Реагирование на скомпрометированную учетную запись электронной почты

• Применяется к:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Доступ к почтовым ящикам, данным и другим службам Microsoft 365 контролируется учетными данными (например, именем пользователя, паролем или ПИН-кодом). Когда кто-то, кроме предполагаемого пользователя, похищает эти учетные данные, связанная учетная запись считается скомпрометированной.

После того как злоумышленник украдет учетные данные и получит доступ к учетной записи, он сможет получить доступ к связанному почтовому ящику Microsoft 365, папкам SharePoint или файлам в OneDrive пользователя. Злоумышленники часто используют скомпрометированный почтовый ящик для отправки электронной почты в качестве исходного пользователя получателям внутри организации и за ее пределами. Злоумышленники, использующие электронную почту для отправки данных внешним получателям, называются кражей данных.

В этой статье описываются симптомы компрометации учетной записи и способы восстановления контроля над скомпрометированной учетной записью.

Симптомы компрометации учетной записи электронной почты Майкрософт

Пользователи могут заметить подозрительные действия в своих почтовых ящиках Microsoft 365 и сообщить об этих действиях. Например:

• Подозрительные действия, такие как отсутствующие или удаленные сообщения электронной почты.
• Пользователи, получающие сообщение электронной почты из скомпрометированной учетной записи без соответствующего сообщения электронной почты в папке Отправленные отправителя.
• Правила папки "Входящие", которые не были созданы пользователем или администраторами. Эти правила могут автоматически пересылать электронную почту на неизвестные адреса или перемещать сообщения в папки Notes, Нежелательная Email или RSS Subscriptions.
• Отображаемое имя пользователя изменяется в глобальном списке адресов.
• Почтовый ящик пользователя не может отправлять почту.
• Папки "Отправленные" или "Удаленные" в Microsoft Outlook или Outlook в Интернете (ранее известные как Outlook Web App) содержат типичные сообщения для скомпрометированных учетных записей (например, "Я застрял в Лондоне, отправляю деньги".
• Необычные изменения профиля. Например, имя, номер телефона или обновления почтового индекса.
• Несколько и часто изменяющихся паролей.
• Недавнее добавление переадресации почты.
• Недавно были добавлены необычные подписи. Например, поддельная банковская подпись или подпись отпускаемого по рецепту лекарства.

Если пользователь сообщает об этих симптомах или других необычных симптомах, следует исследовать. Портал Microsoft Defender и портал Azure предлагают следующие средства, которые помогут вам исследовать подозрительные действия в учетной записи пользователя.

• Единые журналы аудита на портале Microsoft Defender. Отфильтруйте журналы действий с помощью диапазона дат, который начинается непосредственно перед тем, как подозрительное действие произошло на сегодняшний день. Не фильтруйте определенные действия во время поиска. Дополнительные сведения см. в разделе Поиск журнал аудита.

• Microsoft Entra журналы входа и другие отчеты о рисках в Центр администрирования Microsoft Entra: изучите значения в следующих столбцах:

  • IP-адрес;
  • место входа;
  • время входа;
  • успешный или неудачный вход.

Важно!

Следующая кнопка позволяет протестировать и выявить подозрительные действия с учетной записью. Эти сведения можно использовать для восстановления скомпрометированных учетных записей.

Выполнение тестов: скомпрометированные учетные записи

Защита и восстановление функции электронной почты в скомпрометированных учетных записях и почтовых ящиках Microsoft 365

Даже после того, как пользователь восстановит доступ к своей учетной записи, злоумышленник может оставить записи задней двери, которые позволяют злоумышленнику возобновить контроль над учетной записью.

Выполните все следующие действия, чтобы восстановить контроль над учетной записью. Выполните действия, как только вы подозреваете проблему и как можно быстрее, чтобы убедиться, что злоумышленник не возобновит контроль над учетной записью. Эти действия также помогут удалить все записи на задней двери, которые злоумышленник мог добавить в учетную запись. После выполнения этих действий рекомендуется выполнить проверку на наличие вирусов, чтобы убедиться, что клиентский компьютер не скомпрометирован.

Шаг 1. Сброс пароля пользователя

Выполните процедуры из раздела Сброс бизнес-пароля для другого пользователя.

Важно!

• Не отправляйте новый пароль пользователю по электронной почте, так как злоумышленник по-прежнему имеет доступ к почтовому ящику на данный момент.

• Обязательно используйте надежный пароль: верхние и строчные буквы, по крайней мере одну цифру и хотя бы один специальный символ.

• Даже если это разрешено в журнале паролей, не используйте ни один из последних пяти паролей. Используйте уникальный пароль, который злоумышленник не может угадать.

• Если локальное удостоверение является федеративном с Microsoft 365, необходимо изменить пароль локальной учетной записи, а затем уведомить администратора о компрометации.

• Не забудьте обновить пароли приложений. Пароли приложений не отзываются автоматически при сбросе пароля. Пользователь должен удалить существующие пароли приложений и создать новые. Инструкции см. в разделе Управление паролями приложений для двухфакторной проверки подлинности.

• Настоятельно рекомендуется включить многофакторную проверку подлинности (MFA) для учетной записи. MFA — это хороший способ предотвратить компрометацию учетной записи. Это очень важно для учетных записей с правами администратора. Инструкции см. в разделе Настройка многофакторной проверки подлинности.

Шаг 2. Удаление подозрительных адресов переадресации электронной почты

1. В Центр администрирования Microsoft 365 в https://admin.microsoft.comвыберите Пользователи>Активные пользователи. Или, чтобы перейти непосредственно на страницу Активные пользователи , используйте https://admin.microsoft.com/Adminportal/Home#/users.

2. На странице Активные пользователи найдите учетную запись пользователя и выберите ее, щелкнув в любом месте строки, кроме поля проверка рядом с именем.

3. Во всплывающем окне сведений выберите вкладку Почта .

4. Значение Применено в разделе переадресации Email указывает, что в учетной записи настроена пересылка почты.

   Выберите Управление пересылкой электронной почты, снимите флажок Переслать все сообщения электронной почты, отправленные в этот почтовый ящик, проверка во всплывающем окне Управление пересылкой электронной почты, а затем выберите Сохранить изменения.

Шаг 3. Отключение подозрительных правил папки "Входящие"

1. Войдите в почтовый ящик пользователя с помощью Outlook в Интернете.

2. Выберите Параметры (значок шестеренки), введите "правила" в поле Поиск, а затем выберите Правила папки "Входящие" в результатах.

3. На вкладке Правила открывающегося всплывающего окна просмотрите существующие правила и отключите или удалите все подозрительные правила.

Шаг 4. Разблокирование отправки почты пользователем

Если учетная запись использовалась для отправки спама или большого объема электронной почты, скорее всего, почтовый ящик был заблокирован для отправки почты.

Чтобы разблокировать отправку электронной почты в почтовом ящике, выполните действия, описанные в статье Удаление заблокированных пользователей на странице Ограниченные сущности.

Шаг 5 (необязательно). Запретите вход в учетную запись пользователя

Важно!

Вы можете заблокировать вход в учетную запись, пока не поверите, что повторное включение доступа будет безопасным.

1. Выполните следующие действия в Центр администрирования Microsoft 365 по адресу https://admin.microsoft.com:

   1. Перейдите в раздел Пользователи>Активные пользователи. Или, чтобы перейти непосредственно на страницу Активные пользователи , используйте https://admin.microsoft.com/Adminportal/Home#/users.
   2. На странице Активные пользователи найдите и выберите учетную запись пользователя из списка, выполнив одно из следующих действий.
      • Выберите пользователя, щелкнув в любом месте строки, кроме поля проверка рядом с именем. В открывшемся всплывающем окне сведений выберите Блокировать вход в верхней части всплывающего элемента.
      • Выберите пользователя, выбрав поле проверка рядом с именем. Выберите Другие действия>Изменить состояние входа.
   3. В открывшемся всплывающем окне Блокировать вход прочтите сведения, выберите Блокировать вход для этого пользователя, щелкните Сохранить изменения, а затем нажмите кнопку Закрыть в верхней части всплывающего окна.

2. В Центре администрирования Exchange (EAC) выполните следующие действия по адресу https://admin.exchange.microsoft.com:

   1. Перейдите в раздел Почтовые ящики>получателей. Или, чтобы перейти непосредственно на страницу Почтовые ящики , используйте https://admin.exchange.microsoft.com/#/mailboxes.
   2. На странице Почтовые ящики найдите и выберите пользователя из списка, выполнив одно из следующих действий.
      • Выберите пользователя, щелкнув в любом месте строки, кроме круглого поля проверка рядом с именем.
      • Выберите пользователя, выбрав круглое поле проверка, которое отображается рядом с именем, а затем выберите действие Изменить, которое появится на странице.
   3. В открывавшемся всплывающем окне сведений выполните следующие действия.

      1. Убедитесь, что выбрана вкладка Общие, а затем выберите Управление параметрами приложений электронной почты в разделе Email приложения & мобильных устройств.

      2. Во всплывающем окне Управление параметрами для приложений электронной почты отключите все доступные параметры, изменив переключатели на Отключено:

         • Классическое приложение Outlook (MAPI)
         • Веб-службы Exchange
         • Протокол для мобильной связи (Exchange ActiveSync)
         • IMAP
         • POP3
         • Outlook в Интернете

         По завершении во всплывающем окне Управление параметрами для приложений электронной почты нажмите кнопку Сохранить, а затем нажмите кнопку Закрыть в верхней части всплывающего окна.

Необязательный шаг 6. Удалите подозрительную на компрометацию учетную запись из всех групп административных ролей

Примечание.

Членство пользователя в группах административных ролей можно восстановить после защиты учетной записи.

1. В Центре администрирования Microsoft 365 по адресу https://admin.microsoft.com выполните следующие действия:

   1. Перейдите в раздел Пользователи>Активные пользователи. Или, чтобы перейти непосредственно на страницу Активные пользователи , используйте https://admin.microsoft.com/Adminportal/Home#/users.

   2. На странице Активные пользователи найдите и выберите учетную запись пользователя из списка, выполнив одно из следующих действий.

      • Выберите пользователя, щелкнув в любом месте строки, кроме поля проверка рядом с именем. Во всплывающем окне сведений убедитесь, что выбрана вкладка Учетная запись , а затем выберите Управление ролями в разделе Роли .
      • Выберите пользователя, выбрав поле проверка рядом с именем. Выберите Дополнительные действия>Управление ролями.

   3. Во всплывающем окне Управление ролями администратора выполните следующие действия.

      • Запишите все сведения, которые вы хотите восстановить позже.
      • Удалите членство в административных ролях, выбрав Пользователь (без доступа к Центру администрирования).

      По завершении во всплывающем окне Управление ролями администратора выберите Сохранить изменения.

2. На портале Microsoft Defender по адресу https://security.microsoft.comсделайте следующее:

   1. Перейдите в раздел Разрешения>Email & роли> совместной работыРоли. Или перейдите непосредственно на страницу Разрешения по ссылке https://security.microsoft.com/emailandcollabpermissions.
   2. На странице Разрешения выберите группу ролей из списка.
   3. Найдите учетную запись пользователя в разделе Члены открывающегося всплывающего окна сведений. Если группа ролей содержит учетную запись пользователя, выполните следующие действия.
      1. В разделе Участники выберите Изменить.
      2. На вкладке Выбор членов открывающегося всплывающего окна выберите Изменить.
      3. Во всплывающем окне Выбор участников выберите Удалить.
      4. В появившемся разделе Участники выберите учетную запись пользователя, выбрав поле проверка рядом с именем, нажмите кнопку Удалить, а затем нажмите кнопку Готово.
      5. Во всплывающем окне Редактирование Выберите участников выберите Сохранить.
      6. Во всплывающем окне сведений о группе ролей выберите Закрыть.
   4. Повторите предыдущие шаги для каждой группы ролей в списке.

3. В Центре администрирования Exchange по адресу https://admin.exchange.microsoft.com/ выполните следующие действия:

   1. Выберите Роли>Администратор роли. Или, чтобы перейти непосредственно на страницу ролей Администратор, используйте https://admin.exchange.microsoft.com/#/adminRoles.

   2. На странице Администратор роли выберите группу ролей из списка, щелкнув в любом месте строки, кроме круглого проверка, которое отображается рядом с именем.

   3. Во всплывающем окне сведений выберите вкладку Назначено и найдите учетную запись пользователя. Если группа ролей содержит учетную запись пользователя, выполните следующие действия.

      1. Выберите учетную запись пользователя.
      2. Выберите отображающееся действие Удалить, выберите Да, удалить в диалоговом окне предупреждения, а затем нажмите кнопку Закрыть в верхней части всплывающего окна.

   4. Повторите предыдущие шаги для каждой группы ролей в списке.

Шаг 7 (необязательно). Дополнительные меры предосторожности

1. Проверьте содержимое папки Отправленные элементы учетной записи в Outlook или Outlook в Интернете.

   Возможно, вам потребуется сообщить пользователям из списка контактов, что ваша учетная запись была скомпрометирована. Например, злоумышленник мог отправлять сообщения с просьбой о деньгах у ваших контактов, или он послал вирус, чтобы захватить компьютеры.

2. Учетные записи для любых других служб, использующих эту учетную запись в качестве альтернативной учетной записи электронной почты, также могли быть скомпрометированы. После выполнения действий, описанных в этой статье, для учетной записи в этой организации Microsoft 365 выполните следующие действия для других учетных записей.

3. Проверьте контактные данные (например, номера телефонов и адреса) учетной записи.

См. также

• Обнаружение атак с внедрением правил и пользовательских форм Outlook и устранение их последствий в Microsoft 365
• Обнаружение и устранение незаконных разрешений на предоставление согласия
• Центр жалоб на Интернет-преступления
• Комиссия по ценным бумагам и биржам – "фишинговое" мошенничество
• Чтобы сообщить о нежелательной почте непосредственно в Майкрософт и своему администратору, воспользуйтесь надстройкой Report Message