响应已泄露的电子邮件帐户

提示

你知道可以免费试用 Microsoft Defender XDR for Office 365 计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用为期 90 天的 Defender for Office 365 试用版。 在此处了解谁可以注册和试用条款。

凭据控制对 Microsoft 365 个邮箱、数据和其他服务的访问。 当有人窃取这些凭据时,关联的帐户被视为已泄露。

攻击者窃取凭据并获取对帐户的访问权限后,可以访问用户的 OneDrive 中关联的Microsoft 365 邮箱、SharePoint 文件夹或文件。 攻击者通常使用受损邮箱以原始用户身份向组织内外的收件人发送电子邮件。 攻击者使用电子邮件向外部收件人发送数据称为 数据外泄

本文介绍帐户泄露的症状,以及如何重新获得对已泄露帐户的控制。

Microsoft电子邮件帐户遭到入侵的症状

用户可能会注意到并报告其 Microsoft 365 邮箱中的异常活动。 例如:

  • 可疑活动,例如丢失或删除的电子邮件。
  • 从发件人的“ 已发送邮件 ”文件夹中没有相应电子邮件的已泄露帐户接收电子邮件的用户。
  • 可疑的收件箱规则。 这些规则可能会自动将电子邮件转发到未知地址,或将邮件移动到 “备注”、“ 垃圾邮件”“RSS 订阅” 文件夹。
  • 全局地址列表中更改了用户的显示名称。
  • 用户的邮箱被阻止发送电子邮件。
  • Microsoft Outlook 或 Outlook 网页版中的“已发送邮件”或“已删除邮件”文件夹 (以前称为 Outlook Web App) 包含针对受入侵帐户的典型邮件 (,例如“我卡在伦敦,汇款”。) 。
  • 异常的配置文件更改。 例如,姓名、电话号码或邮政编码更新。
  • 多次频繁的密码更改。
  • 最近添加了外部电子邮件转发。
  • 异常电子邮件签名。 例如,假银行签名或处方药签名。

你需要立即调查用户是否报告了这些或其他异常症状。 Microsoft Defender 门户和 Azure 门户提供以下工具来帮助调查用户帐户上的可疑活动:

  • Microsoft Defender 门户中的统一审核日志:使用在可疑活动发生之前立即开始的日期范围筛选活动的日志。 在搜索期间不要筛选特定活动。 有关详细信息,请参阅 搜索审核日志

  • Microsoft Entra 登录日志和其他风险报告Microsoft Entra 管理中心:检查以下列中的值:

    • 查看 IP 地址
    • 登录位置
    • 登录时间
    • 登录成功或失败

重要

通过以下按钮,可以测试和识别可疑的帐户活动。 可以使用此信息来恢复已泄露的帐户。

保护电子邮件功能并将其还原到已泄露的 Microsoft 365 帐户和邮箱

即使在用户重新获得对其帐户的访问权限之后,攻击者也可能留下可以重新获得帐户控制权的后门条目。

执行 以下所有 步骤以重新获得对帐户的控制。 一旦怀疑有问题,请尽快完成这些步骤,确保攻击者不会重新获得对帐户的控制。 这些步骤还有助于删除攻击者添加到帐户的任何后门条目。 执行这些步骤后,建议运行病毒扫描,以确保客户端计算机不会受到威胁。

步骤 1:重置用户密码

按照为他人重置商业版密码中的程序操作。

重要

  • 请勿通过电子邮件向用户发送新密码,因为此时攻击者仍有权访问邮箱。

  • 请务必使用强密码:大写和小写字母、至少一个数字和至少一个特殊字符。

  • 即使密码历史记录要求允许,也不要重复使用最近五个密码中的任何一个。 使用攻击者无法猜到的唯一密码。

  • 如果用户的标识与 Microsoft 365 联合,则必须在本地环境中更改帐户密码,然后将泄露通知管理员。

  • 务必更新应用密码。 重置密码时,不会自动撤销应用密码。 用户应删除现有应用程序密码并创建新密码。 有关说明,请参阅 管理双重验证的应用密码

  • 强烈建议为帐户启用多重身份验证 (MFA) 。 MFA 是帮助防止帐户泄露的好方法,对于具有管理权限的帐户非常重要。 有关说明,请参阅 设置多重身份验证

步骤 2:删除可疑的电子邮件转发地址

  1. 在 Microsoft 365 管理中心中 https://admin.microsoft.com,转到 “用户>活动用户”。 或者,若要直接转到 “活动用户 ”页,请使用 https://admin.microsoft.com/Adminportal/Home#/users

  2. “活动用户 ”页上,找到该用户帐户,并通过单击该名称旁边的复选框旁边的行中的任意位置进行选择。

  3. 在打开的详细信息浮出控件中,选择“ 邮件 ”选项卡。

  4. 在“邮件”选项卡上,“电子邮件转发”部分中的“已应用”值指示已在帐户上配置邮件转发。 若要删除它,请执行以下步骤:

    • 选择 “管理电子邮件转发”。
    • 在打开 的“管理电子邮件转发” 浮出控件中,清除“ 转发发送到此邮箱的所有电子邮件 ”复选框,然后选择“ 保存更改”。

步骤 3:禁用可疑收件箱规则

  1. 使用 Outlook 网页版登录用户的邮箱。

  2. ) 选择 “设置 ” (齿轮图标,在 “搜索设置 ”框中输入“规则”,然后在结果中选择“ 收件箱规则 ”。

  3. 在打开 的“规则” 浮出控件上,查看现有规则,然后关闭或删除任何可疑规则。

步骤 4:取消阻止用户发送邮件

如果帐户用于发送垃圾邮件或大量电子邮件,则可能阻止邮箱发送邮件。

若要取消阻止邮箱发送电子邮件,请按照 从“受限实体”页中删除阻止的用户中的过程进行操作。

步骤 5(可选)阻止用户帐户登录

重要

可以阻止帐户登录,直到你认为重新启用访问是安全的。

  1. 在 Microsoft 365 管理中心 https://admin.microsoft.com中执行以下步骤:

    1. 转到 “用户>”“活动用户”。 或者,若要直接转到 “活动用户 ”页,请使用 https://admin.microsoft.com/Adminportal/Home#/users
    2. “活动用户 ”页上,执行以下步骤之一,从列表中选择用户帐户:
      • 单击行中除名称旁边的复选框以外的任何位置,选择用户。 在打开的详细信息浮出控件中,选择浮出控件顶部的“ 阻止登录 ”。
      • 通过选中名称旁边的复选框来选择用户。 选择“ 更多操作>”“编辑登录状态”。
    3. 在打开的“阻止登录”浮出控件中,阅读信息,选择“阻止此用户登录”,选择“保存更改”,然后选择浮出控件顶部的“关闭”。
  2. 在 Exchange 管理中心 (EAC) https://admin.exchange.microsoft.com执行以下步骤:

    1. 转到>收件人邮箱”。 或者,若要直接转到 “邮箱” 页,请使用 https://admin.exchange.microsoft.com/#/mailboxes

    2. “管理邮箱 ”页上,单击该名称旁边显示的圆形复选框以外的任何位置,从列表中查找并选择用户。

    3. 在打开的详细信息浮出控件中,执行以下步骤:

      1. 验证是否已选中“常规”选项卡,然后在“电子邮件应用 & 移动设备”部分选择“管理电子邮件应用设置”。
      2. 在打开的“管理电子邮件应用设置”浮出控件中,通过将切换开关更改为“已禁用”来禁用所有可用设置:
        • Outlook 桌面应用 (MAPI)
        • Exchange Web 服务
        • 移动应用 (Exchange ActiveSync)
        • IMAP
        • POP3
        • Outlook Web 版

      完成“管理电子邮件应用设置”浮出控件后,选择“保存”,然后选择浮出控件顶部的“关闭”。

步骤 6 可选:从所有管理角色中删除可疑的已泄露帐户

注意

帐户安全后,可以在管理角色中还原用户的成员身份。

  1. https://admin.microsoft.com 的 Microsoft 365 管理中心中,执行以下步骤:

    1. 转到 “用户>”“活动用户”。 或者,若要直接转到 “活动用户 ”页,请使用 https://admin.microsoft.com/Adminportal/Home#/users

    2. “活动用户 ”页上,执行以下步骤之一,从列表中选择用户帐户:

      • 单击行中除名称旁边的复选框以外的任何位置,选择用户。 在打开的详细信息浮出控件中,验证是否已选中“帐户”选项卡,然后在“角色”部分选择“管理角色”。
      • 通过选中名称旁边的复选框来选择用户。 选择“ 更多操作>”“管理角色”。
    3. 在打开 的“管理管理员角色 ”浮出控件中,执行以下步骤:

      • 记录以后要还原的任何信息。
      • 通过选择“ 用户 (无管理中心访问) ,删除管理角色成员身份。

      完成 “管理管理员角色 ”浮出控件后,选择“ 保存更改”。

  2. 在 Microsoft Defender 门户中 https://security.microsoft.com执行以下步骤:

    1. 转到 “权限”>“电子邮件 & 协作角色>角色”。 或使用 https://security.microsoft.com/emailandcollabpermissions 直接转到“权限”页面。

    2. “权限”页上,通过选中名称旁 (复选框(例如“组织管理) ”),然后选择显示的“编辑操作”,从列表中选择角色组。

    3. 在打开 的“编辑角色组成员 ”页中,查看成员列表。 如果角色组包含用户帐户,请通过选中名称旁边的复选框,然后选择“删除成员来删除该用户。

      完成“编辑角色组成员”页后,选择“下一步

    4. 在“ 查看角色组并完成 ”页上,查看信息,然后选择“ 保存”。

    5. 对列表中的每个角色组重复上述步骤。

  3. https://admin.exchange.microsoft.com/ 的 Exchange 管理中心,执行以下步骤:

    1. 转到 “角色>”“管理员角色”。 或者,若要直接转到 “管理员角色 ”页,请使用 https://admin.exchange.microsoft.com/#/adminRoles

    2. “管理员角色 ”页上,单击该名称旁边显示的圆形复选框以外的任何位置,从列表中选择角色组。

    3. 在打开的详细信息浮出控件中,选择“ 已分配 ”选项卡,然后查找用户帐户。 如果角色组包含该用户帐户,请执行以下步骤:

      1. 通过选中名称旁显示的圆形复选框来选择用户帐户。
      2. 选择出现的“删除”操作,在警告对话框中选择“是,删除”,然后选择浮出控件顶部的“关闭”。
    4. 对列表中的每个角色组重复上述步骤。

步骤 7(可选)其他预防措施

  1. 在 Outlook 或 Outlook 网页版中验证帐户的 “已发送邮件” 文件夹的内容。

    可能需要通知用户的联系人帐户已泄露。 例如,攻击者可能发送了向联系人索要钱的消息,或者攻击者可能发送了病毒来劫持其计算机。

  2. 使用此帐户作为备用电子邮件地址的其他服务也可能遭到入侵。 针对此 Microsoft 365 组织中的帐户执行本文中的步骤后,请在其他服务中执行相应的步骤。

  3. 验证联系人信息 (例如电话号码和帐户) 地址。

另请参阅