ingranaggio), immettere "regole" nella casella Search e quindi selezionare Regole posta in arrivo dai risultati.

3. Nella scheda Regole del riquadro a comparsa visualizzato esaminare le regole esistenti e disattivare o eliminare eventuali regole sospette.

Passaggio 4: Sbloccare l'invio di posta elettronica all'utente

Se l'account è stato usato per inviare posta indesiderata o un volume elevato di messaggi di posta elettronica, è probabile che alla cassetta postale sia stato impedito di inviare messaggi di posta elettronica.

Per sbloccare una cassetta postale dall'invio di posta elettronica, seguire le procedure descritte in Rimuovere gli utenti bloccati dalla pagina Entità con restrizioni.

Passaggio 5 facoltativo: Bloccare l’accesso all’account dell’utente

Importante

È possibile bloccare l'accesso dell'account fino a quando non si ritiene che sia sicuro riabilitare l'accesso.

1. Seguire questa procedura nel interfaccia di amministrazione di Microsoft 365 all'indirizzo https://admin.microsoft.com:

   1. Passare a Utenti utenti>attivi. In alternativa, per passare direttamente alla pagina Utenti attivi , usare https://admin.microsoft.com/Adminportal/Home#/users.
   2. Nella pagina Utenti attivi individuare e selezionare l'account utente dall'elenco eseguendo una delle operazioni seguenti:
      • Selezionare l'utente facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al nome. Nel riquadro a comparsa dei dettagli visualizzato selezionare Blocca accesso nella parte superiore del riquadro a comparsa.
      • Selezionare l'utente selezionando la casella di controllo accanto al nome. Selezionare Altre azioni>Modifica stato di accesso.
   3. Nel riquadro a comparsa Blocca accesso visualizzato leggere le informazioni, selezionare Blocca l'accesso dell'utente, selezionare Salva modifiche e quindi selezionare Chiudi nella parte superiore del riquadro a comparsa.

2. Seguire questa procedura nell'interfaccia di amministrazione di Exchange all'indirizzo https://admin.exchange.microsoft.com:

   1. Passare aCassette postalidestinatari>. In alternativa, per passare direttamente alla pagina Cassette postali , usare https://admin.exchange.microsoft.com/#/mailboxes.
   2. Nella pagina Cassette postali individuare e selezionare l'utente dall'elenco eseguendo una delle operazioni seguenti:
      • Selezionare l'utente facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo round visualizzata accanto al nome.
      • Selezionare l'utente selezionando la casella di controllo round visualizzata accanto al nome e quindi selezionando l'azione Modifica visualizzata nella pagina.
   3. Nel riquadro a comparsa dei dettagli visualizzato seguire questa procedura:

      1. Verificare che la scheda Generale sia selezionata e quindi selezionare Gestisci impostazioni delle app di posta elettronica nella sezione Email app & dispositivi mobili.

      2. Nel riquadro a comparsa Gestisci impostazioni per le app di posta elettronica visualizzato disabilitare tutte le impostazioni disponibili impostando l'interruttore su Disabilitato:

         • Outlook desktop (MAPI)
         • Servizi Web Exchange
         • Dispositivo mobile (Exchange ActiveSync)
         • IMAP
         • POP3
         • Outlook sul web

         Al termine del riquadro a comparsa Gestisci impostazioni per le app di posta elettronica , selezionare Salva e quindi selezionare Chiudi nella parte superiore del riquadro a comparsa.

Passaggio 6 Facoltativo: Rimuovere l'account potenzialmente compromesso da tutti i gruppi di ruoli amministrativi

Nota

È possibile ripristinare l'appartenenza dell'utente ai gruppi di ruoli amministrativi dopo la protezione dell'account.

1. Nell’interfaccia di amministrazione di Microsoft 365 all’indirizzo https://admin.microsoft.com, eseguire la procedura seguente:

   1. Passare a Utenti utenti>attivi. In alternativa, per passare direttamente alla pagina Utenti attivi , usare https://admin.microsoft.com/Adminportal/Home#/users.

   2. Nella pagina Utenti attivi individuare e selezionare l'account utente dall'elenco eseguendo una delle operazioni seguenti:

      • Selezionare l'utente facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al nome. Nel riquadro a comparsa dei dettagli visualizzato verificare che sia selezionata la scheda Account e quindi selezionare Gestisci ruoli nella sezione Ruoli .
      • Selezionare l'utente selezionando la casella di controllo accanto al nome. Selezionare Altre azioni>Gestisci ruoli.

   3. Nel riquadro a comparsa Gestisci ruoli di amministratore visualizzato seguire questa procedura:

      • Registrare tutte le informazioni che si desidera ripristinare in un secondo momento.
      • Rimuovere l'appartenenza al ruolo amministrativo selezionando Utente (nessun accesso all'interfaccia di amministrazione).Remove administrative role membership by selecting User (no admin center access).

      Al termine del riquadro a comparsa Gestisci ruoli di amministratore , selezionare Salva modifiche.

2. Nel portale di Microsoft Defender in https://security.microsoft.com, seguire questa procedura:

   1. Passare a Autorizzazioni>Email & ruoli di> collaborazione. In alternativa, per passare direttamente alla pagina Autorizzazioni, usare https://security.microsoft.com/emailandcollabpermissions.
   2. Nella pagina Autorizzazioni selezionare un gruppo di ruoli dall'elenco.
   3. Cercare l'account utente nella sezione Membri del riquadro a comparsa dei dettagli aperto. Se il gruppo di ruoli contiene l'account utente, eseguire le operazioni seguenti:
      1. Nella sezione Membri selezionare Modifica.
      2. Nella scheda Scegli membri del riquadro a comparsa visualizzato selezionare Modifica.
      3. Nel riquadro a comparsa Scegli membri visualizzato selezionare Rimuovi.
      4. Nella sezione Membri visualizzata selezionare l'account utente selezionando la casella di controllo accanto al nome, selezionare Rimuovi e quindi Fare clic su Fine.
      5. Nel riquadro a comparsa Modifica scegliere i membri selezionare Salva.
      6. Nel riquadro a comparsa dettagli gruppo di ruoli selezionare Chiudi.
   4. Ripetere i passaggi precedenti per ogni gruppo di ruoli nell'elenco.

3. Nell'interfaccia di amministrazione di Exchange all’indirizzo https://admin.exchange.microsoft.com/, seguire questa procedura:

   1. Passare a Ruoli>Amministrazione ruoli. In alternativa, per passare direttamente alla pagina dei ruoli Amministrazione, usare https://admin.exchange.microsoft.com/#/adminRoles.

   2. Nella pagina Amministrazione ruoli selezionare un gruppo di ruoli dall'elenco facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo round visualizzata accanto al nome.

   3. Nel riquadro a comparsa dei dettagli visualizzato selezionare la scheda Assegnato e quindi cercare l'account utente. Se il gruppo di ruoli contiene l'account utente, eseguire le operazioni seguenti:

      1. Selezionare l'account utente.
      2. Selezionare l'azione Elimina visualizzata, selezionare Sì, rimuovere nella finestra di dialogo di avviso e quindi selezionare Chiudi nella parte superiore del riquadro a comparsa.

   4. Ripetere i passaggi precedenti per ogni gruppo di ruoli nell'elenco.

Passaggio 7 facoltativo: Precauzioni di prevenzione aggiuntive

1. Verificare il contenuto della cartella Posta inviata dell'account in Outlook o Outlook sul web.

   Potrebbe essere necessario informare le persone nell'elenco dei contatti che l'account è stato compromesso. Ad esempio, l'utente malintenzionato potrebbe aver inviato messaggi che chiedono denaro ai contatti oppure l'utente malintenzionato potrebbe aver inviato un virus per dirottare i propri computer.

2. Anche gli account per tutti gli altri servizi che usano questo account come account di posta elettronica alternativo potrebbero essere stati compromessi. Dopo aver eseguito i passaggi descritti in questo articolo per l'account in questa organizzazione di Microsoft 365, eseguire questi passaggi per gli altri account.

3. Verificare le informazioni di contatto (ad esempio, numeri di telefono e indirizzi) dell'account.

Vedere anche

• Rilevare e risolvere gli attacchi injection alle regole e ai moduli personalizzati di Outlook in Microsoft 365
• Rilevare e correggere le concessioni di consenso illecite
• Internet Crime Complaint Center
• Securities and Exchange Commission (SEC) - Frode “Phishing”
• Per segnalare messaggi di posta elettronica indesiderata direttamente a Microsoft e all'amministratore, usare il componente aggiuntivo Segnala messaggio.