Odpowiadanie na konto e-mail z naruszeniem zabezpieczeń

• Dotyczy:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

Dostęp do skrzynek pocztowych, danych i innych usług platformy Microsoft 365 jest kontrolowany za pomocą poświadczeń (na przykład nazwy użytkownika i hasła lub numeru PIN). Gdy ktoś inny niż zamierzony użytkownik ukradnie te poświadczenia, skojarzone konto zostanie uznane za naruszone.

Gdy osoba atakująca ukradnie poświadczenia i uzyska dostęp do konta, może uzyskać dostęp do skojarzonej skrzynki pocztowej platformy Microsoft 365, folderów programu SharePoint lub plików w usłudze OneDrive użytkownika. Osoby atakujące często używają skrzynki pocztowej z naruszeniem zabezpieczeń do wysyłania wiadomości e-mail jako oryginalnego użytkownika do adresatów w organizacji i poza nią. Osoby atakujące używające poczty e-mail do wysyłania danych do adresatów zewnętrznych są nazywane eksfiltracją danych.

W tym artykule wyjaśniono objawy naruszenia zabezpieczeń konta oraz sposób odzyskania kontroli nad kontem, których zabezpieczenia zostały naruszone.

Objawy naruszenia zabezpieczeń konta e-mail microsoft

Użytkownicy mogą zauważyć i zgłaszać nietypowe działania w swoich skrzynkach pocztowych platformy Microsoft 365. Przykład:

• Podejrzane działanie, takie jak brakujące lub usunięte wiadomości e-mail.
• Użytkownicy otrzymujący wiadomość e-mail z konta, które zostało naruszone, bez odpowiedniej wiadomości e-mail w folderze Elementy wysłane nadawcy .
• Reguły skrzynki odbiorczej, które nie zostały utworzone przez użytkownika lub administratorów. Te reguły mogą automatycznie przekazywać wiadomości e-mail na nieznane adresy lub przenosić wiadomości do folderów Notes, Junk Email lub RSS Subscriptions.
• Nazwa wyświetlana użytkownika została zmieniona na globalnej liście adresowej.
• Skrzynka pocztowa użytkownika nie może wysyłać wiadomości e-mail.
• Foldery Elementy wysłane lub Usunięte elementy w programie Microsoft Outlook lub Outlook w sieci Web (dawniej znane jako Outlook Web App) zawierają typowe komunikaty dla kont, których zabezpieczenia zostały naruszone (na przykład "Utknąłem w Londynie, wyślij pieniądze").
• Nietypowe zmiany profilu. Na przykład nazwa, numer telefonu lub aktualizacje kodu pocztowego.
• Wiele i częste zmiany haseł.
• Przekazywanie poczty zostało niedawno dodane.
• Niedawno dodano nietypowe podpisy. Na przykład fałszywy podpis bankowy lub podpis leku na receptę.

Jeśli użytkownik zgłasza te objawy lub inne nietypowe objawy, należy zbadać. Portal Microsoft Defender i Azure Portal oferują następujące narzędzia ułatwiające badanie podejrzanych działań na koncie użytkownika.

• Ujednolicone dzienniki inspekcji w portalu Microsoft Defender: filtruj dzienniki pod kątem aktywności przy użyciu zakresu dat, który rozpoczyna się bezpośrednio przed wystąpieniem podejrzanego działania do dzisiaj. Nie filtruj określonych działań podczas wyszukiwania. Aby uzyskać więcej informacji, zobacz Search dziennika inspekcji.

• Microsoft Entra dzienniki logowania i inne raporty o ryzyku w centrum administracyjne Microsoft Entra: Sprawdź wartości w tych kolumnach:

  • Przejrzyj adres IP
  • lokalizacje logowania
  • Czasy logowania
  • powodzenie lub niepowodzenie logowania

Ważna

Poniższy przycisk umożliwia testowanie i identyfikowanie podejrzanych działań konta. Te informacje umożliwiają odzyskanie konta, którego zabezpieczenia zostały naruszone.

Uruchamianie testów: konta z naruszonymi zabezpieczeniami

Zabezpieczanie i przywracanie funkcji poczty e-mail do konta i skrzynki pocztowej platformy Microsoft 365 z naruszeniem zabezpieczeń

Nawet gdy użytkownik odzyska dostęp do swojego konta, osoba atakująca mogła pozostawić wpisy tylnych drzwi, które umożliwiają osobie atakującej wznowienie kontroli nad kontem.

Wykonaj wszystkie poniższe kroki, aby odzyskać kontrolę nad kontem. Wykonaj kroki tak szybko, jak podejrzewasz problem i tak szybko, jak to możliwe, aby upewnić się, że osoba atakująca nie wznowi kontroli nad kontem. Te kroki ułatwiają również usunięcie wszelkich wpisów tylnych drzwi, które osoba atakująca mogła dodać do konta. Po wykonaniu tych kroków zalecamy uruchomienie skanowania antywirusowego w celu upewnienia się, że komputer kliencki nie jest zagrożony.

Krok 1. Resetowanie hasła użytkownika

Postępuj zgodnie z procedurami opisanymi w artykule Resetowanie hasła biznesowego dla kogoś.

Ważna

• Nie wysyłaj nowego hasła do użytkownika za pośrednictwem poczty e-mail, ponieważ osoba atakująca nadal ma dostęp do skrzynki pocztowej w tym momencie.

• Pamiętaj, aby użyć silnego hasła: wielkie i małe litery, co najmniej jedną liczbę i co najmniej jeden znak specjalny.

• Nawet jeśli wymaganie dotyczące historii haseł na to pozwala, nie używaj ponownie żadnego z pięciu ostatnich haseł. Użyj unikatowego hasła, którego osoba atakująca nie może odgadnąć.

• Jeśli tożsamość lokalna jest federacyjna z usługą Microsoft 365, musisz zmienić hasło konta lokalnego lokalnie, a następnie powiadomić administratora o naruszeniach zabezpieczeń.

• Pamiętaj, aby zaktualizować hasła aplikacji. Hasła aplikacji nie są automatycznie odwoływane podczas resetowania hasła. Użytkownik powinien usunąć istniejące hasła aplikacji i utworzyć nowe. Aby uzyskać instrukcje, zobacz Zarządzanie hasłami aplikacji w celu weryfikacji dwuetapowej.

• Zdecydowanie zalecamy włączenie uwierzytelniania wieloskładnikowego dla konta. Uwierzytelnianie wieloskładnikowe jest dobrym sposobem zapobiegania naruszenia zabezpieczeń konta i jest bardzo ważne dla kont z uprawnieniami administracyjnymi. Aby uzyskać instrukcje, zobacz Konfigurowanie uwierzytelniania wieloskładnikowego.

Krok 2. Usuwanie podejrzanych adresów e-mail przesyłających dalej

1. W Centrum administracyjne platformy Microsoft 365 pod adresem https://admin.microsoft.comprzejdź do pozycji Użytkownicy>aktywni użytkownicy. Aby przejść bezpośrednio do strony Aktywni użytkownicy , użyj polecenia https://admin.microsoft.com/Adminportal/Home#/users.

2. Na stronie Aktywni użytkownicy znajdź konto użytkownika i wybierz je, klikając dowolne miejsce w wierszu innym niż pole wyboru obok nazwy.

3. W wyświetlonym wysuwu szczegółów wybierz kartę Poczta .

4. Wartość Zastosowana w sekcji przekazywania Email wskazuje, że na koncie skonfigurowano przekazywanie poczty.

   Wybierz pozycję Zarządzaj przekazywaniem wiadomości e-mail, wyczyść pole wyboru Prześlij wszystkie wiadomości e-mail wysłane do tej skrzynki pocztowej w wyświetlonym wysuwaniu Zarządzanie przekazywaniem wiadomości e-mail , a następnie wybierz pozycję Zapisz zmiany.

Krok 3. Wyłączanie podejrzanych reguł skrzynki odbiorczej

1. Zaloguj się do skrzynki pocztowej użytkownika przy użyciu Outlook w sieci Web.

2. Wybierz pozycję Ustawienia (ikona koła zębatego), wprowadź "reguły" w polu Search, a następnie wybierz pozycję Reguły skrzynki odbiorczej z wyników.

3. Na karcie Reguły otwartego wysuwanego okienka przejrzyj istniejące reguły i wyłącz lub usuń wszelkie podejrzane reguły.

Krok 4. Odblokuj użytkownikowi wysyłanie wiadomości e-mail

Jeśli konto zostało użyte do wysyłania spamu lub dużej liczby wiadomości e-mail, prawdopodobnie skrzynka pocztowa nie może wysyłać wiadomości e-mail.

Aby odblokować skrzynkę pocztową przed wysłaniem wiadomości e-mail, postępuj zgodnie z procedurami opisanymi na stronie Usuwanie zablokowanych użytkowników ze strony Jednostki z ograniczeniami.

Krok 5 Opcjonalny: Blokowanie logowania konta użytkownika

Ważna

Możesz zablokować logowanie do konta, dopóki nie uznasz, że ponowne włączenie dostępu jest bezpieczne.

1. Wykonaj następujące kroki w Centrum administracyjne platformy Microsoft 365 pod adresem https://admin.microsoft.com:

   1. Przejdź do pozycji Użytkownicy>aktywni użytkownicy. Aby przejść bezpośrednio do strony Aktywni użytkownicy , użyj polecenia https://admin.microsoft.com/Adminportal/Home#/users.
   2. Na stronie Aktywni użytkownicy znajdź i wybierz konto użytkownika z listy, wykonując jedną z następujących czynności:
      • Wybierz użytkownika, klikając dowolne miejsce w wierszu innym niż pole wyboru obok nazwy. W wyświetlonym oknie wysuwnym szczegółów wybierz pozycję Blokuj logowanie w górnej części wysuwanego menu.
      • Zaznacz użytkownika, zaznaczając pole wyboru obok nazwy. Wybierz pozycję Więcej akcji>Edytuj stan logowania.
   3. W wyświetlonym menu wysuwnym Blokuj logowanie przeczytaj informacje, wybierz pozycję Blokuj logowanie tego użytkownika, wybierz pozycję Zapisz zmiany, a następnie wybierz pozycję Zamknij w górnej części wysuwanego menu.

2. Wykonaj następujące kroki w centrum administracyjnym programu Exchange (EAC) pod adresem https://admin.exchange.microsoft.com:

   1. Przejdź do obszaru Skrzynki pocztowe adresatów>. Aby przejść bezpośrednio do strony Skrzynki pocztowe , użyj polecenia https://admin.exchange.microsoft.com/#/mailboxes.
   2. Na stronie Skrzynki pocztowe znajdź i wybierz użytkownika z listy, wykonując jedną z następujących czynności:
      • Wybierz użytkownika, klikając dowolne miejsce w wierszu innym niż okrągłe pole wyboru wyświetlane obok nazwy.
      • Zaznacz użytkownika, zaznaczając okrągłe pole wyboru wyświetlane obok nazwy, a następnie wybierając akcję Edytuj wyświetlaną na stronie.
   3. W wyświetlonym oknie wysuwowym szczegółów wykonaj następujące czynności:

      1. Sprawdź, czy wybrano kartę Ogólne, a następnie wybierz pozycję Zarządzaj ustawieniami aplikacji poczty e-mail w sekcji Email aplikacje & urządzenia przenośne.

      2. W wyświetlonym menu wysuwowym Zarządzanie ustawieniami aplikacji poczty e-mail wyłącz wszystkie dostępne ustawienia, zmieniając przełączniki na Wyłączone:

         • Outlook Desktop (MAPI)
         • Usługi sieci Web programu Exchange
         • Urządzenia przenośne (Exchange ActiveSync)
         • IMAP
         • POP3
         • Outlook on the web

         Po zakończeniu w menu wysuwnym Zarządzanie ustawieniami aplikacji poczty e-mail wybierz pozycję Zapisz, a następnie wybierz pozycję Zamknij w górnej części wysuwanego menu.

Krok 6 Opcjonalny: Usuwanie podejrzanego konta z naruszeniem zabezpieczeń ze wszystkich grup ról administracyjnych

Uwaga

Możesz przywrócić członkostwo użytkownika w grupach ról administracyjnych po zabezpieczeniu konta.

1. W Centrum administracyjne platformy Microsoft 365 pod adresem https://admin.microsoft.comwykonaj następujące kroki:

   1. Przejdź do pozycji Użytkownicy>aktywni użytkownicy. Aby przejść bezpośrednio do strony Aktywni użytkownicy , użyj polecenia https://admin.microsoft.com/Adminportal/Home#/users.

   2. Na stronie Aktywni użytkownicy znajdź i wybierz konto użytkownika z listy, wykonując jedną z następujących czynności:

      • Wybierz użytkownika, klikając dowolne miejsce w wierszu innym niż pole wyboru obok nazwy. W wyświetlonym wysuwu szczegółów sprawdź, czy wybrano kartę Konto , a następnie wybierz pozycję Zarządzaj rolami w sekcji Role .
      • Zaznacz użytkownika, zaznaczając pole wyboru obok nazwy. Wybierz pozycję Więcej akcji>Zarządzaj rolami.

   3. W wyświetlonym menu wysuwowym Zarządzanie rolami administratora wykonaj następujące czynności:

      • Zarejestruj wszelkie informacje, które chcesz przywrócić później.
      • Usuń członkostwo w roli administracyjnej, wybierając pozycję Użytkownik (bez dostępu do centrum administracyjnego).

      Po zakończeniu pracy z wysuwaną pozycją Zarządzaj rolami administratora wybierz pozycję Zapisz zmiany.

2. W portalu Microsoft Defender pod adresem https://security.microsoft.comwykonaj następujące czynności:

   1. Przejdź do pozycji Uprawnienia>Email & role> współpracy. Możesz też przejść bezpośrednio do strony Uprawienia, używając https://security.microsoft.com/emailandcollabpermissions.
   2. Na stronie Uprawnienia wybierz grupę ról z listy.
   3. Poszukaj konta użytkownika w sekcji Członkowie otwartego menu wysuwanego szczegółów. Jeśli grupa ról zawiera konto użytkownika, wykonaj następujące kroki:
      1. W sekcji Członkowie wybierz pozycję Edytuj.
      2. Na karcie Wybieranie członków otwartego menu wysuwanego wybierz pozycję Edytuj.
      3. W wyświetlonym menu wysuwowym Wybieranie członków wybierz pozycję Usuń.
      4. W wyświetlonej sekcji Członkowie wybierz konto użytkownika, zaznaczając pole wyboru obok nazwy, wybierz pozycję Usuń, a następnie wybierz pozycję Gotowe.
      5. W wysuwanej edycji Wybierz członków wybierz pozycję Zapisz.
      6. W wysuwanym obszarze szczegółów grupy ról wybierz pozycję Zamknij.
   4. Powtórz poprzednie kroki dla każdej grupy ról na liście.

3. W centrum administracyjnym programu Exchange pod adresem https://admin.exchange.microsoft.com/wykonaj następujące kroki:

   1. Przejdź do pozycji Role>Administracja role. Aby przejść bezpośrednio do strony ról Administracja, użyj polecenia https://admin.exchange.microsoft.com/#/adminRoles.

   2. Na stronie role Administracja wybierz grupę ról z listy, klikając dowolne miejsce w wierszu innym niż okrągłe pole wyboru wyświetlane obok nazwy.

   3. W wyświetlonym menu wysuwowym szczegółów wybierz kartę Przypisane , a następnie poszukaj konta użytkownika. Jeśli grupa ról zawiera konto użytkownika, wykonaj następujące kroki:

      1. Wybierz konto użytkownika.
      2. Wybierz wyświetloną akcję Usuń , wybierz pozycję Tak, usuń w oknie dialogowym ostrzeżenia, a następnie wybierz pozycję Zamknij w górnej części wysuwanego okna.

   4. Powtórz poprzednie kroki dla każdej grupy ról na liście.

Krok 7 Opcjonalny: Dodatkowe kroki ostrożności

1. Sprawdź zawartość folderu Wysłane elementy konta w programie Outlook lub Outlook w sieci Web.

   Może być konieczne poinformowanie osób na liście kontaktów, że Twoje konto zostało naruszone. Na przykład osoba atakująca mogła wysłać wiadomości z prośbą o pieniądze lub osoba atakująca mogła wysłać wirusa w celu przejęcia komputerów.

2. Konta innych usług, które używają tego konta jako alternatywnego konta e-mail, również mogły zostać naruszone. Po wykonaniu kroków opisanych w tym artykule dotyczącym konta w tej organizacji platformy Microsoft 365 wykonaj te kroki dla innych kont.

3. Sprawdź informacje kontaktowe (na przykład numery telefonów i adresy) konta.

Zobacz też

• Wykrywanie i korygowanie reguł programu Outlook i niestandardowych ataków iniekcji Forms na platformie Microsoft 365
• Wykrywanie i korygowanie niedozwolonych dotacji na zgodę
• Internet Crime Complaint Center
• Komisja Papierów Wartościowych i Giełd — oszustwa związane z wyłudzaniem informacji
• Aby zgłosić spam e-mail bezpośrednio do firmy Microsoft i administratora , użyj dodatku Komunikat raportu