Reageren op een gehackt e-mailaccount
Tip
Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.
Referenties beheren de toegang tot Microsoft 365-postvakken, gegevens en andere services. Wanneer iemand deze referenties steelt, wordt het gekoppelde account beschouwd als gecompromitteerd.
Nadat een aanvaller de referenties steelt en toegang krijgt tot het account, heeft deze toegang tot het bijbehorende Microsoft 365-postvak, SharePoint-mappen of bestanden in de OneDrive van de gebruiker. Aanvallers gebruiken vaak het gecompromitteerde postvak om e-mail als de oorspronkelijke gebruiker te verzenden naar geadresseerden binnen en buiten de organisatie. Aanvallers die e-mail gebruiken om gegevens naar externe geadresseerden te verzenden, worden gegevensexfiltratie genoemd.
In dit artikel worden de symptomen van accountcompromittatie uitgelegd en hoe u de controle over het gecompromitteerde account kunt herwinnen.
Symptomen van een gecompromitteerd Microsoft-e-mailaccount
Gebruikers kunnen ongebruikelijke activiteiten in hun Microsoft 365-postvakken opmerken en melden. Bijvoorbeeld:
- Verdachte activiteiten, zoals ontbrekende of verwijderde e-mail.
- Gebruikers die e-mail ontvangen van het gecompromitteerde account zonder de bijbehorende e-mail in de map Verzonden items van de afzender.
- Verdachte regels voor Postvak IN. Deze regels kunnen e-mail automatisch doorsturen naar onbekende adressen of berichten verplaatsen naar de mappen Notities, Ongewenste Email of RSS-abonnementen.
- De weergavenaam van de gebruiker wordt gewijzigd in de algemene adreslijst.
- Het postvak van de gebruiker is geblokkeerd voor het verzenden van e-mails.
- De mappen Verzonden items of Verwijderde items in Microsoft Outlook of webversie van Outlook (voorheen bekend als Outlook Web App) bevatten typische berichten voor gecompromitteerde accounts (bijvoorbeeld 'Ik zit vast in Londen, geld verzenden.').
- Ongebruikelijke profielwijzigingen. Bijvoorbeeld het bijwerken van de naam, het telefoonnummer of de postcode.
- Meerdere en frequente wachtwoordwijzigingen.
- Onlangs extern doorsturen van e-mail toegevoegd.
- Ongebruikelijke handtekeningen voor e-mailberichten. Bijvoorbeeld een valse bankhandtekening of een medicijnhandtekening op recept.
U moet onmiddellijk onderzoeken of een gebruiker deze of andere ongebruikelijke symptomen meldt. De Microsoft Defender portal en de Azure Portal bieden de volgende hulpprogramma's om u te helpen verdachte activiteiten op een gebruikersaccount te onderzoeken:
Geïntegreerde auditlogboeken in de Microsoft Defender-portal: filter de logboeken op activiteit met behulp van een datumbereik dat begint direct voordat de verdachte activiteit tot vandaag heeft plaatsgevonden. Filter niet op specifieke activiteiten tijdens het zoeken. Zie Het auditlogboek doorzoeken voor meer informatie.
Microsoft Entra aanmeldingslogboeken en andere risicorapporten in de Microsoft Entra-beheercentrum: Bekijk de waarden in deze kolommen:
- Controleer het IP-adres
- aanmeldingslocaties
- aanmeldingstijden
- geslaagde of misluke aanmeldingen
Belangrijk
Met de volgende knop kunt u verdachte accountactiviteit testen en identificeren. U kunt deze informatie gebruiken om een gecompromitteerd account te herstellen.
E-mailfunctie beveiligen en herstellen naar een gecompromitteerd Microsoft 365-account en postvak
Zelfs nadat de gebruiker weer toegang heeft tot zijn account, kan de aanvaller achterdeurvermeldingen achterlaten die de controle over het account kunnen terugkrijgen.
Voer alle volgende stappen uit om de controle over het account terug te krijgen. Doorloop de stappen zodra u een probleem vermoedt en zo snel mogelijk om ervoor te zorgen dat de aanvaller de controle over het account niet terugkrijgt. Met deze stappen kunt u ook eventuele achterdeurvermeldingen verwijderen die de aanvaller aan het account heeft toegevoegd. Nadat u deze stappen hebt uitgevoerd, raden we u aan een virusscan uit te voeren om ervoor te zorgen dat de clientcomputer niet is gecompromitteerd.
Stap 1: het wachtwoord van de gebruiker opnieuw instellen
Volg de procedures in Een zakelijk wachtwoord opnieuw instellen voor iemand.
Belangrijk
Verzend het nieuwe wachtwoord niet via e-mail naar de gebruiker, omdat de aanvaller op dit moment nog steeds toegang heeft tot het postvak.
Zorg ervoor dat u een sterk wachtwoord gebruikt: hoofdletters en kleine letters, ten minste één cijfer en ten minste één speciaal teken.
Zelfs als de vereiste voor wachtwoordgeschiedenis dit toestaat, moet u geen van de laatste vijf wachtwoorden opnieuw gebruiken. Gebruik een uniek wachtwoord dat de aanvaller niet kan raden.
Als de identiteit van de gebruiker is gefedereerd met Microsoft 365, moet u het accountwachtwoord wijzigen in de on-premises omgeving en vervolgens de beheerder op de hoogte stellen van de inbreuk.
Vergeet niet om app-wachtwoorden bij te werken. App-wachtwoorden worden niet automatisch ingetrokken wanneer u het wachtwoord opnieuw instelt. De gebruiker moet bestaande app-wachtwoorden verwijderen en nieuwe app-wachtwoorden maken. Zie App-wachtwoorden beheren voor verificatie in twee stappen voor instructies.
We raden u ten zeerste aan om meervoudige verificatie (MFA) in te schakelen voor het account. MFA is een goede manier om inbreuk op accounts te voorkomen en is erg belangrijk voor accounts met beheerdersbevoegdheden. Zie Meervoudige verificatie instellen voor instructies.
Stap 2: Verdachte adressen voor doorsturen van e-mail verwijderen
Ga in de Microsoft 365-beheercentrum op https://admin.microsoft.comnaar Gebruikers>Actieve gebruikers. Of gebruik https://admin.microsoft.com/Adminportal/Home#/usersom rechtstreeks naar de pagina Actieve gebruikers te gaan.
Zoek op de pagina Actieve gebruikers het gebruikersaccount en selecteer het door ergens in de rij te klikken, behalve het selectievakje naast de naam.
Selecteer in de flyout details die wordt geopend het tabblad E-mail .
Op het tabblad E-mail geeft de waarde Toegepast in de sectie Email doorsturen aan dat het doorsturen van e-mail is geconfigureerd voor het account. Voer de volgende stappen uit om het te verwijderen:
- Selecteer Doorsturen van e-mail beheren.
- Schakel in de flyout Doorsturen van e-mail beheren die wordt geopend het selectievakje Alle e-mail die naar dit postvak wordt verzonden doorsturen uit en selecteer vervolgens Wijzigingen opslaan.
Stap 3: verdachte regels voor Postvak IN uitschakelen
Meld u aan bij het postvak van de gebruiker met de webversie van Outlook.
Selecteer Instellingen (tandwielpictogram), voer 'regels' in het vak Zoekinstellingen in en selecteer vervolgens Regels voor Postvak IN in de resultaten.
Controleer in de flyout Regels die wordt geopend de bestaande regels en schakel eventuele verdachte regels uit of verwijder deze.
Stap 4: de blokkering van de gebruiker opheffen voor het verzenden van e-mail
Als het account is gebruikt voor het verzenden van spam of een groot e-mailvolume, is het waarschijnlijk dat het postvak is geblokkeerd voor het verzenden van e-mail.
Als u de blokkering van het verzenden van e-mail wilt opheffen, volgt u de procedures in Geblokkeerde gebruikers verwijderen van de pagina Beperkte entiteiten.
Stap 5 Optioneel: Aanmelden bij het gebruikersaccount blokkeren
Belangrijk
U kunt het aanmelden van het account blokkeren totdat u denkt dat het veilig is om de toegang opnieuw in te schakelen.
Voer de volgende stappen uit in de Microsoft 365-beheercentrum op https://admin.microsoft.com:
- Ga naar Gebruikers>Actieve gebruikers. Of gebruik https://admin.microsoft.com/Adminportal/Home#/usersom rechtstreeks naar de pagina Actieve gebruikers te gaan.
- Zoek en selecteer op de pagina Actieve gebruikers het gebruikersaccount in de lijst door een van de volgende stappen uit te voeren:
- Selecteer de gebruiker door op een andere plaats in de rij dan het selectievakje naast de naam te klikken. Selecteer in de flyout details die wordt geopend de optie Aanmelding blokkeren bovenaan de flyout.
- Selecteer de gebruiker door het selectievakje naast de naam in te schakelen. Selecteer Meer acties>Aanmeldingsstatus bewerken.
- Lees in de flyout Aanmelden blokkeren die wordt geopend de informatie, selecteer Aanmelden van deze gebruiker blokkeren, selecteer Wijzigingen opslaan en selecteer vervolgens Sluiten boven aan de flyout.
Voer de volgende stappen uit in het Exchange-beheercentrum (EAC) op https://admin.exchange.microsoft.com:
Ga naar Postvakken van geadresseerden>. Als u rechtstreeks naar de pagina Postvakken wilt gaan, gebruikt https://admin.exchange.microsoft.com/#/mailboxesu .
Zoek en selecteer op de pagina Postvakken beheren de gebruiker in de lijst door ergens in de rij te klikken, behalve het ronde selectievakje dat naast de naam wordt weergegeven.
Voer de volgende stappen uit in de flyout details die wordt geopend:
- Controleer of het tabblad Algemeen is geselecteerd en selecteer vervolgens Instellingen voor e-mail-apps beheren in de sectie Email apps & mobiele apparaten.
- Schakel in de flyout Instellingen voor e-mail-apps beheren die wordt geopend alle beschikbare instellingen uit door de wisselknop te wijzigen in Uitgeschakeld:
- Desktopversie van Outlook (MAPI)
- Exchange-webservices
- Mobiel (Exchange ActiveSync)
- IMAP
- POP3
- Webversie van Outlook
Wanneer u klaar bent in de flyout Instellingen voor e-mail-apps beheren, selecteert u Opslaan en selecteert u vervolgens Sluiten bovenaan de flyout.
Stap 6 Optioneel: het vermoedelijk gecompromitteerde account verwijderen uit alle beheerdersrollen
Opmerking
U kunt het lidmaatschap van de gebruiker in beheerdersrollen herstellen nadat het account is beveiligd.
Voer in het Microsoft 365-beheercentrum op https://admin.microsoft.com de volgende stappen uit:
Ga naar Gebruikers>Actieve gebruikers. Of gebruik https://admin.microsoft.com/Adminportal/Home#/usersom rechtstreeks naar de pagina Actieve gebruikers te gaan.
Zoek en selecteer op de pagina Actieve gebruikers het gebruikersaccount in de lijst door een van de volgende stappen uit te voeren:
- Selecteer de gebruiker door op een andere plaats in de rij dan het selectievakje naast de naam te klikken. Controleer in de flyout details die wordt geopend of het tabblad Account is geselecteerd en selecteer vervolgens Rollen beheren in de sectie Rollen .
- Selecteer de gebruiker door het selectievakje naast de naam in te schakelen. Selecteer Meer acties>Rollen beheren.
Voer de volgende stappen uit in de flyout Beheerdersrollen beheren die wordt geopend:
- Noteer alle gegevens die u later wilt herstellen.
- Verwijder lidmaatschap van beheerdersrol door Gebruiker (geen toegang tot het beheercentrum) te selecteren.
Wanneer u klaar bent in de flyout Beheerdersrollen beheren , selecteert u Wijzigingen opslaan.
Voer in de Microsoft Defender portal op https://security.microsoft.comde volgende stappen uit:
Ga naar Machtigingen>Email & samenwerkingsrollen>Rollen. Als u rechtstreeks naar de pagina Machtigingen wilt gaan, gebruikt u https://security.microsoft.com/emailandcollabpermissions.
Selecteer op de pagina Machtigingen een rollengroep in de lijst door het selectievakje naast de naam in te schakelen (bijvoorbeeld Organisatiebeheer) en vervolgens Actie bewerken te selecteren die wordt weergegeven.
Controleer op de pagina Leden bewerken van de rolgroep die wordt geopend de lijst met leden. Als de rolgroep het gebruikersaccount bevat, verwijdert u de gebruiker door het selectievakje naast de naam in te schakelen en vervolgens Leden verwijderen te selecteren.
Wanneer u klaar bent op de pagina Leden van de rolgroep bewerken , selecteert u Volgende
Controleer de informatie op de pagina De rollengroep en het einde controlerenen selecteer opslaan.
Herhaal de vorige stappen voor elke rollengroep in de lijst.
Voer in het Exchange-beheercentrum op https://admin.exchange.microsoft.com/ de volgende stappen uit:
Ga naar Rollen>Beheer rollen. Of als u rechtstreeks naar de pagina Beheer rollen wilt gaan, gebruikt u https://admin.exchange.microsoft.com/#/adminRoles.
Selecteer op de pagina Beheer rollen een rollengroep in de lijst door ergens in de rij te klikken, behalve het ronde selectievakje dat naast de naam wordt weergegeven.
Selecteer in de flyout details die wordt geopend het tabblad Toegewezen en zoek vervolgens naar het gebruikersaccount. Als de rollengroep het gebruikersaccount bevat, voert u de volgende stappen uit:
- Selecteer het gebruikersaccount door het ronde selectievakje in te schakelen dat naast de naam wordt weergegeven.
- Selecteer de actie Verwijderen die wordt weergegeven, selecteer Ja, verwijderen in het waarschuwingsdialoogvenster en selecteer vervolgens Sluiten bovenaan de flyout.
Herhaal de vorige stappen voor elke rollengroep in de lijst.
Stap 7 Optioneel: Extra voorzorgsmaatregelen
Controleer de inhoud van de map Verzonden items van het account in Outlook of webversie van Outlook.
Mogelijk moet u de contactpersonen van de gebruiker informeren dat het account is gehackt. De aanvaller kan bijvoorbeeld berichten hebben verzonden waarin om geld wordt gevraagd, of de aanvaller heeft een virus verzonden om zijn computers te kapen.
Andere services die dit account als alternatief e-mailadres gebruiken, kunnen ook worden gecompromitteerd. Nadat u de stappen in dit artikel hebt uitgevoerd voor het account in deze Microsoft 365-organisatie, voert u de bijbehorende stappen uit in de andere services.
Controleer de contactgegevens (bijvoorbeeld telefoonnummers en adressen) van het account.
Zie ook
- Injectieaanvallen op Outlook-regels en aangepaste formulieren detecteren en verhelpen in Microsoft 365
- Onrechtmatige toestemmingsverlening detecteren en herstellen
- Internet Crime Complaint Center
- Securities and Exchange Commission - "Phishing" fraude
- Gebruik de invoegtoepassing Bericht rapporteren om spam-e-mail rechtstreeks te melden aan Microsoft en/of beheerders (afhankelijk van hoe door de gebruiker gerapporteerde instellingen zijn geconfigureerd).