Respondendo a uma conta de email comprometida

• Aplica-se a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

O acesso a caixas de correio, dados e outros serviços do Microsoft 365 é controlado por credenciais (por exemplo, um nome de usuário e uma senha ou PIN). Quando alguém diferente do usuário pretendido rouba essas credenciais, a conta associada é considerada comprometida.

Depois que um invasor rouba as credenciais e obtém acesso à conta, ele pode acessar a caixa de correio, as pastas do SharePoint ou as pastas do Microsoft 365 associadas no OneDrive do usuário. Os invasores geralmente usam a caixa de correio comprometida para enviar email como o usuário original para destinatários dentro e fora da organização. Os invasores que usam o email para enviar dados para destinatários externos são conhecidos como exfiltração de dados.

Este artigo explica os sintomas do comprometimento da conta e como recuperar o controle da conta comprometida.

Sintomas de uma conta de email comprometida da Microsoft

Os usuários pode notar e relatar atividades incomuns em suas caixas de correio do Microsoft 365. Por exemplo:

• Atividade suspeita, como email ausente ou excluído.
• Usuários que recebem email da conta comprometida sem o email correspondente na pasta Itens Enviados do remetente.
• Regras de caixa de entrada que não foram criadas pelo usuário ou administradores. Essas regras podem encaminhar email automaticamente para endereços desconhecidos ou mover mensagens para as pastas Anotações, Lixo Email ou Assinaturas RSS.
• O nome de exibição do usuário é alterado na Lista de Endereços Global.
• A caixa de correio se encontra impedida de enviar emails.
• As pastas Itens Enviados ou Itens Excluídos no Microsoft Outlook ou Outlook na Web (anteriormente conhecidas como Outlook Web App) contêm mensagens típicas para contas comprometidas (por exemplo, "Estou preso em Londres, envie dinheiro").
• Alterações de perfil incomuns. Por exemplo, nome, número de telefone ou atualizações de código postal.
• Várias e frequentes alterações de senha.
• Encaminhamento de email adicionado recentemente.
• Assinaturas incomuns foram adicionadas recentemente. Por exemplo, uma assinatura bancária falsa ou uma assinatura de medicamentos prescritos.

Se um usuário relatar esses sintomas ou outros sintomas incomuns, você deverá investigar. O portal Microsoft Defender e o portal do Azure oferecem as seguintes ferramentas para ajudar você a investigar atividades suspeitas em uma conta de usuário.

• Logs de auditoria unificados no portal Microsoft Defender: Filtre os logs para atividade usando um intervalo de datas que começa imediatamente antes da atividade suspeita ocorrer até hoje. Não filtrar atividades específicas durante a pesquisa. Para obter mais informações, consulte Pesquisa o log de auditoria.

• Microsoft Entra logs de entrada e outros relatórios de risco no centro de administração do Microsoft Entra: examine os valores nestas colunas:

  • Revise o endereço IP
  • locais de entrada
  • horários de entrada
  • sucesso ou falha de entrada

Importante

O botão a seguir permite testar e identificar atividades suspeitas da conta. Você pode usar essas informações para recuperar uma conta comprometida.

Executar testes: contas comprometidas

Proteger e restaurar a função de email para uma conta e caixa de correio comprometidas do Microsoft 365

Mesmo depois que o usuário recuperar o acesso à sua conta, o invasor pode ter entradas de porta traseira esquerda que permitem que o invasor retome o controle da conta.

Faça todas as etapas a seguir para recuperar o controle da conta. Siga as etapas assim que você suspeitar de um problema e o mais rápido possível para garantir que o invasor não retome o controle da conta. Essas etapas também ajudam você a remover todas as entradas de porta traseira que o invasor pode ter adicionado à conta. Depois de executar essas etapas, recomendamos que você execute uma verificação de vírus para garantir que o computador cliente não esteja comprometido.

Etapa 1: redefinir a senha do usuário

Siga os procedimentos em Redefinir uma senha comercial para alguém .

Importante

• Não envie a nova senha para o usuário por email, pois o invasor ainda tem acesso à caixa de correio neste momento.

• Use uma senha forte: letras maiúsculas e minúsculas, pelo menos um número e pelo menos um caractere especial.

• Mesmo que o requisito de histórico de senhas o permita, não reutilize nenhuma das últimas cinco senhas. Use uma senha exclusiva que o invasor não pode adivinhar.

• Se a identidade local for federada com o Microsoft 365, você deverá alterar a senha da conta local e notificar o administrador do compromisso.

• Certifique-se de atualizar as senhas do aplicativo. As senhas do aplicativo não são revogadas automaticamente quando você redefine a senha. O usuário deve excluir as senhas dos aplicativos existentes e criar novas. Para obter instruções, consulte Gerenciar senhas de aplicativo para verificação em duas etapas.

• Recomendamos que você habilite a MFA (autenticação multifator) para a conta. A MFA é uma boa maneira de ajudar a evitar o comprometimento da conta e é muito importante para contas com privilégios administrativos. Para obter instruções, consulte Configurar autenticação multifator.

Etapa 2: remover endereços de encaminhamento de email suspeitos

1. No Centro de administração do Microsoft 365 em https://admin.microsoft.com, acesse Usuários ativos>usuários. Ou, para ir diretamente para a página Usuários ativos , use https://admin.microsoft.com/Adminportal/Home#/users.

2. Na página Usuários ativos, localize a conta do usuário e selecione-a clicando em qualquer lugar da linha diferente da caixa marcar ao lado do nome.

3. No flyout de detalhes que é aberto, selecione a guia Email .

4. O valor Aplicado na seção encaminhamento Email indica que o encaminhamento de email está configurado na conta.

   Selecione Gerenciar encaminhamento de email, desmarque a caixa encaminhar todos os emails enviados para essa caixa de correio marcar no flyout Gerenciar encaminhamento de email que é aberto e selecione Salvar alterações.

Etapa 3: Desabilitar regras suspeitas da caixa de entrada

1. Entre na caixa de correio do usuário usando o Outlook na web.

2. Selecione Configurações (ícone de engrenagem), insira 'regras' na caixa Pesquisa e selecione Regras de caixa de entrada nos resultados.

3. Na guia Regras do flyout que é aberto, examine as regras existentes e desative ou exclua quaisquer regras suspeitas.

Etapa 4: desbloquear o usuário do envio de email

Se a conta foi usada para enviar spam ou um grande volume de email, é provável que a caixa de correio tenha sido impedida de enviar emails.

Para desbloquear uma caixa de correio do envio de email, siga os procedimentos em Remover usuários bloqueados da página Entidades restritas.

Etapa 5 Opcional: bloqueie a conta de usuário no login

Importante

Você pode bloquear a entrada da conta até acreditar que é seguro habilitar novamente o acesso.

1. Faça as seguintes etapas no Centro de administração do Microsoft 365 em https://admin.microsoft.com:

   1. Acesse usuários ativos de usuários>. Ou, para ir diretamente para a página Usuários ativos , use https://admin.microsoft.com/Adminportal/Home#/users.
   2. Na página Usuários ativos , localize e selecione a conta de usuário na lista fazendo uma das seguintes etapas:
      • Selecione o usuário clicando em qualquer lugar da linha que não seja a caixa marcar ao lado do nome. No flyout de detalhes que é aberto, selecione Bloquear entrada na parte superior do flyout.
      • Selecione o usuário selecionando a caixa marcar ao lado do nome. Selecione Mais ações>Editar status de entrada.
   3. No flyout de entrada bloquear que é aberto, leia as informações, selecione Bloquear esse usuário de entrar, selecione Salvar alterações e, em seguida, selecione Fechar na parte superior do flyout.

2. Faça as seguintes etapas no Centro de administração do Exchange (EAC) em https://admin.exchange.microsoft.com:

   1. AcesseCaixas de correiode destinatários>. Ou, para ir diretamente para a página Caixas de Correio , use https://admin.exchange.microsoft.com/#/mailboxes.
   2. Na página Caixas de Correio , localize e selecione o usuário na lista fazendo uma das seguintes etapas:
      • Selecione o usuário clicando em qualquer lugar da linha que não seja a caixa de marcar redonda que aparece ao lado do nome.
      • Selecione o usuário selecionando a caixa de marcar redonda que aparece ao lado do nome e selecione a ação Editar exibida na página.
   3. No flyout de detalhes que é aberto, faça as seguintes etapas:

      1. Verifique se a guia Geral está selecionada e selecione Gerenciar configurações de aplicativos de email na seção aplicativos Email & dispositivos móveis.

      2. No flyout Gerenciar configurações para aplicativos de email que é aberto, desabilite todas as configurações disponíveis alterando os alternâncias para Desabilitado:

         • Área de trabalho do Outlook (MAPI)
         • Serviços Web do Exchange
         • Móvel (Exchange ActiveSync)
         • IMAP
         • POP3
         • Outlook na web

         Quando terminar no flyout Gerenciar configurações para aplicativos de email , selecione Salvar e, em seguida, selecione Fechar na parte superior do flyout.

Etapa 6 Opcional: Remova a conta suspeita de estar comprometida de todos os grupos de funções administrativas

Observação

Você pode restaurar a associação do usuário em grupos de funções administrativas depois que a conta tiver sido protegida.

1. No Centro de administração do Microsoft 365 em https://admin.microsoft.com, execute as seguintes etapas:

   1. Acesse usuários ativos de usuários>. Ou, para ir diretamente para a página Usuários ativos , use https://admin.microsoft.com/Adminportal/Home#/users.

   2. Na página Usuários ativos , localize e selecione a conta de usuário na lista fazendo uma das seguintes etapas:

      • Selecione o usuário clicando em qualquer lugar da linha que não seja a caixa marcar ao lado do nome. No flyout de detalhes que é aberto, verifique se a guia Conta está selecionada e selecione Gerenciar funções na seção Funções .
      • Selecione o usuário selecionando a caixa marcar ao lado do nome. Selecione Mais ações>Gerenciar funções.

   3. No flyout Gerenciar funções de administrador que é aberto, siga as seguintes etapas:

      • Registre qualquer informação que você deseja restaurar mais tarde.
      • Remova a associação de função administrativa selecionando Usuário (sem acesso ao centro de administração).

      Quando terminar o flyout Gerenciar funções de administrador , selecione Salvar alterações.

2. No portal Microsoft Defender em https://security.microsoft.com, faça as seguintes etapas:

   1. AcesseFunções>de colaboração Email & Permissões>. Ou para ir direto para a página Permissões, use https://security.microsoft.com/emailandcollabpermissions.
   2. Na página Permissões , selecione um grupo de funções na lista.
   3. Procure a conta de usuário na seção Membros do flyout de detalhes que é aberto. Se o grupo de funções contiver a conta do usuário, execute as seguintes etapas:
      1. Na seção Membros , selecione Editar.
      2. Na guia Escolher membros do flyout que é aberto, selecione Editar.
      3. No flyout Escolher membros que é aberto, selecione Remover.
      4. Na seção Membros exibida, selecione a conta de usuário selecionando a caixa marcar ao lado do nome, selecione Remover e selecione Concluído.
      5. No flyout Editando Escolher membros , selecione Salvar.
      6. No flyout de detalhes do grupo de funções, selecione Fechar.
   4. Repita as etapas anteriores para cada grupo de funções na lista.

3. No Centro de administração do Exchange https://admin.exchange.microsoft.com/, execute as seguintes etapas:

   1. Vá para funções Administração funções>. Ou para ir diretamente para a página Administração funções, use https://admin.exchange.microsoft.com/#/adminRoles.

   2. Na página Administração funções, selecione um grupo de funções na lista clicando em qualquer lugar da linha diferente da caixa de marcar redonda que aparece ao lado do nome.

   3. No flyout de detalhes que é aberto, selecione a guia Atribuído e procure a conta de usuário. Se o grupo de funções contiver a conta do usuário, execute as seguintes etapas:

      1. Selecione a conta do usuário.
      2. Selecione a ação Excluir que aparece, selecione Sim, remova na caixa de diálogo de aviso e selecione Fechar na parte superior do flyout.

   4. Repita as etapas anteriores para cada grupo de funções na lista.

Etapa 7 Opcional: etapas adicionais de precaução

1. Verifique o conteúdo da pasta itens enviados da conta no Outlook ou Outlook na Web.

   Talvez seja necessário informar as pessoas na lista de contatos que sua conta foi comprometida. Por exemplo, o invasor pode ter enviado mensagens pedindo dinheiro aos seus contatos ou o invasor pode ter enviado um vírus para sequestrar seus computadores.

2. As contas de outros serviços que usam essa conta como uma conta de email alternativa também podem ter sido comprometidas. Depois de fazer as etapas neste artigo para a conta nesta organização do Microsoft 365, faça essas etapas para suas outras contas.

3. Verifique as informações de contato (por exemplo, números de telefone e endereços) da conta.

Confira também

• Detectar e corrigir ataques de injeção a regras e formulários personalizados do Outlook no Microsoft 365
• Detectar e corrigir concessões de consentimento ilícito
• Centro de Reclamações contra Crimes pela Internet
• Comissão de Valores Mobiliários - Fraude de "Phishing"
• Para denunciar emails de spam diretamente ao seu administrador e à Microsoft Use o suplemento Reportar mensagem