Responder a uma conta de e-mail comprometida

Dica

Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

As credenciais de utilizador controlam o acesso a contas Microsoft Entra ID, que são centrais para comprometer as investigações. Quando um atacante obtém acesso à conta, pode aceder à caixa de correio do Microsoft 365, pastas do SharePoint ou ficheiros associados no OneDrive do utilizador. A remediação e investigação de um utilizador comprometido concentra-se na conta afetada e nos serviços associados à conta.

Os atacantes utilizam frequentemente a caixa de correio de um utilizador comprometido para enviar aos destinatários dentro e fora da organização. Business Email Compromise (BEC) é um tipo prolífico de ataque e é abordado neste artigo.

Este artigo aborda os sintomas de comprometimento da conta (especificamente, a caixa de correio) e como recuperar o controlo da conta comprometida.

Importante

O botão seguinte permite-lhe testar e identificar atividades suspeitas da conta. Utilize este teste com a documentação de orientação neste artigo para obter informações sobre contas potencialmente comprometidas e determinar as ações de remediação necessárias.

Executar Testes: Contas Comprometidas

Sintomas comuns de uma conta de e-mail do Microsoft 365 comprometida

Uma ou mais das seguintes atividades podem indicar que uma conta associada a uma caixa de correio do Microsoft 365 está comprometida:

• A caixa de correio está impedida de enviar e-mails.
• Atividade suspeita. Por exemplo, e-mail em falta ou eliminado.
• Regras suspeitas da Caixa de Entrada. Por exemplo:
  • Regras que reencaminham automaticamente o e-mail para endereços desconhecidos.
  • Regras que movem mensagens para as pastas Notas, Email de Lixo ou Subscrições RSS.
• As pastas Itens Enviados ou Itens Eliminados contêm mensagens suspeitas. Por exemplo, "Estou preso em Londres, envio dinheiro".
• Alterações ao contacto do utilizador na Lista de Endereços Global (GAL). Por exemplo, nome, número de telefone ou código postal.
• Alterações frequentes de palavras-passe ou bloqueios inexplicáveis da conta.
• Reencaminhamento de e-mail externo adicionado recentemente.
• Assinaturas de mensagens de e-mail suspeitas. Por exemplo, uma assinatura bancária falsa ou uma assinatura de medicamentos prescritos.

Se a caixa de correio apresentar algum destes sintomas, utilize os passos na secção seguinte para recuperar o controlo da conta.

Proteger e Restaurar a Função de Email para uma Conta De Correio Comprometida do Microsoft 365 Ativada

Depois de o atacante obter acesso a uma conta, tem de bloquear o acesso à conta o mais rapidamente possível.

Os passos seguintes abordam métodos conhecidos que podem permitir ao atacante manter a persistência e recuperar o controlo da conta mais tarde. Certifique-se de que aborda cada passo.

Passo 1: Desativar a conta de utilizador afetada

• A desativação da conta comprometida é preferencial e altamente recomendada até concluir a investigação.

  1. Se necessário, instale o módulo do PowerShell do Microsoft Graph no PowerShell ao executar o seguinte comando:

     Install-Module -Name Microsoft.Graph -Scope CurrentUser
     

  2. Ligue-se ao Microsoft Graph ao executar o seguinte comando:

     Connect-MgGraph -Scopes "User.ReadWrite.All"
     

  3. Para armazenar os detalhes da conta de utilizador na variável com o nome $user, substitua <UPN> pelo nome da conta do utilizador (nome principal de utilizador ou UPN) e, em seguida, execute o seguinte comando:

     $user = Get-MgUser -Search UserPrincipalName:'<UPN>' -ConsistencyLevel Eventual
     

     Por exemplo:

     $user = Get-MgUser -Search UserPrincipalName:'jason@contoso.onmicrosoft.com' -ConsistencyLevel Eventual
     

  4. Execute o seguinte comando para desativar a conta de utilizador:

     Update-MgUser -UserId $user.Id -AccountEnabled $false
     

  Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Update-MgUser

• Se não conseguir desativar a conta, o passo seguinte é repor a palavra-passe. Para obter instruções, consulte Repor palavras-passe no Microsoft 365 para empresas.

  • Certifique-se de que utiliza uma palavra-passe segura: letras maiúsculas e minúsculas, pelo menos um número e, pelo menos, um caráter especial.
  • Não envie a nova palavra-passe ao utilizador por e-mail, porque o atacante pode ter acesso à caixa de correio neste momento.
  • Utilize uma palavra-passe exclusiva que o atacante não consegue adivinhar. Mesmo que o requisito do histórico de palavras-passe o permita, não reutilize nenhuma das últimas cinco palavras-passe.
  • Se a conta for sincronizada a partir do Active Directory, reponha a palavra-passe no Active Directory e reponha-a duas vezes para mitigar o risco de ataques de passagem do hash . Para obter instruções, consulte Set-ADAccountPassword.
  • Se a identidade do utilizador estiver federada com o Microsoft 365, tem de alterar a palavra-passe da conta no ambiente no local e, em seguida, notificar o administrador do compromisso.
  • Certifique-se de atualizar as senhas do aplicativo. As palavras-passe de aplicação não são revogadas automaticamente quando repõe a palavra-passe. O usuário deve excluir as senhas dos aplicativos existentes e criar novas. Para obter mais informações, veja Gerir palavras-passe de aplicação para verificação de dois passos.

• Recomendamos vivamente que ative e aplique a autenticação multifator (MFA) para a conta. A MFA protege eficazmente contra o compromisso da conta e é essencial para contas com privilégios de administrador.

  Para saber mais, confira os seguintes artigos:

  • Configurar a autenticação multifator
  • Exigir MFA resistente a phishing para administradores

Passo 2: Revogar o Acesso do Utilizador

Este passo invalida imediatamente qualquer acesso ativo através das credenciais roubadas e impede o atacante de aceder a dados mais confidenciais ou de realizar ações não autorizadas na conta comprometida.

1. Execute o seguinte comando numa janela elevada do PowerShell (uma janela do PowerShell que abre ao selecionar Executar como administrador):

   Set-ExecutionPolicy RemoteSigned
   

2. Se necessário, execute os seguintes comandos para instalar os módulos necessários para o Microsoft Graph PowerShell:

   Install-Module Microsoft.Graph.Authentication
   
   Install-Module Microsoft.Graph.Users.Actions
   

3. Ligue-se ao Microsoft Graph ao executar o seguinte comando:

   Connect-MgGraph -Scopes User.RevokeSessions.All
   

4. Substitua <UPN> pela conta do utilizador (nome principal de utilizador ou UPN) e, em seguida, execute o seguinte comando:

   Revoke-MgUserSignInSession -UserId <UPN>
   

   Por exemplo:

   Revoke-MgUserSignInSession -UserId jason@contoso.onmicrosoft.com
   

Para obter mais informações, veja Revogar o acesso do utilizador numa emergência no Microsoft Entra ID.

Passo 3: rever os dispositivos registados na MFA para o utilizador afetado

Identifique e remova quaisquer dispositivos suspeitos adicionados por um atacante. Além disso, certifique-se de que todos os métodos de MFA não reconhecidos são removidos para proteger a conta do utilizador.

Para obter instruções, veja Métodos MFA removidos

Passo 4: rever a lista de aplicações com o consentimento do utilizador

Remova e revogue quaisquer aplicações que não devem ser permitidas.

Para obter instruções, veja Revisão da aplicação.

Passo 5: Rever as funções administrativas atribuídas ao utilizador

Remova quaisquer funções que não devem ser permitidas.

Para saber mais, confira os seguintes artigos:

• Listar atribuições de funções do Azure com o portal do Azure
• Listar Microsoft Entra atribuições de funções
• Permissões no portal do Microsoft Purview
• Microsoft Defender para Office 365 permissões no portal do Microsoft Defender

Passo 6: Rever reencaminhadores de correio

Remova qualquer reencaminhamento de caixa de correio suspeito que o atacante tenha adicionado.

1. Conectar-se ao Exchange Online PowerShell.

2. Para ver se o reencaminhamento da caixa de correio (também conhecido como reencaminhamento SMTP) está configurado na caixa de correio, substitua <Identidade> pelo nome, endereço de e-mail ou nome da conta da caixa de correio e, em seguida, execute o seguinte comando:

   Get-Mailbox -Identity \<Identity\> | Format-List Forwarding*Address,DeliverTo*
   

   Por exemplo:

   Get-Mailbox -Identity jason@contoso.com | Format-List Forwarding*Address,DeliverTo*
   

   Observe os valores das seguintes propriedades:

   • ForwardingAddress: um valor que não está em branco significa que o e-mail está a ser reencaminhado para o destinatário interno especificado.
   • ForwardingSmtpAddress: um valor não em branco significa que o e-mail está a ser reencaminhado para o destinatário externo especificado. Se o ForwardingAddress e o ForwardingSmtpAddress estiverem configurados, o e-mail é reencaminhado apenas para o destinatário interno ForwardingAddress .
   • DeliverToMailboxAndForward: controla a forma como as mensagens são entregues e reencaminhadas para os destinatários especificados por ForwardingAddress ou ForwardingSmtpAddress:
     • Verdadeiro: as mensagens são entregues nesta caixa de correio e reencaminhadas para o destinatário especificado.
     • Falso: as mensagens são reencaminhadas para o destinatário especificado. As mensagens não são entregues nesta caixa de correio.

3. Para ver se alguma regra da Caixa de Entrada está a reencaminhar e-mails a partir da caixa de correio, substitua <Identidade> pelo nome, endereço de e-mail ou nome da conta da caixa de correio e, em seguida, execute o seguinte comando:

   Get-InboxRule -Mailbox <Identity> -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
   

   Por exemplo:

   Get-InboxRule -Mailbox jason@contoso.com -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
   

   Observe os valores das seguintes propriedades:

   • Ativado: se a regra está ativada (Verdadeiro) ou desativada (Falso).

   • RedirectTo: um valor que não esteja em branco significa que o e-mail está a ser redirecionado para os destinatários especificados. As mensagens não são entregues nesta caixa de correio.

   • ForwardTo: um valor que não esteja em branco significa que o e-mail está a ser reencaminhado para os destinatários especificados.

   • ForwardAsAttachmentTo: um valor que não está em branco significa que o e-mail está a ser reencaminhado para os destinatários especificados como um anexo de e-mail.

   • Identidade: o valor globalmente exclusivo da regra. Para ver os detalhes completos da regra, substitua <Identidade> pelo valor Identidade e, em seguida, execute o seguinte comando:

     Get-InboxRule -Identity "<Identity>" -IncludeHidden | Format-List
     

     Por exemplo:

     Get-InboxRule -Identity "jason\10210541742734704641" -IncludeHidden | Format-List
     

Para obter mais informações, consulte Configurar e controlar o reencaminhamento de e-mails externos no Microsoft 365.

Efetuar uma Investigação

Quando um utilizador comunica sintomas invulgares, é crucial realizar uma investigação aprofundada. O centro de administração do Microsoft Entra e o portal do Microsoft Defender fornecem várias ferramentas para ajudar a examinar atividades suspeitas em contas de utilizador. Certifique-se de que revê os registos de auditoria a partir do início da atividade suspeita até concluir os passos de remediação.

• Microsoft Entra registos de início de sessão e outros relatórios de risco no centro de administração do Microsoft Entra: Examine os valores nestas colunas:

  • Endereço IP
  • Localizações de início de sessão
  • Horas de início de sessão
  • Início de sessão com êxito ou falha

  Para saber mais, confira os seguintes artigos:

  • O que são Microsoft Entra registos de auditoria?
  • O que são Microsoft Entra registos de início de sessão?

• Registos de auditoria do Azure: para obter mais informações, veja Registo de segurança e auditoria do Azure.

• Registos de auditoria no portal do Defender: filtre os registos de atividade com um intervalo de datas que é iniciado imediatamente antes da origem da atividade suspeita. Não filtre atividades específicas durante a pesquisa inicial.

  Para obter mais informações, veja Pesquisar o registo de auditoria.

Ao analisar os registos fornecidos, pode identificar o período de tempo específico que requer mais atenção. Depois de identificadas, reveja as mensagens enviadas pelo utilizador durante este período para obter mais informações.

• Rastreio de Mensagens no portal do Defender: verifique o conteúdo da pasta Itens enviados da conta no Outlook ou Outlook na Web.

  Para obter mais informações, veja Rastreio de mensagens no portal do Microsoft Defender.

Após a conclusão da investigação

1. Se desativou a conta durante a investigação, reponha a palavra-passe e, em seguida, ative a conta conforme descrito anteriormente neste artigo

2. Se a conta tiver sido utilizada para enviar spam ou um grande volume de e-mail, é provável que a caixa de correio esteja bloqueada para enviar correio. Remova o utilizador da página Entidades restritas, conforme descrito em Remover utilizadores bloqueados da página Entidades restritas.

Mais recursos

Detectar e corrigir ataques de injeção a regras e formulários personalizados do Outlook no Microsoft 365

Detetar e Remediar Concessões de Consentimento Ilícitas

Reportar spam, nonspam, phishing, e-mail suspeito e ficheiros à Microsoft