Responder a uma conta de e-mail comprometida
Sugestão
Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
As credenciais controlam o acesso a caixas de correio, dados e outros serviços do Microsoft 365. Quando alguém rouba essas credenciais, considera-se que a conta associada está comprometida.
Depois de um atacante roubar as credenciais e obter acesso à conta, pode aceder à caixa de correio do Microsoft 365, pastas do SharePoint ou ficheiros associados no OneDrive do utilizador. Os atacantes utilizam frequentemente a caixa de correio comprometida para enviar e-mails como utilizador original aos destinatários dentro e fora da organização. Os atacantes que utilizam o e-mail para enviar dados para destinatários externos são conhecidos como transferência de dados não autorizada.
Este artigo explica os sintomas do compromisso da conta e como recuperar o controlo da conta comprometida.
Sintomas de uma conta de e-mail da Microsoft comprometida
Os utilizadores podem reparar e reportar atividades invulgares nas respetivas caixas de correio do Microsoft 365. Por exemplo:
- Atividade suspeita, como e-mail em falta ou eliminado.
- Os utilizadores que recebem e-mails da conta comprometida sem o e-mail correspondente na pasta Itens Enviados do remetente.
- Regras suspeitas da Caixa de Entrada. Estas regras podem reencaminhar automaticamente o e-mail para endereços desconhecidos ou mover mensagens para as pastas Notas, Email de Lixo ou Subscrições RSS.
- O nome a apresentar do utilizador é alterado na Lista de Endereços Global.
- A caixa de correio do utilizador está impedida de enviar e-mails.
- As pastas Itens Enviados ou Itens Eliminados no Microsoft Outlook ou Outlook na Web (anteriormente conhecido como Outlook Web App) contêm mensagens típicas para contas comprometidas (por exemplo, "Estou preso em Londres, envio dinheiro").
- Alterações de perfil invulgares. Por exemplo, nome, número de telefone ou atualizações de código postal.
- Múltiplas e frequentes alterações de palavra-passe.
- Reencaminhamento de e-mail externo adicionado recentemente.
- Assinaturas de mensagens de e-mail invulgares. Por exemplo, uma assinatura bancária falsa ou uma assinatura de medicamentos prescritos.
Tem de investigar imediatamente se um utilizador comunica estes ou outros sintomas invulgares. O portal Microsoft Defender e o portal do Azure oferecem as seguintes ferramentas para o ajudar a investigar atividades suspeitas numa conta de utilizador:
Registos de auditoria unificados no portal do Microsoft Defender: filtre os registos de atividade através de um intervalo de datas que começa imediatamente antes da atividade suspeita ocorrer até hoje. Não filtre atividades específicas durante a pesquisa. Para obter mais informações, veja Pesquisar o registo de auditoria.
Microsoft Entra registos de início de sessão e outros relatórios de risco no centro de administração Microsoft Entra: Examine os valores nestas colunas:
- Rever endereço IP
- localizações de início de sessão
- horas de início de sessão
- início de sessão com êxito ou falha
Importante
O botão seguinte permite-lhe testar e identificar atividades suspeitas da conta. Pode utilizar estas informações para recuperar uma conta comprometida.
Proteger e restaurar a função de e-mail para uma conta e caixa de correio do Microsoft 365 comprometidas
Mesmo depois de o utilizador recuperar o acesso à conta, o atacante poderá deixar as entradas de back-door que podem recuperar o controlo da conta.
Siga todos os passos seguintes para recuperar o controlo da conta. Siga os passos assim que suspeitar de um problema e, o mais rapidamente possível, certifique-se de que o atacante não recupera o controlo da conta. Estes passos também ajudam a remover todas as entradas que o atacante adicionou à conta. Depois de efetuar estes passos, recomendamos que execute uma análise de vírus para garantir que o computador cliente não está comprometido.
Passo 1: Repor a palavra-passe do utilizador
Siga os procedimentos em Repor uma palavra-passe empresarial para alguém.
Importante
Não envie a nova palavra-passe ao utilizador por e-mail, porque o atacante ainda tem acesso à caixa de correio neste momento.
Certifique-se de que utiliza uma palavra-passe segura: letras maiúsculas e minúsculas, pelo menos um número e, pelo menos, um caráter especial.
Mesmo que o requisito do histórico de palavras-passe o permita, não reutilize nenhuma das últimas cinco palavras-passe. Utilize uma palavra-passe exclusiva que o atacante não consegue adivinhar.
Se a identidade do utilizador estiver federada com o Microsoft 365, tem de alterar a palavra-passe da conta no ambiente no local e, em seguida, notificar o administrador do compromisso.
Certifique-se de que atualiza as palavras-passe das aplicações. As palavras-passe de aplicação não são revogadas automaticamente quando repõe a palavra-passe. O utilizador deve eliminar palavras-passe de aplicação existentes e criar novas. Para obter instruções, consulte Gerir palavras-passe de aplicação para verificação de dois passos.
Recomendamos vivamente que ative a autenticação multifator (MFA) para a conta. A MFA é uma boa forma de ajudar a evitar o compromisso da conta e é muito importante para contas com privilégios administrativos. Para obter instruções, veja Configurar a autenticação multifator.
Passo 2: Remover endereços de reencaminhamento de e-mail suspeitos
Na centro de administração do Microsoft 365 em https://admin.microsoft.com, aceda a Utilizadores Utilizadores>Utilizadores ativos. Em alternativa, para aceder diretamente à página Utilizadores ativos , utilize https://admin.microsoft.com/Adminportal/Home#/users.
Na página Utilizadores ativos , localize a conta de utilizador e selecione-a ao clicar em qualquer parte da linha que não seja a caixa de verificação junto ao nome.
Na lista de opções de detalhes que é aberta, selecione o separador Correio .
No separador Correio, o valor Aplicado na secção Email reencaminhamento indica que o reencaminhamento de correio está configurado na conta. Para removê-lo, siga os seguintes passos:
- Selecione Gerir reencaminhamento de e-mail.
- Na lista de opções Gerir reencaminhamento de e-mail que é aberta, desmarque a caixa de verificação Reencaminhar todos os e-mails enviados para esta caixa de correio e, em seguida, selecione Guardar alterações.
Passo 3: Desativar regras suspeitas da Caixa de Entrada
Inicie sessão na caixa de correio do utilizador com Outlook na Web.
Selecione Definições (ícone de engrenagem), introduza "regras" na caixa Definições de pesquisa e, em seguida, selecione Regras da Caixa de Entrada nos resultados.
Na lista de opções Regras que é aberta, reveja as regras existentes e desative ou elimine quaisquer regras suspeitas.
Passo 4: Desbloquear o envio de correio por parte do utilizador
Se a conta tiver sido utilizada para enviar spam ou um grande volume de e-mail, é provável que a caixa de correio esteja bloqueada para enviar correio.
Para desbloquear o envio de e-mails numa caixa de correio, siga os procedimentos em Remover utilizadores bloqueados da página Entidades restritas.
Passo 5 Opcional: Bloquear o início de sessão da conta de utilizador
Importante
Pode bloquear o início de sessão da conta até acreditar que é seguro reativar o acesso.
Efetue os seguintes passos no centro de administração do Microsoft 365 em https://admin.microsoft.com:
- Aceda a Utilizadores Utilizadores>Ativos. Em alternativa, para aceder diretamente à página Utilizadores ativos , utilize https://admin.microsoft.com/Adminportal/Home#/users.
- Na página Utilizadores ativos , localize e selecione a conta de utilizador na lista ao efetuar um dos seguintes passos:
- Selecione o utilizador ao clicar em qualquer parte da linha que não seja a caixa de verificação junto ao nome. Na lista de opções de detalhes que é aberta, selecione Bloquear início de sessão na parte superior da lista de opções.
- Selecione o utilizador ao selecionar a caixa de verificação junto ao nome. Selecione Mais ações>Editar estado de início de sessão.
- Na lista de opções Bloquear início de sessão que é aberta, leia as informações, selecione Bloquear o início de sessão deste utilizador, selecione Guardar alterações e, em seguida, selecione Fechar na parte superior da lista de opções.
Efetue os seguintes passos no Centro de administração do Exchange (EAC) em https://admin.exchange.microsoft.com:
Aceda a Caixas deCorreiode Destinatários>. Em alternativa, para aceder diretamente à página Caixas de Correio , utilize https://admin.exchange.microsoft.com/#/mailboxes.
Na página Gerir caixas de correio , localize e selecione o utilizador na lista ao clicar em qualquer parte da linha que não seja a caixa de verificação redonda que aparece junto ao nome.
Na lista de opções de detalhes que é aberta, siga os seguintes passos:
- Verifique se o separador Geral está selecionado e, em seguida, selecione Gerir definições de aplicações de e-mail na secção aplicações Email & dispositivos móveis.
- Na lista de opções Gerir definições de aplicações de e-mail que é aberta, desative todas as definições disponíveis ao alterar os seletores para Desativado:
- Ambiente de trabalho do Outlook (MAPI)
- Serviços Web Exchange
- Dispositivos móveis (Exchange ActiveSync)
- IMAP
- POP3
- Outlook na web
Quando terminar, na lista de opções Gerir definições de aplicações de e-mail , selecione Guardar e, em seguida, selecione Fechar na parte superior da lista de opções.
Passo 6 Opcional: remover a conta comprometida suspeita de todas as funções administrativas
Nota
Pode restaurar a associação do utilizador em funções administrativas depois de a conta ter sido protegida.
Na centro de administração do Microsoft 365 em https://admin.microsoft.com, siga os seguintes passos:
Aceda a Utilizadores Utilizadores>Ativos. Em alternativa, para aceder diretamente à página Utilizadores ativos , utilize https://admin.microsoft.com/Adminportal/Home#/users.
Na página Utilizadores ativos , localize e selecione a conta de utilizador na lista ao efetuar um dos seguintes passos:
- Selecione o utilizador ao clicar em qualquer parte da linha que não seja a caixa de verificação junto ao nome. Na lista de opções de detalhes que é aberta, verifique se o separador Conta está selecionado e, em seguida, selecione Gerir funções na secção Funções .
- Selecione o utilizador ao selecionar a caixa de verificação junto ao nome. Selecione Mais ações>Gerir funções.
Na lista de opções Gerir funções de administrador que é aberta, siga os seguintes passos:
- Registe as informações que pretende restaurar mais tarde.
- Remova a associação à função administrativa ao selecionar Utilizador (sem acesso ao centro de administração).
Quando tiver terminado na lista de opções Gerir funções de administrador , selecione Guardar alterações.
No portal Microsoft Defender em https://security.microsoft.com, siga os seguintes passos:
Aceda a Permissões> Email &funções> de colaboração. Em alternativa, para aceder diretamente à página Permissões, utilize https://security.microsoft.com/emailandcollabpermissions.
Na página Permissões, selecione um grupo de funções na lista ao selecionar a caixa de verificação junto ao nome (por exemplo, Gestão da Organização) e, em seguida, selecione Editar ação que é apresentada.
Na página Editar membros do grupo de funções que é aberta, reveja a lista de membros. Se o grupo de funções contiver a conta de utilizador, remova o utilizador selecionando a caixa de verificação junto ao nome e, em seguida, selecionando Remover membros.
Quando tiver terminado na página Editar membros do grupo de funções, selecione Seguinte
Na página Rever o grupo de funções e concluir , reveja as informações e, em seguida, selecione Guardar.
Repita os passos anteriores para cada grupo de funções na lista.
No Centro de administração do Exchange em https://admin.exchange.microsoft.com/, siga os seguintes passos:
Aceda a Funções>Administração funções. Em alternativa, para aceder diretamente à página Administração funções, utilize https://admin.exchange.microsoft.com/#/adminRoles.
Na página Administração funções, selecione um grupo de funções na lista ao clicar em qualquer parte da linha que não seja a caixa de verificação redonda apresentada junto ao nome.
Na lista de opções de detalhes que é aberta, selecione o separador Atribuído e, em seguida, procure a conta de utilizador. Se o grupo de funções contiver a conta de utilizador, siga os seguintes passos:
- Selecione a conta de utilizador ao selecionar a caixa de verificação redonda que aparece junto ao nome.
- Selecione a ação Eliminar apresentada, selecione Sim, remover na caixa de diálogo de aviso e, em seguida, selecione Fechar na parte superior da lista de opções.
Repita os passos anteriores para cada grupo de funções na lista.
Passo 7 Opcional: Passos de precaução adicionais
Verifique o conteúdo da pasta Itens enviados da conta no Outlook ou Outlook na Web.
Poderá ter de informar os contactos do utilizador de que a conta foi comprometida. Por exemplo, o atacante pode ter enviado mensagens a pedir dinheiro aos contactos ou o atacante pode ter enviado um vírus para sequestrar os seus computadores.
Outros serviços que utilizam esta conta como um endereço de e-mail alternativo também podem ficar comprometidos. Depois de seguir os passos neste artigo para a conta nesta organização do Microsoft 365, siga os passos correspondentes nos outros serviços.
Verifique as informações de contacto (por exemplo, números de telefone e endereços) da conta.
Consulte também
- Detetar e Remediar Regras do Outlook e Ataques de Injeções de Forms Personalizadas no Microsoft 365
- Detetar e Remediar Concessões de Consentimento Ilícitas
- Centro de Queixas de Crimes da Internet
- Comissão de Valores Mobiliários - Fraude de "Phishing"
- Utilize o suplemento Mensagem de Relatório para comunicar e-mails de spam diretamente à Microsoft e/ou administradores (dependendo de como as definições comunicadas pelo utilizador estão configuradas).