Reageren op een gehackt e-mailaccount

• Van toepassing op:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

Toegang tot Microsoft 365-postvakken, gegevens en andere services wordt beheerd door referenties (bijvoorbeeld een gebruikersnaam en een wachtwoord of pincode). Wanneer iemand anders dan de beoogde gebruiker deze referenties steelt, wordt het gekoppelde account beschouwd als gecompromitteerd.

Nadat een aanvaller de referenties steelt en toegang krijgt tot het account, heeft deze toegang tot het bijbehorende Microsoft 365-postvak, SharePoint-mappen of bestanden in de OneDrive van de gebruiker. Aanvallers gebruiken vaak het gecompromitteerde postvak om e-mail als de oorspronkelijke gebruiker te verzenden naar geadresseerden binnen en buiten de organisatie. Aanvallers die e-mail gebruiken om gegevens naar externe geadresseerden te verzenden, worden gegevensexfiltratie genoemd.

In dit artikel worden de symptomen van accountcompromittatie uitgelegd en hoe u de controle over het gecompromitteerde account kunt herwinnen.

Symptomen van een gecompromitteerd Microsoft-e-mailaccount

Gebruikers kunnen ongebruikelijke activiteiten in hun Microsoft 365-postvakken opmerken en melden. Bijvoorbeeld:

• Verdachte activiteiten, zoals ontbrekende of verwijderde e-mail.
• Gebruikers die e-mail ontvangen van het gecompromitteerde account zonder de bijbehorende e-mail in de map Verzonden items van de afzender.
• Regels voor Postvak IN die niet zijn gemaakt door de gebruiker of beheerders. Deze regels kunnen e-mail automatisch doorsturen naar onbekende adressen of berichten verplaatsen naar de mappen Notities, Ongewenste Email of RSS-abonnementen.
• De weergavenaam van de gebruiker wordt gewijzigd in de algemene adreslijst.
• Het postvak van de gebruiker is geblokkeerd voor het verzenden van e-mails.
• De mappen Verzonden items of Verwijderde items in Microsoft Outlook of webversie van Outlook (voorheen bekend als Outlook Web App) bevatten typische berichten voor gecompromitteerde accounts (bijvoorbeeld 'Ik zit vast in Londen, geld verzenden.').
• Ongebruikelijke profielwijzigingen. Bijvoorbeeld naam, telefoonnummer of het bijwerken van de postcode.
• Meerdere en frequente wachtwoordwijzigingen.
• Het doorsturen van e-mail is onlangs toegevoegd.
• Er zijn onlangs ongebruikelijke handtekeningen toegevoegd. Bijvoorbeeld een valse bankhandtekening of een medicijnhandtekening op recept.

Als een gebruiker deze symptomen of andere ongebruikelijke symptomen meldt, moet u dit onderzoeken. De Microsoft Defender-portal en de Azure Portal bieden de volgende hulpprogramma's om u te helpen verdachte activiteiten op een gebruikersaccount te onderzoeken.

• Geïntegreerde auditlogboeken in de Microsoft Defender-portal: filter de logboeken op activiteit met behulp van een datumbereik dat begint direct voordat de verdachte activiteit tot vandaag heeft plaatsgevonden. Filter niet op specifieke activiteiten tijdens het zoeken. Zie Het auditlogboek doorzoeken voor meer informatie.

• Microsoft Entra aanmeldingslogboeken en andere risicorapporten in de Microsoft Entra-beheercentrum: Bekijk de waarden in deze kolommen:

  • Controleer het IP-adres
  • aanmeldingslocaties
  • aanmeldingstijden
  • geslaagde of misluke aanmeldingen

Belangrijk

Met de volgende knop kunt u verdachte accountactiviteit testen en identificeren. U kunt deze informatie gebruiken om een gecompromitteerd account te herstellen.

Tests uitvoeren: gecompromitteerde accounts

E-mailfunctie beveiligen en herstellen naar een gecompromitteerd Microsoft 365-account en postvak

Zelfs nadat de gebruiker weer toegang heeft gekregen tot het account, heeft de aanvaller mogelijk achterdeurvermeldingen achtergelaten waarmee de aanvaller de controle over het account kan hervatten.

Voer alle volgende stappen uit om de controle over het account terug te krijgen. Doorloop de stappen zodra u een probleem vermoedt en zo snel mogelijk om ervoor te zorgen dat de aanvaller de controle over het account niet hervat. Met deze stappen kunt u ook eventuele achterdeurvermeldingen verwijderen die de aanvaller mogelijk aan het account heeft toegevoegd. Nadat u deze stappen hebt uitgevoerd, raden we u aan een virusscan uit te voeren om ervoor te zorgen dat de clientcomputer niet is gecompromitteerd.

Stap 1: het wachtwoord van de gebruiker opnieuw instellen

Volg de procedures in Een zakelijk wachtwoord opnieuw instellen voor iemand.

Belangrijk

• Verzend het nieuwe wachtwoord niet via e-mail naar de gebruiker, omdat de aanvaller op dit moment nog steeds toegang heeft tot het postvak.

• Zorg ervoor dat u een sterk wachtwoord gebruikt: hoofdletters en kleine letters, ten minste één cijfer en ten minste één speciaal teken.

• Zelfs als de vereiste voor wachtwoordgeschiedenis dit toestaat, moet u geen van de laatste vijf wachtwoorden opnieuw gebruiken. Gebruik een uniek wachtwoord dat de aanvaller niet kan raden.

• Als de on-premises identiteit is gefedereerd met Microsoft 365, moet u het on-premises accountwachtwoord on-premises wijzigen en vervolgens de beheerder op de hoogte stellen van de inbreuk.

• Vergeet niet om app-wachtwoorden bij te werken. App-wachtwoorden worden niet automatisch ingetrokken wanneer u het wachtwoord opnieuw instelt. De gebruiker moet bestaande app-wachtwoorden verwijderen en nieuwe app-wachtwoorden maken. Zie App-wachtwoorden beheren voor verificatie in twee stappen voor instructies.

• We raden u ten zeerste aan om meervoudige verificatie (MFA) in te schakelen voor het account. MFA is een goede manier om inbreuk op accounts te voorkomen en is erg belangrijk voor accounts met beheerdersbevoegdheden. Zie Meervoudige verificatie instellen voor instructies.

Stap 2: Verdachte adressen voor doorsturen van e-mail verwijderen

1. Ga in de Microsoft 365-beheercentrum op https://admin.microsoft.comnaar Gebruikers>Actieve gebruikers. Of gebruik https://admin.microsoft.com/Adminportal/Home#/usersom rechtstreeks naar de pagina Actieve gebruikers te gaan.

2. Zoek op de pagina Actieve gebruikers het gebruikersaccount en selecteer het door ergens in de rij te klikken, behalve het selectievakje naast de naam.

3. Selecteer in de flyout details die wordt geopend het tabblad E-mail .

4. De waarde Toegepast in de sectie Email doorsturen geeft aan dat het doorsturen van e-mail is geconfigureerd voor het account.

   Selecteer Doorsturen van e-mail beheren, schakel het selectievakje Alle e-mail die naar dit postvak is verzonden doorsturen uit in de flyout E-mail doorsturen beheren die wordt geopend en selecteer vervolgens Wijzigingen opslaan.

Stap 3: verdachte regels voor Postvak IN uitschakelen

1. Meld u aan bij het postvak van de gebruiker met de webversie van Outlook.

2. Selecteer Instellingen (tandwielpictogram), voer 'regels' in het zoekvak in en selecteer vervolgens Regels voor Postvak IN in de resultaten.

3. Controleer op het tabblad Regels van de flyout die wordt geopend de bestaande regels en schakel eventuele verdachte regels uit of verwijder deze.

Stap 4: de blokkering van de gebruiker opheffen voor het verzenden van e-mail

Als het account is gebruikt voor het verzenden van spam of een groot e-mailvolume, is het verzenden van e-mail in het postvak waarschijnlijk geblokkeerd.

Als u de blokkering van het verzenden van e-mail wilt opheffen, volgt u de procedures in Geblokkeerde gebruikers verwijderen van de pagina Beperkte entiteiten.

Stap 5 Optioneel: Aanmelden bij het gebruikersaccount blokkeren

Belangrijk

U kunt het aanmelden van het account blokkeren totdat u denkt dat het veilig is om de toegang opnieuw in te schakelen.

1. Voer de volgende stappen uit in de Microsoft 365-beheercentrum op https://admin.microsoft.com:

   1. Ga naar Gebruikers>Actieve gebruikers. Of gebruik https://admin.microsoft.com/Adminportal/Home#/usersom rechtstreeks naar de pagina Actieve gebruikers te gaan.
   2. Zoek en selecteer op de pagina Actieve gebruikers het gebruikersaccount in de lijst door een van de volgende stappen uit te voeren:
      • Selecteer de gebruiker door op een andere plaats in de rij dan het selectievakje naast de naam te klikken. Selecteer in de flyout details die wordt geopend de optie Aanmelding blokkeren bovenaan de flyout.
      • Selecteer de gebruiker door het selectievakje naast de naam in te schakelen. Selecteer Meer acties>Aanmeldingsstatus bewerken.
   3. Lees in de flyout Aanmelden blokkeren die wordt geopend de informatie, selecteer Aanmelden van deze gebruiker blokkeren, selecteer Wijzigingen opslaan en selecteer vervolgens Sluiten boven aan de flyout.

2. Voer de volgende stappen uit in het Exchange-beheercentrum (EAC) op https://admin.exchange.microsoft.com:

   1. Ga naar Postvakken van geadresseerden>. Als u rechtstreeks naar de pagina Postvakken wilt gaan, gebruikt https://admin.exchange.microsoft.com/#/mailboxesu .
   2. Zoek en selecteer op de pagina Postvakken de gebruiker in de lijst door een van de volgende stappen uit te voeren:
      • Selecteer de gebruiker door ergens in de rij te klikken, behalve in het ronde selectievakje dat naast de naam wordt weergegeven.
      • Selecteer de gebruiker door het ronde selectievakje dat naast de naam wordt weergegeven in te schakelen en vervolgens de actie Bewerken te selecteren die op de pagina wordt weergegeven.
   3. Voer de volgende stappen uit in de flyout details die wordt geopend:

      1. Controleer of het tabblad Algemeen is geselecteerd en selecteer vervolgens Instellingen voor e-mail-apps beheren in de sectie Email apps & mobiele apparaten.

      2. Schakel in de flyout Instellingen voor e-mail-apps beheren die wordt geopend alle beschikbare instellingen uit door de wisselknop te wijzigen in Uitgeschakeld:

         • Desktopversie van Outlook (MAPI)
         • Exchange-webservices
         • Mobiel (Exchange ActiveSync)
         • IMAP
         • POP3
         • Webversie van Outlook

         Wanneer u klaar bent in de flyout Instellingen voor e-mail-apps beheren, selecteert u Opslaan en selecteert u vervolgens Sluiten bovenaan de flyout.

Stap 6 Optioneel: Verwijder het vermoedelijk gehackte account uit alle beheerdersrollen.

Opmerking

U kunt het lidmaatschap van de gebruiker in beheerdersrolgroepen herstellen nadat het account is beveiligd.

1. Voer in het Microsoft 365-beheercentrum op https://admin.microsoft.com de volgende stappen uit:

   1. Ga naar Gebruikers>Actieve gebruikers. Of gebruik https://admin.microsoft.com/Adminportal/Home#/usersom rechtstreeks naar de pagina Actieve gebruikers te gaan.

   2. Zoek en selecteer op de pagina Actieve gebruikers het gebruikersaccount in de lijst door een van de volgende stappen uit te voeren:

      • Selecteer de gebruiker door op een andere plaats in de rij dan het selectievakje naast de naam te klikken. Controleer in de flyout details die wordt geopend of het tabblad Account is geselecteerd en selecteer vervolgens Rollen beheren in de sectie Rollen .
      • Selecteer de gebruiker door het selectievakje naast de naam in te schakelen. Selecteer Meer acties>Rollen beheren.

   3. Voer de volgende stappen uit in de flyout Beheerdersrollen beheren die wordt geopend:

      • Noteer alle gegevens die u later wilt herstellen.
      • Verwijder lidmaatschap van beheerdersrol door Gebruiker (geen toegang tot het beheercentrum) te selecteren.

      Wanneer u klaar bent in de flyout Beheerdersrollen beheren , selecteert u Wijzigingen opslaan.

2. Voer in de Microsoft Defender portal op https://security.microsoft.comde volgende stappen uit:

   1. Ga naar Machtigingen>Email & samenwerkingsrollen>Rollen. Als u rechtstreeks naar de pagina Machtigingen wilt gaan, gebruikt u https://security.microsoft.com/emailandcollabpermissions.
   2. Selecteer op de pagina Machtigingen een rollengroep in de lijst.
   3. Zoek naar het gebruikersaccount in de sectie Leden van de flyout met details die wordt geopend. Als de rollengroep het gebruikersaccount bevat, voert u de volgende stappen uit:
      1. Selecteer Bewerken in de sectie Leden.
      2. Selecteer op het tabblad Leden kiezen van de flyout die wordt geopend de optie Bewerken.
      3. Selecteer verwijderen in de flyout Leden kiezen die wordt geopend.
      4. Selecteer in de sectie Leden die wordt weergegeven het gebruikersaccount door het selectievakje naast de naam in te schakelen, verwijderen te selecteren en vervolgens Gereed te selecteren.
      5. Selecteer in de flyout Leden bewerken de optie Opslaan.
      6. Selecteer sluiten in de flyout met de details van de rollengroep.
   4. Herhaal de vorige stappen voor elke rollengroep in de lijst.

3. Voer in het Exchange-beheercentrum op https://admin.exchange.microsoft.com/ de volgende stappen uit:

   1. Ga naar Rollen>Beheer rollen. Of als u rechtstreeks naar de pagina Beheer rollen wilt gaan, gebruikt u https://admin.exchange.microsoft.com/#/adminRoles.

   2. Selecteer op de pagina Beheer rollen een rollengroep in de lijst door ergens in de rij te klikken, behalve het ronde selectievakje dat naast de naam wordt weergegeven.

   3. Selecteer in de flyout details die wordt geopend het tabblad Toegewezen en zoek vervolgens naar het gebruikersaccount. Als de rollengroep het gebruikersaccount bevat, voert u de volgende stappen uit:

      1. Selecteer het gebruikersaccount.
      2. Selecteer de actie Verwijderen die wordt weergegeven, selecteer Ja, verwijderen in het waarschuwingsdialoogvenster en selecteer vervolgens Sluiten bovenaan de flyout.

   4. Herhaal de vorige stappen voor elke rollengroep in de lijst.

Stap 7 Optioneel: Extra voorzorgsmaatregelen

1. Controleer de inhoud van de map Verzonden items van het account in Outlook of webversie van Outlook.

   Mogelijk moet u personen in uw lijst met contactpersonen informeren dat uw account is gecompromitteerd. De aanvaller kan bijvoorbeeld berichten hebben verzonden om uw contactpersonen om geld te vragen, of de aanvaller heeft mogelijk een virus verzonden om zijn computers te kapen.

2. De accounts voor andere services die dit account als alternatief e-mailaccount gebruiken, zijn mogelijk ook gecompromitteerd. Nadat u de stappen in dit artikel hebt uitgevoerd voor het account in deze Microsoft 365-organisatie, voert u deze stappen uit voor uw andere accounts.

3. Controleer de contactgegevens (bijvoorbeeld telefoonnummers en adressen) van het account.

Zie ook

• Injectieaanvallen op Outlook-regels en aangepaste formulieren detecteren en verhelpen in Microsoft 365
• Onrechtmatige toestemmingsverlening detecteren en herstellen
• Internet Crime Complaint Center
• Securities and Exchange Commission - "Phishing" fraude
• Om ongewenste e-mailberichten rechtstreeks bij Microsoft en uw beheerder te melden, kunt u De invoegtoepassing rapporteer bericht gebruiken