Odpowiadanie na konto e-mail z naruszeniem zabezpieczeń

• Dotyczy:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

Poświadczenia kontrolują dostęp do skrzynek pocztowych, danych i innych usług platformy Microsoft 365. Gdy ktoś ukradnie te poświadczenia, skojarzone konto zostanie uznane za naruszone.

Gdy osoba atakująca ukradnie poświadczenia i uzyska dostęp do konta, może uzyskać dostęp do skojarzonej skrzynki pocztowej platformy Microsoft 365, folderów programu SharePoint lub plików w usłudze OneDrive użytkownika. Osoby atakujące często używają skrzynki pocztowej z naruszeniem zabezpieczeń do wysyłania wiadomości e-mail jako oryginalnego użytkownika do adresatów w organizacji i poza nią. Osoby atakujące używające poczty e-mail do wysyłania danych do adresatów zewnętrznych są nazywane eksfiltracją danych.

W tym artykule wyjaśniono objawy naruszenia zabezpieczeń konta oraz sposób odzyskania kontroli nad kontem, których zabezpieczenia zostały naruszone.

Objawy naruszenia zabezpieczeń konta e-mail microsoft

Użytkownicy mogą zauważyć i zgłaszać nietypowe działania w swoich skrzynkach pocztowych platformy Microsoft 365. Przykład:

• Podejrzane działanie, takie jak brakujące lub usunięte wiadomości e-mail.
• Użytkownicy otrzymujący wiadomość e-mail z konta, które zostało naruszone, bez odpowiedniej wiadomości e-mail w folderze Elementy wysłane nadawcy .
• Podejrzane reguły skrzynki odbiorczej. Te reguły mogą automatycznie przekazywać wiadomości e-mail na nieznane adresy lub przenosić wiadomości do folderów Notes, Junk Email lub RSS Subscriptions.
• Nazwa wyświetlana użytkownika została zmieniona na globalnej liście adresowej.
• Skrzynka pocztowa użytkownika nie może wysyłać wiadomości e-mail.
• Foldery Elementy wysłane lub Usunięte elementy w programie Microsoft Outlook lub Outlook w sieci Web (dawniej znane jako Outlook Web App) zawierają typowe komunikaty dla kont, których zabezpieczenia zostały naruszone (na przykład "Utknąłem w Londynie, wyślij pieniądze").
• Nietypowe zmiany profilu. Na przykład nazwa, numer telefonu lub aktualizacje kodu pocztowego.
• Wiele i częste zmiany haseł.
• Ostatnio dodano zewnętrzne przekazywanie wiadomości e-mail.
• Nietypowe sygnatury wiadomości e-mail. Na przykład fałszywy podpis bankowy lub podpis leku na receptę.

Należy natychmiast zbadać, czy użytkownik zgłasza te lub inne nietypowe objawy. Portal Microsoft Defender i Azure Portal oferują następujące narzędzia ułatwiające badanie podejrzanych działań na koncie użytkownika:

• Ujednolicone dzienniki inspekcji w portalu Microsoft Defender: filtruj dzienniki pod kątem aktywności przy użyciu zakresu dat, który rozpoczyna się bezpośrednio przed wystąpieniem podejrzanego działania do dzisiaj. Nie filtruj określonych działań podczas wyszukiwania. Aby uzyskać więcej informacji, zobacz Przeszukiwanie dziennika inspekcji.

• Microsoft Entra dzienniki logowania i inne raporty o ryzyku w centrum administracyjne Microsoft Entra: Sprawdź wartości w tych kolumnach:

  • Przejrzyj adres IP
  • lokalizacje logowania
  • Czasy logowania
  • powodzenie lub niepowodzenie logowania

Ważna

Poniższy przycisk umożliwia testowanie i identyfikowanie podejrzanych działań konta. Te informacje umożliwiają odzyskanie konta, którego zabezpieczenia zostały naruszone.

Uruchamianie testów: konta z naruszonymi zabezpieczeniami

Zabezpieczanie i przywracanie funkcji poczty e-mail do konta i skrzynki pocztowej platformy Microsoft 365 z naruszeniem zabezpieczeń

Nawet gdy użytkownik odzyska dostęp do swojego konta, osoba atakująca może pozostawić wpisy back-door, które mogą odzyskać kontrolę nad kontem.

Wykonaj wszystkie poniższe kroki, aby odzyskać kontrolę nad kontem. Wykonaj kroki tak szybko, jak podejrzewasz problem i jak najszybciej, aby upewnić się, że osoba atakująca nie odzyska kontroli nad kontem. Te kroki ułatwiają również usunięcie wszelkich wpisów tylnych drzwi dodanych przez osobę atakującą do konta. Po wykonaniu tych kroków zalecamy uruchomienie skanowania antywirusowego w celu upewnienia się, że komputer kliencki nie jest zagrożony.

Krok 1. Resetowanie hasła użytkownika

Postępuj zgodnie z procedurami opisanymi w artykule Resetowanie hasła biznesowego dla kogoś.

Ważna

• Nie wysyłaj nowego hasła do użytkownika za pośrednictwem poczty e-mail, ponieważ osoba atakująca nadal ma dostęp do skrzynki pocztowej w tym momencie.

• Pamiętaj, aby użyć silnego hasła: wielkie i małe litery, co najmniej jedną liczbę i co najmniej jeden znak specjalny.

• Nawet jeśli wymaganie dotyczące historii haseł na to pozwala, nie używaj ponownie żadnego z pięciu ostatnich haseł. Użyj unikatowego hasła, którego osoba atakująca nie może odgadnąć.

• Jeśli tożsamość użytkownika jest sfederowana z platformą Microsoft 365, musisz zmienić hasło konta w środowisku lokalnym, a następnie powiadomić administratora o naruszeniach zabezpieczeń.

• Pamiętaj, aby zaktualizować hasła aplikacji. Hasła aplikacji nie są automatycznie odwoływane podczas resetowania hasła. Użytkownik powinien usunąć istniejące hasła aplikacji i utworzyć nowe. Aby uzyskać instrukcje, zobacz Zarządzanie hasłami aplikacji w celu weryfikacji dwuetapowej.

• Zdecydowanie zalecamy włączenie uwierzytelniania wieloskładnikowego dla konta. Uwierzytelnianie wieloskładnikowe jest dobrym sposobem zapobiegania naruszenia zabezpieczeń konta i jest bardzo ważne dla kont z uprawnieniami administracyjnymi. Aby uzyskać instrukcje, zobacz Konfigurowanie uwierzytelniania wieloskładnikowego.

Krok 2. Usuwanie podejrzanych adresów e-mail przesyłających dalej

1. W Centrum administracyjne platformy Microsoft 365 pod adresem https://admin.microsoft.comprzejdź do pozycji Użytkownicy>aktywni użytkownicy. Aby przejść bezpośrednio do strony Aktywni użytkownicy , użyj polecenia https://admin.microsoft.com/Adminportal/Home#/users.

2. Na stronie Aktywni użytkownicy znajdź konto użytkownika i wybierz je, klikając dowolne miejsce w wierszu innym niż pole wyboru obok nazwy.

3. W wyświetlonym wysuwu szczegółów wybierz kartę Poczta .

4. Na karcie Poczta wartość Zastosowana w sekcji przekazywania Email wskazuje, że na koncie skonfigurowano przekazywanie poczty. Aby go usunąć, wykonaj następujące czynności:

   • Wybierz pozycję Zarządzaj przekazywaniem wiadomości e-mail.
   • W oknie wysuwowym Zarządzanie przekazywaniem wiadomości e-mail , które zostanie otwarte, wyczyść pole wyboru Prześlij dalej wszystkie wiadomości e-mail wysłane do tej skrzynki pocztowej , a następnie wybierz pozycję Zapisz zmiany.

Krok 3. Wyłączanie podejrzanych reguł skrzynki odbiorczej

1. Zaloguj się do skrzynki pocztowej użytkownika przy użyciu Outlook w sieci Web.

2. Wybierz pozycję Ustawienia (ikona koła zębatego), wprowadź "reguły" w polu Ustawienia wyszukiwania, a następnie wybierz pozycję Reguły skrzynki odbiorczej w wynikach.

3. W wyświetlonym oknie wysuwowym Reguły przejrzyj istniejące reguły i wyłącz lub usuń wszelkie podejrzane reguły.

Krok 4. Odblokuj użytkownikowi wysyłanie wiadomości e-mail

Jeśli konto było używane do wysyłania spamu lub dużej liczby wiadomości e-mail, prawdopodobnie skrzynka pocztowa nie może wysyłać wiadomości e-mail.

Aby odblokować skrzynkę pocztową przed wysłaniem wiadomości e-mail, postępuj zgodnie z procedurami opisanymi na stronie Usuwanie zablokowanych użytkowników ze strony Jednostki z ograniczeniami.

Krok 5 Opcjonalny: Blokowanie logowania konta użytkownika

Ważna

Możesz zablokować logowanie do konta, dopóki nie uznasz, że ponowne włączenie dostępu jest bezpieczne.

1. Wykonaj następujące kroki w Centrum administracyjne platformy Microsoft 365 pod adresem https://admin.microsoft.com:

   1. Przejdź do pozycji Użytkownicy>aktywni użytkownicy. Aby przejść bezpośrednio do strony Aktywni użytkownicy , użyj polecenia https://admin.microsoft.com/Adminportal/Home#/users.
   2. Na stronie Aktywni użytkownicy znajdź i wybierz konto użytkownika z listy, wykonując jedną z następujących czynności:
      • Wybierz użytkownika, klikając dowolne miejsce w wierszu innym niż pole wyboru obok nazwy. W wyświetlonym oknie wysuwnym szczegółów wybierz pozycję Blokuj logowanie w górnej części wysuwanego menu.
      • Zaznacz użytkownika, zaznaczając pole wyboru obok nazwy. Wybierz pozycję Więcej akcji>Edytuj stan logowania.
   3. W wyświetlonym menu wysuwnym Blokuj logowanie przeczytaj informacje, wybierz pozycję Blokuj logowanie tego użytkownika, wybierz pozycję Zapisz zmiany, a następnie wybierz pozycję Zamknij w górnej części wysuwanego menu.

2. Wykonaj następujące kroki w centrum administracyjnym programu Exchange (EAC) pod adresem https://admin.exchange.microsoft.com:

   1. Przejdź do obszaru Skrzynki pocztowe adresatów>. Aby przejść bezpośrednio do strony Skrzynki pocztowe , użyj polecenia https://admin.exchange.microsoft.com/#/mailboxes.

   2. Na stronie Zarządzanie skrzynkami pocztowymi znajdź i wybierz użytkownika z listy, klikając dowolne miejsce w wierszu innym niż okrągłe pole wyboru wyświetlane obok nazwy.

   3. W wyświetlonym oknie wysuwowym szczegółów wykonaj następujące czynności:

      1. Sprawdź, czy wybrano kartę Ogólne, a następnie wybierz pozycję Zarządzaj ustawieniami aplikacji poczty e-mail w sekcji Email aplikacje & urządzenia przenośne.
      2. W wyświetlonym menu wysuwowym Zarządzanie ustawieniami aplikacji poczty e-mail wyłącz wszystkie dostępne ustawienia, zmieniając przełączniki na Wyłączone:
         • Outlook Desktop (MAPI)
         • Usługi sieci Web programu Exchange
         • Urządzenia przenośne (Exchange ActiveSync)
         • IMAP
         • POP3
         • Outlook on the web

      Po zakończeniu w menu wysuwnym Zarządzanie ustawieniami aplikacji poczty e-mail wybierz pozycję Zapisz, a następnie wybierz pozycję Zamknij w górnej części wysuwanego menu.

Krok 6 Opcjonalny: Usuwanie podejrzanego konta z naruszeniem zabezpieczeń ze wszystkich ról administracyjnych

Uwaga

Możesz przywrócić członkostwo użytkownika w rolach administracyjnych po zabezpieczeniu konta.

1. W Centrum administracyjne platformy Microsoft 365 pod adresem https://admin.microsoft.comwykonaj następujące kroki:

   1. Przejdź do pozycji Użytkownicy>aktywni użytkownicy. Aby przejść bezpośrednio do strony Aktywni użytkownicy , użyj polecenia https://admin.microsoft.com/Adminportal/Home#/users.

   2. Na stronie Aktywni użytkownicy znajdź i wybierz konto użytkownika z listy, wykonując jedną z następujących czynności:

      • Wybierz użytkownika, klikając dowolne miejsce w wierszu innym niż pole wyboru obok nazwy. W wyświetlonym wysuwu szczegółów sprawdź, czy wybrano kartę Konto , a następnie wybierz pozycję Zarządzaj rolami w sekcji Role .
      • Zaznacz użytkownika, zaznaczając pole wyboru obok nazwy. Wybierz pozycję Więcej akcji>Zarządzaj rolami.

   3. W wyświetlonym menu wysuwowym Zarządzanie rolami administratora wykonaj następujące czynności:

      • Zarejestruj wszelkie informacje, które chcesz przywrócić później.
      • Usuń członkostwo w roli administracyjnej, wybierając pozycję Użytkownik (bez dostępu do centrum administracyjnego).

      Po zakończeniu pracy z wysuwaną pozycją Zarządzaj rolami administratora wybierz pozycję Zapisz zmiany.

2. W portalu Microsoft Defender pod adresem https://security.microsoft.comwykonaj następujące czynności:

   1. Przejdź do pozycji Uprawnienia>Email & role> współpracy. Możesz też przejść bezpośrednio do strony Uprawienia, używając https://security.microsoft.com/emailandcollabpermissions.

   2. Na stronie Uprawnienia wybierz grupę ról z listy, zaznaczając pole wyboru obok nazwy (na przykład Zarządzanie organizacją), a następnie wybierając wyświetloną akcję Edytuj .

   3. Na stronie Edytowanie członków grupy ról , która zostanie otwarta, przejrzyj listę członków. Jeśli grupa ról zawiera konto użytkownika, usuń użytkownika, zaznaczając pole wyboru obok nazwy, a następnie wybierając pozycję Usuń członków.

      Po zakończeniu na stronie Edytowanie członków grupy ról wybierz pozycję Dalej

   4. Na stronie Przeglądanie grupy ról i zakończenia przejrzyj informacje, a następnie wybierz pozycję Zapisz.

   5. Powtórz poprzednie kroki dla każdej grupy ról na liście.

3. W centrum administracyjnym programu Exchange pod adresem https://admin.exchange.microsoft.com/wykonaj następujące kroki:

   1. Przejdź do pozycji Role>Administracja role. Aby przejść bezpośrednio do strony ról Administracja, użyj polecenia https://admin.exchange.microsoft.com/#/adminRoles.

   2. Na stronie role Administracja wybierz grupę ról z listy, klikając dowolne miejsce w wierszu innym niż okrągłe pole wyboru wyświetlane obok nazwy.

   3. W wyświetlonym menu wysuwowym szczegółów wybierz kartę Przypisane , a następnie poszukaj konta użytkownika. Jeśli grupa ról zawiera konto użytkownika, wykonaj następujące kroki:

      1. Wybierz konto użytkownika, zaznaczając okrągłe pole wyboru wyświetlane obok nazwy.
      2. Wybierz wyświetloną akcję Usuń , wybierz pozycję Tak, usuń w oknie dialogowym ostrzeżenia, a następnie wybierz pozycję Zamknij w górnej części wysuwanego okna.

   4. Powtórz poprzednie kroki dla każdej grupy ról na liście.

Krok 7 Opcjonalny: Dodatkowe kroki ostrożności

1. Sprawdź zawartość folderu Wysłane elementy konta w programie Outlook lub Outlook w sieci Web.

   Może być konieczne poinformowanie kontaktów użytkownika o tym, że konto zostało naruszone. Na przykład osoba atakująca mogła wysłać wiadomości z prośbą o pieniądze lub osoba atakująca mogła wysłać wirusa w celu przejęcia komputerów.

2. Inne usługi, które używają tego konta jako alternatywnego adresu e-mail, również mogą zostać naruszone. Po wykonaniu kroków opisanych w tym artykule dla konta w tej organizacji platformy Microsoft 365 wykonaj odpowiednie kroki w innych usługach.

3. Sprawdź informacje kontaktowe (na przykład numery telefonów i adresy) konta.

Zobacz też

• Wykrywanie i korygowanie reguł programu Outlook i niestandardowych ataków iniekcji Forms na platformie Microsoft 365
• Wykrywanie i korygowanie niedozwolonych dotacji na zgodę
• Internet Crime Complaint Center
• Komisja Papierów Wartościowych i Giełd — oszustwa związane z wyłudzaniem informacji
• Dodatek Komunikat raportu służy do zgłaszania wiadomości e-mail ze spamem bezpośrednio do firmy Microsoft i/lub administratorów (w zależności od sposobu konfigurowania ustawień zgłoszonych przez użytkownika ).