Compartilhar via


Responder a uma conta de e-mail comprometida

Dica

Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

As credenciais de utilizador controlam o acesso a contas Microsoft Entra ID, que são centrais para comprometer as investigações. Quando um atacante obtém acesso à conta, pode aceder à caixa de correio do Microsoft 365, pastas do SharePoint ou ficheiros associados no OneDrive do utilizador. A remediação e investigação de um utilizador comprometido concentra-se na conta afetada e nos serviços associados à conta.

Os atacantes utilizam frequentemente a caixa de correio de um utilizador comprometido para enviar aos destinatários dentro e fora da organização. Business Email Compromise (BEC) é um tipo prolífico de ataque e é abordado neste artigo.

Este artigo aborda os sintomas de comprometimento da conta (especificamente, a caixa de correio) e como recuperar o controlo da conta comprometida.

Importante

O botão seguinte permite-lhe testar e identificar atividades suspeitas da conta. Utilize este teste com a documentação de orientação neste artigo para obter informações sobre contas potencialmente comprometidas e determinar as ações de remediação necessárias.

Sintomas comuns de uma conta de e-mail do Microsoft 365 comprometida

Uma ou mais das seguintes atividades podem indicar que uma conta associada a uma caixa de correio do Microsoft 365 está comprometida:

  • A caixa de correio está impedida de enviar e-mails.
  • Atividade suspeita. Por exemplo, e-mail em falta ou eliminado.
  • Regras suspeitas da Caixa de Entrada. Por exemplo:
    • Regras que reencaminham automaticamente o e-mail para endereços desconhecidos.
    • Regras que movem mensagens para as pastas Notas, Email de Lixo ou Subscrições RSS.
  • As pastas Itens Enviados ou Itens Eliminados contêm mensagens suspeitas. Por exemplo, "Estou preso em Londres, envio dinheiro".
  • Alterações ao contacto do utilizador na Lista de Endereços Global (GAL). Por exemplo, nome, número de telefone ou código postal.
  • Alterações frequentes de palavras-passe ou bloqueios inexplicáveis da conta.
  • Reencaminhamento de e-mail externo adicionado recentemente.
  • Assinaturas de mensagens de e-mail suspeitas. Por exemplo, uma assinatura bancária falsa ou uma assinatura de medicamentos prescritos.

Se a caixa de correio apresentar algum destes sintomas, utilize os passos na secção seguinte para recuperar o controlo da conta.

Proteger e Restaurar a Função de Email para uma Conta De Correio Comprometida do Microsoft 365 Ativada

Depois de o atacante obter acesso a uma conta, tem de bloquear o acesso à conta o mais rapidamente possível.

Os passos seguintes abordam métodos conhecidos que podem permitir ao atacante manter a persistência e recuperar o controlo da conta mais tarde. Certifique-se de que aborda cada passo.

Passo 1: Desativar a conta de utilizador afetada

  • A desativação da conta comprometida é preferencial e altamente recomendada até concluir a investigação.

    1. Se necessário, instale o módulo do PowerShell do Microsoft Graph no PowerShell ao executar o seguinte comando:

      Install-Module -Name Microsoft.Graph -Scope CurrentUser
      
    2. Ligue-se ao Microsoft Graph ao executar o seguinte comando:

      Connect-MgGraph -Scopes "User.ReadWrite.All"
      
    3. Para armazenar os detalhes da conta de utilizador na variável com o nome $user, substitua <UPN> pelo nome da conta do utilizador (nome principal de utilizador ou UPN) e, em seguida, execute o seguinte comando:

      $user = Get-MgUser -Search UserPrincipalName:'<UPN>' -ConsistencyLevel Eventual
      

      Por exemplo:

      $user = Get-MgUser -Search UserPrincipalName:'jason@contoso.onmicrosoft.com' -ConsistencyLevel Eventual
      
    4. Execute o seguinte comando para desativar a conta de utilizador:

      Update-MgUser -UserId $user.Id -AccountEnabled $false
      

    Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Update-MgUser

  • Se não conseguir desativar a conta, o passo seguinte é repor a palavra-passe. Para obter instruções, consulte Repor palavras-passe no Microsoft 365 para empresas.

    • Certifique-se de que utiliza uma palavra-passe segura: letras maiúsculas e minúsculas, pelo menos um número e, pelo menos, um caráter especial.
    • Não envie a nova palavra-passe ao utilizador por e-mail, porque o atacante pode ter acesso à caixa de correio neste momento.
    • Utilize uma palavra-passe exclusiva que o atacante não consegue adivinhar. Mesmo que o requisito do histórico de palavras-passe o permita, não reutilize nenhuma das últimas cinco palavras-passe.
    • Se a conta for sincronizada a partir do Active Directory, reponha a palavra-passe no Active Directory e reponha-a duas vezes para mitigar o risco de ataques de passagem do hash . Para obter instruções, consulte Set-ADAccountPassword.
    • Se a identidade do utilizador estiver federada com o Microsoft 365, tem de alterar a palavra-passe da conta no ambiente no local e, em seguida, notificar o administrador do compromisso.
    • Certifique-se de atualizar as senhas do aplicativo. As palavras-passe de aplicação não são revogadas automaticamente quando repõe a palavra-passe. O usuário deve excluir as senhas dos aplicativos existentes e criar novas. Para obter mais informações, veja Gerir palavras-passe de aplicação para verificação de dois passos.
  • Recomendamos vivamente que ative e aplique a autenticação multifator (MFA) para a conta. A MFA protege eficazmente contra o compromisso da conta e é essencial para contas com privilégios de administrador.

    Para saber mais, confira os seguintes artigos:

Passo 2: Revogar o Acesso do Utilizador

Este passo invalida imediatamente qualquer acesso ativo através das credenciais roubadas e impede o atacante de aceder a dados mais confidenciais ou de realizar ações não autorizadas na conta comprometida.

  1. Execute o seguinte comando numa janela elevada do PowerShell (uma janela do PowerShell que abre ao selecionar Executar como administrador):

    Set-ExecutionPolicy RemoteSigned
    
  2. Se necessário, execute os seguintes comandos para instalar os módulos necessários para o Microsoft Graph PowerShell:

    Install-Module Microsoft.Graph.Authentication
    
    Install-Module Microsoft.Graph.Users.Actions
    
  3. Ligue-se ao Microsoft Graph ao executar o seguinte comando:

    Connect-MgGraph -Scopes User.RevokeSessions.All
    
  4. Substitua <UPN> pela conta do utilizador (nome principal de utilizador ou UPN) e, em seguida, execute o seguinte comando:

    Revoke-MgUserSignInSession -UserId <UPN>
    

    Por exemplo:

    Revoke-MgUserSignInSession -UserId jason@contoso.onmicrosoft.com
    

Para obter mais informações, veja Revogar o acesso do utilizador numa emergência no Microsoft Entra ID.

Passo 3: rever os dispositivos registados na MFA para o utilizador afetado

Identifique e remova quaisquer dispositivos suspeitos adicionados por um atacante. Além disso, certifique-se de que todos os métodos de MFA não reconhecidos são removidos para proteger a conta do utilizador.

Para obter instruções, veja Métodos MFA removidos

Remova e revogue quaisquer aplicações que não devem ser permitidas.

Para obter instruções, veja Revisão da aplicação.

Passo 5: Rever as funções administrativas atribuídas ao utilizador

Remova quaisquer funções que não devem ser permitidas.

Para saber mais, confira os seguintes artigos:

Passo 6: Rever reencaminhadores de correio

Remova qualquer reencaminhamento de caixa de correio suspeito que o atacante tenha adicionado.

  1. Conectar-se ao Exchange Online PowerShell.

  2. Para ver se o reencaminhamento da caixa de correio (também conhecido como reencaminhamento SMTP) está configurado na caixa de correio, substitua <Identidade> pelo nome, endereço de e-mail ou nome da conta da caixa de correio e, em seguida, execute o seguinte comando:

    Get-Mailbox -Identity \<Identity\> | Format-List Forwarding*Address,DeliverTo*
    

    Por exemplo:

    Get-Mailbox -Identity jason@contoso.com | Format-List Forwarding*Address,DeliverTo*
    

    Observe os valores das seguintes propriedades:

    • ForwardingAddress: um valor que não está em branco significa que o e-mail está a ser reencaminhado para o destinatário interno especificado.
    • ForwardingSmtpAddress: um valor não em branco significa que o e-mail está a ser reencaminhado para o destinatário externo especificado. Se o ForwardingAddress e o ForwardingSmtpAddress estiverem configurados, o e-mail é reencaminhado apenas para o destinatário interno ForwardingAddress .
    • DeliverToMailboxAndForward: controla a forma como as mensagens são entregues e reencaminhadas para os destinatários especificados por ForwardingAddress ou ForwardingSmtpAddress:
      • Verdadeiro: as mensagens são entregues nesta caixa de correio e reencaminhadas para o destinatário especificado.
      • Falso: as mensagens são reencaminhadas para o destinatário especificado. As mensagens não são entregues nesta caixa de correio.
  3. Para ver se alguma regra da Caixa de Entrada está a reencaminhar e-mails a partir da caixa de correio, substitua <Identidade> pelo nome, endereço de e-mail ou nome da conta da caixa de correio e, em seguida, execute o seguinte comando:

    Get-InboxRule -Mailbox <Identity> -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
    

    Por exemplo:

    Get-InboxRule -Mailbox jason@contoso.com -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
    

    Observe os valores das seguintes propriedades:

    • Ativado: se a regra está ativada (Verdadeiro) ou desativada (Falso).

    • RedirectTo: um valor que não esteja em branco significa que o e-mail está a ser redirecionado para os destinatários especificados. As mensagens não são entregues nesta caixa de correio.

    • ForwardTo: um valor que não esteja em branco significa que o e-mail está a ser reencaminhado para os destinatários especificados.

    • ForwardAsAttachmentTo: um valor que não está em branco significa que o e-mail está a ser reencaminhado para os destinatários especificados como um anexo de e-mail.

    • Identidade: o valor globalmente exclusivo da regra. Para ver os detalhes completos da regra, substitua <Identidade> pelo valor Identidade e, em seguida, execute o seguinte comando:

      Get-InboxRule -Identity "<Identity>" -IncludeHidden | Format-List
      

      Por exemplo:

      Get-InboxRule -Identity "jason\10210541742734704641" -IncludeHidden | Format-List
      

Para obter mais informações, consulte Configurar e controlar o reencaminhamento de e-mails externos no Microsoft 365.

Efetuar uma Investigação

Quando um utilizador comunica sintomas invulgares, é crucial realizar uma investigação aprofundada. O centro de administração do Microsoft Entra e o portal do Microsoft Defender fornecem várias ferramentas para ajudar a examinar atividades suspeitas em contas de utilizador. Certifique-se de que revê os registos de auditoria a partir do início da atividade suspeita até concluir os passos de remediação.

Ao analisar os registos fornecidos, pode identificar o período de tempo específico que requer mais atenção. Depois de identificadas, reveja as mensagens enviadas pelo utilizador durante este período para obter mais informações.

  • Rastreio de Mensagens no portal do Defender: verifique o conteúdo da pasta Itens enviados da conta no Outlook ou Outlook na Web.

    Para obter mais informações, veja Rastreio de mensagens no portal do Microsoft Defender.

Após a conclusão da investigação

  1. Se desativou a conta durante a investigação, reponha a palavra-passe e, em seguida, ative a conta conforme descrito anteriormente neste artigo

  2. Se a conta tiver sido utilizada para enviar spam ou um grande volume de e-mail, é provável que a caixa de correio esteja bloqueada para enviar correio. Remova o utilizador da página Entidades restritas, conforme descrito em Remover utilizadores bloqueados da página Entidades restritas.

Mais recursos

Detectar e corrigir ataques de injeção a regras e formulários personalizados do Outlook no Microsoft 365

Detetar e Remediar Concessões de Consentimento Ilícitas

Reportar spam, nonspam, phishing, e-mail suspeito e ficheiros à Microsoft