Responder a uma conta de e-mail comprometida

• Aplica-se a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Dica

Sabia que pode experimentar as funcionalidades do Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a versão de avaliação de 90 dias do Defender para Office 365 no hub de avaliações do portal do Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação aqui.

As credenciais controlam o acesso a caixas de correio, dados e outros serviços do Microsoft 365. Quando alguém rouba essas credenciais, considera-se que a conta associada está comprometida.

Depois de um atacante roubar as credenciais e obter acesso à conta, pode aceder à caixa de correio do Microsoft 365, pastas do SharePoint ou ficheiros associados no OneDrive do utilizador. Os atacantes utilizam frequentemente a caixa de correio comprometida para enviar e-mails como utilizador original aos destinatários dentro e fora da organização. Os atacantes que utilizam o e-mail para enviar dados para destinatários externos são conhecidos como transferência de dados não autorizada.

Este artigo explica os sintomas do compromisso da conta e como recuperar o controlo da conta comprometida.

Sintomas de uma conta de e-mail da Microsoft comprometida

Os usuários pode notar e relatar atividades incomuns em suas caixas de correio do Microsoft 365. Por exemplo:

• Atividade suspeita, como e-mail em falta ou eliminado.
• Os utilizadores que recebem e-mails da conta comprometida sem o e-mail correspondente na pasta Itens Enviados do remetente.
• Regras suspeitas da Caixa de Entrada. Estas regras podem reencaminhar automaticamente o e-mail para endereços desconhecidos ou mover mensagens para as pastas Notas, E-mail de Lixo ou Subscrições RSS .
• O nome a apresentar do utilizador é alterado na Lista de Endereços Global.
• A caixa de correio se encontra impedida de enviar emails.
• As pastas Itens Enviados ou Itens Eliminados no Microsoft Outlook ou Outlook na Web (anteriormente conhecido como Outlook Web App) contêm mensagens típicas para contas comprometidas (por exemplo, "Estou preso em Londres, enviar dinheiro").
• Alterações de perfil invulgares. Por exemplo, nome, número de telefone ou atualizações de código postal.
• Múltiplas e frequentes alterações de palavra-passe.
• Reencaminhamento de e-mail externo adicionado recentemente.
• Assinaturas de mensagens de e-mail invulgares. Por exemplo, uma assinatura bancária falsa ou uma assinatura de medicamentos prescritos.

Tem de investigar imediatamente se um utilizador comunica estes ou outros sintomas invulgares. O portal do Microsoft Defender e o portal do Azure oferecem as seguintes ferramentas para o ajudar a investigar atividades suspeitas numa conta de utilizador:

• Registos de auditoria unificados no portal do Microsoft Defender: filtre os registos de atividade através de um intervalo de datas que é iniciado imediatamente antes de a atividade suspeita ocorrer até hoje. Não filtre atividades específicas durante a pesquisa. Para obter mais informações, veja Pesquisar o registo de auditoria.

• Registos de início de sessão do Microsoft Entra e outros relatórios de risco no centro de administração do Microsoft Entra: examine os valores nestas colunas:

  • Revise o endereço IP
  • locais de entrada
  • horários de entrada
  • sucesso ou falha de entrada

Importante

O botão seguinte permite-lhe testar e identificar atividades suspeitas da conta. Pode utilizar estas informações para recuperar uma conta comprometida.

Executar Testes: Contas Comprometidas

Proteger e restaurar a função de e-mail para uma conta e caixa de correio do Microsoft 365 comprometidas

Mesmo depois de o utilizador recuperar o acesso à conta, o atacante poderá deixar as entradas de back-door que podem recuperar o controlo da conta.

Siga todos os passos seguintes para recuperar o controlo da conta. Siga os passos assim que suspeitar de um problema e, o mais rapidamente possível, certifique-se de que o atacante não recupera o controlo da conta. Estes passos também ajudam a remover todas as entradas que o atacante adicionou à conta. Depois de efetuar estes passos, recomendamos que execute uma análise de vírus para garantir que o computador cliente não está comprometido.

Passo 1: Repor a palavra-passe do utilizador

Siga os procedimentos em Redefinir uma senha comercial para alguém .

Importante

• Não envie a nova palavra-passe ao utilizador por e-mail, porque o atacante ainda tem acesso à caixa de correio neste momento.

• Certifique-se de que utiliza uma palavra-passe segura: letras maiúsculas e minúsculas, pelo menos um número e, pelo menos, um caráter especial.

• Mesmo que o requisito do histórico de palavras-passe o permita, não reutilize nenhuma das últimas cinco palavras-passe. Utilize uma palavra-passe exclusiva que o atacante não consegue adivinhar.

• Se a identidade do utilizador estiver federada com o Microsoft 365, tem de alterar a palavra-passe da conta no ambiente no local e, em seguida, notificar o administrador do compromisso.

• Certifique-se de atualizar as senhas do aplicativo. As palavras-passe de aplicação não são revogadas automaticamente quando repõe a palavra-passe. O usuário deve excluir as senhas dos aplicativos existentes e criar novas. Para obter instruções, consulte Gerir palavras-passe de aplicação para verificação de dois passos.

• Recomendamos vivamente que ative a autenticação multifator (MFA) para a conta. A MFA é uma boa forma de ajudar a evitar o compromisso da conta e é muito importante para contas com privilégios administrativos. Para obter instruções, veja Configurar a autenticação multifator.

Passo 2: Remover endereços de reencaminhamento de e-mail suspeitos

1. No centro de administração do Microsoft 365 em https://admin.microsoft.com, aceda a Utilizadores Utilizadores>Utilizadores ativos. Em alternativa, para aceder diretamente à página Utilizadores ativos , utilize https://admin.microsoft.com/Adminportal/Home#/users.

2. Na página Utilizadores ativos , localize a conta de utilizador e selecione-a ao clicar em qualquer parte da linha que não seja a caixa de verificação junto ao nome.

3. Na lista de opções de detalhes que é aberta, selecione o separador Correio .

4. No separador Correio , o valor Aplicado na secção Reencaminhamento de e-mail indica que o reencaminhamento de correio está configurado na conta. Para removê-lo, siga os seguintes passos:

   • Selecione Gerir reencaminhamento de e-mail.
   • Na lista de opções Gerir reencaminhamento de e-mail que é aberta, desmarque a caixa de verificação Reencaminhar todos os e-mails enviados para esta caixa de correio e, em seguida, selecione Guardar alterações.

Passo 3: Desativar regras suspeitas da Caixa de Entrada

1. Entre na caixa de correio do usuário usando o Outlook na web.

2. Selecione Definições (ícone de engrenagem), introduza "regras" na caixa Definições de pesquisa e, em seguida, selecione Regras da Caixa de Entrada nos resultados.

3. Na lista de opções Regras que é aberta, reveja as regras existentes e desative ou elimine quaisquer regras suspeitas.

Passo 4: Desbloquear o envio de correio por parte do utilizador

Se a conta tiver sido utilizada para enviar spam ou um grande volume de e-mail, é provável que a caixa de correio esteja bloqueada para enviar correio.

Para desbloquear o envio de e-mails numa caixa de correio, siga os procedimentos em Remover utilizadores bloqueados da página Entidades restritas.

Etapa 5 Opcional: bloqueie a conta de usuário no login

Importante

Pode bloquear o início de sessão da conta até acreditar que é seguro reativar o acesso.

1. Efetue os seguintes passos no centro de administração do Microsoft 365 em https://admin.microsoft.com:

   1. Aceda a Utilizadores Utilizadores>Ativos. Em alternativa, para aceder diretamente à página Utilizadores ativos , utilize https://admin.microsoft.com/Adminportal/Home#/users.
   2. Na página Utilizadores ativos , localize e selecione a conta de utilizador na lista ao efetuar um dos seguintes passos:
      • Selecione o utilizador ao clicar em qualquer parte da linha que não seja a caixa de verificação junto ao nome. Na lista de opções de detalhes que é aberta, selecione Bloquear início de sessão na parte superior da lista de opções.
      • Selecione o utilizador ao selecionar a caixa de verificação junto ao nome. Selecione Mais ações>Editar estado de início de sessão.
   3. Na lista de opções Bloquear início de sessão que é aberta, leia as informações, selecione Bloquear o início de sessão deste utilizador, selecione Guardar alterações e, em seguida, selecione Fechar na parte superior da lista de opções.

2. Efetue os seguintes passos no Centro de administração do Exchange (EAC) em https://admin.exchange.microsoft.com:

   1. Aceda a Caixas deCorreiode Destinatários>. Em alternativa, para aceder diretamente à página Caixas de Correio , utilize https://admin.exchange.microsoft.com/#/mailboxes.

   2. Na página Gerir caixas de correio , localize e selecione o utilizador na lista ao clicar em qualquer parte da linha que não seja a caixa de verificação redonda que aparece junto ao nome.

   3. Na lista de opções de detalhes que é aberta, siga os seguintes passos:

      1. Verifique se o separador Geral está selecionado e, em seguida, selecione Gerir definições de aplicações de e-mail na secção Aplicações de e-mail & dispositivos móveis .
      2. Na lista de opções Gerir definições de aplicações de e-mail que é aberta, desative todas as definições disponíveis ao alterar os seletores para Desativado:
         • Área de trabalho do Outlook (MAPI)
         • Serviços Web do Exchange
         • Móvel (Exchange ActiveSync)
         • IMAP
         • POP3
         • Outlook na web

      Quando terminar, na lista de opções Gerir definições de aplicações de e-mail , selecione Guardar e, em seguida, selecione Fechar na parte superior da lista de opções.

Passo 6 Opcional: remover a conta comprometida suspeita de todas as funções administrativas

Observação

Pode restaurar a associação do utilizador em funções administrativas depois de a conta ter sido protegida.

1. No Centro de administração do Microsoft 365 em https://admin.microsoft.com, execute as seguintes etapas:

   1. Aceda a Utilizadores Utilizadores>Ativos. Em alternativa, para aceder diretamente à página Utilizadores ativos , utilize https://admin.microsoft.com/Adminportal/Home#/users.

   2. Na página Utilizadores ativos , localize e selecione a conta de utilizador na lista ao efetuar um dos seguintes passos:

      • Selecione o utilizador ao clicar em qualquer parte da linha que não seja a caixa de verificação junto ao nome. Na lista de opções de detalhes que é aberta, verifique se o separador Conta está selecionado e, em seguida, selecione Gerir funções na secção Funções .
      • Selecione o utilizador ao selecionar a caixa de verificação junto ao nome. Selecione Mais ações>Gerir funções.

   3. Na lista de opções Gerir funções de administrador que é aberta, siga os seguintes passos:

      • Registe as informações que pretende restaurar mais tarde.
      • Remova a associação à função administrativa ao selecionar Utilizador (sem acesso ao centro de administração).

      Quando tiver terminado na lista de opções Gerir funções de administrador , selecione Guardar alterações.

2. No portal do Microsoft Defender em https://security.microsoft.com, siga os seguintes passos:

   1. Aceda a Permissões>E-mail & funções> de colaboração. Ou para ir direto para a página Permissões, use https://security.microsoft.com/emailandcollabpermissions.

   2. Na página Permissões, selecione um grupo de funções na lista ao selecionar a caixa de verificação junto ao nome (por exemplo, Gestão da Organização) e, em seguida, selecione Editar ação que é apresentada.

   3. Na página Editar membros do grupo de funções que é aberta, reveja a lista de membros. Se o grupo de funções contiver a conta de utilizador, remova o utilizador selecionando a caixa de verificação junto ao nome e, em seguida, selecionando Remover membros.

      Quando tiver terminado na página Editar membros do grupo de funções, selecione Seguinte

   4. Na página Rever o grupo de funções e concluir , reveja as informações e, em seguida, selecione Guardar.

   5. Repita os passos anteriores para cada grupo de funções na lista.

3. No Centro de administração do Exchange https://admin.exchange.microsoft.com/, execute as seguintes etapas:

   1. Aceda a Funções>Funções Funções de administrador. Em alternativa, para aceder diretamente à página Funções de administrador , utilize https://admin.exchange.microsoft.com/#/adminRoles.

   2. Na página Funções de administrador , selecione um grupo de funções na lista ao clicar em qualquer parte da linha que não seja a caixa de verificação redonda apresentada junto ao nome.

   3. Na lista de opções de detalhes que é aberta, selecione o separador Atribuído e, em seguida, procure a conta de utilizador. Se o grupo de funções contiver a conta do usuário, execute as seguintes etapas:

      1. Selecione a conta de utilizador ao selecionar a caixa de verificação redonda que aparece junto ao nome.
      2. Selecione a ação Eliminar apresentada, selecione Sim, remover na caixa de diálogo de aviso e, em seguida, selecione Fechar na parte superior da lista de opções.

   4. Repita os passos anteriores para cada grupo de funções na lista.

Etapa 7 Opcional: etapas adicionais de precaução

1. Verifique o conteúdo da pasta Itens enviados da conta no Outlook ou outlook na Web.

   Poderá ter de informar os contactos do utilizador de que a conta foi comprometida. Por exemplo, o atacante pode ter enviado mensagens a pedir dinheiro aos contactos ou o atacante pode ter enviado um vírus para sequestrar os seus computadores.

2. Outros serviços que utilizam esta conta como um endereço de e-mail alternativo também podem ficar comprometidos. Depois de seguir os passos neste artigo para a conta nesta organização do Microsoft 365, siga os passos correspondentes nos outros serviços.

3. Verifique as informações de contacto (por exemplo, números de telefone e endereços) da conta.

Confira também

• Detectar e corrigir ataques de injeção a regras e formulários personalizados do Outlook no Microsoft 365
• Detetar e Remediar Concessões de Consentimento Ilícitas
• Centro de Reclamações contra Crimes pela Internet
• Comissão de Valores Mobiliários - Fraude de "Phishing"
• Utilize o suplemento Mensagem de Relatório para comunicar e-mails de spam diretamente à Microsoft e/ou administradores (dependendo de como as definições comunicadas pelo utilizador estão configuradas).