响应已泄露的电子邮件帐户

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。

对 Microsoft 365 邮箱、数据和其他服务的访问由凭据控制, (例如用户名和密码或 PIN) 。 当目标用户以外的其他人窃取这些凭据时,关联的帐户被视为已泄露。

攻击者窃取凭据并获取对帐户的访问权限后,可以访问用户的 OneDrive 中关联的 Microsoft 365 邮箱、SharePoint 文件夹或文件。 攻击者通常使用受损邮箱以原始用户身份向组织内外的收件人发送电子邮件。 攻击者使用电子邮件向外部收件人发送数据称为 数据外泄

本文介绍帐户泄露的症状,以及如何重新获得对已泄露帐户的控制。

Microsoft 电子邮件帐户遭到入侵的症状

用户可能会注意到并报告其 Microsoft 365 邮箱中的异常活动。 例如:

  • 可疑活动,例如丢失或删除的电子邮件。
  • 从发件人的“ 已发送邮件 ”文件夹中没有相应电子邮件的已泄露帐户接收电子邮件的用户。
  • 不是由用户或管理员创建的收件箱规则。 这些规则可能会自动将电子邮件转发到未知地址或将邮件移动到“便笺”、“垃圾邮件Email”或“RSS 订阅”文件夹。
  • 全局地址列表中更改了用户的显示名称。
  • 用户的邮箱被阻止发送电子邮件。
  • Microsoft Outlook 或 Outlook 网页版 (“已发送邮件”或“已删除邮件”文件夹(以前称为“Outlook Web App) ”)包含泄露帐户的典型邮件 (例如“我卡在伦敦,汇款”。) 。
  • 异常的配置文件更改。 例如,名称、电话号码或邮政编码将更新。
  • 多次频繁的密码更改。
  • 最近添加了邮件转发功能。
  • 最近添加了异常签名。 例如,假银行签名或处方药签名。

如果用户报告了这些症状或其他异常症状,则应进行调查。 Microsoft Defender门户和Azure 门户提供以下工具来帮助调查用户帐户上的可疑活动。

  • Microsoft Defender门户中的统一审核日志:使用在可疑活动发生之前的日期范围筛选活动日志。 在搜索期间不要筛选特定活动。 有关详细信息,请参阅搜索审核日志

  • Microsoft Entra 管理中心中Microsoft Entra登录日志和其他风险报告:检查以下列中的值:

    • 查看 IP 地址
    • 登录位置
    • 登录时间
    • 登录成功或失败

重要

通过以下按钮,可以测试和识别可疑的帐户活动。 可以使用此信息来恢复已泄露的帐户。

运行测试:已泄露的帐户

保护电子邮件功能并将其还原到已泄露的 Microsoft 365 帐户和邮箱

即使在用户重新获得对其帐户的访问权限后,攻击者也可能留下了允许攻击者恢复对帐户的控制的后门条目。

执行 以下所有 步骤以重新获得对帐户的控制。 一旦怀疑有问题,请尽快完成这些步骤,确保攻击者不会恢复对帐户的控制。 这些步骤还有助于删除攻击者可能已添加到帐户的任何后门条目。 执行这些步骤后,建议运行病毒扫描,以确保客户端计算机不会受到威胁。

步骤 1:重置用户密码

按照为他人重置商业版密码中的程序操作。

重要

  • 请勿通过电子邮件向用户发送新密码,因为此时攻击者仍有权访问邮箱。

  • 请务必使用强密码:大写和小写字母、至少一个数字和至少一个特殊字符。

  • 即使密码历史记录要求允许,也不要重复使用最近五个密码中的任何一个。 使用攻击者无法猜到的唯一密码。

  • 如果本地标识与 Microsoft 365 联合,则必须更改本地帐户密码,然后将泄露通知管理员。

  • 务必更新应用密码。 重置密码时,不会自动撤销应用密码。 用户应删除现有应用程序密码并创建新密码。 有关说明,请参阅 管理双重验证的应用密码

  • 强烈建议为帐户启用多重身份验证 (MFA) 。 MFA 是帮助防止帐户泄露的好方法,对于具有管理权限的帐户非常重要。 有关说明,请参阅 设置多重身份验证

步骤 2:删除可疑的电子邮件转发地址

  1. 在 的Microsoft 365 管理中心https://admin.microsoft.com中,转到“用户>活动用户”。 或者,若要直接转到 “活动用户 ”页,请使用 https://admin.microsoft.com/Adminportal/Home#/users

  2. “活动用户”页上,找到用户帐户,并通过单击该名称旁边的“检查”框以外的行中的任意位置来选择该帐户。

  3. 在打开的详细信息浮出控件中,选择“ 邮件 ”选项卡。

  4. Email转发”部分中的“已应用”值指示已在帐户上配置邮件转发。

    选择“管理电子邮件转发”,在打开的“管理电子邮件转发”浮出控件中清除“转发发送到此邮箱的所有电子邮件检查”框,然后选择“保存更改”。

步骤 3:禁用可疑收件箱规则

  1. 使用 Outlook 网页版登录用户的邮箱。

  2. ) 选择“设置” (齿轮图标,在“搜索”框中输入“规则”,然后从结果中选择“收件箱规则”。

  3. 在打开的浮出控件的“ 规则 ”选项卡上,查看现有规则,并关闭或删除任何可疑规则。

步骤 4:取消阻止用户发送邮件

如果帐户用于发送垃圾邮件或大量电子邮件,则可能是邮箱已被阻止发送邮件。

若要取消阻止邮箱发送电子邮件,请按照 从“受限实体”页中删除阻止的用户中的过程进行操作。

步骤 5(可选)阻止用户帐户登录

重要

可以阻止帐户登录,直到你认为重新启用访问是安全的。

  1. 在 的 Microsoft 365 管理中心https://admin.microsoft.com中执行以下步骤:

    1. 转到 “用户>”“活动用户”。 或者,若要直接转到 “活动用户 ”页,请使用 https://admin.microsoft.com/Adminportal/Home#/users
    2. “活动用户 ”页上,执行以下步骤之一,从列表中选择用户帐户:
      • 单击该名称旁边的“检查”框以外的任意位置,选择用户。 在打开的详细信息浮出控件中,选择浮出控件顶部的“ 阻止登录 ”。
      • 通过选择名称旁边的检查框来选择用户。 选择“ 更多操作>”“编辑登录状态”。
    3. 在打开的“阻止登录”浮出控件中,阅读信息,选择“阻止此用户登录”,选择“保存更改”,然后选择浮出控件顶部的“关闭”。

  2. 在 Exchange 管理中心 (EAC) https://admin.exchange.microsoft.com执行以下步骤:

    1. 转到>收件人邮箱”。 或者,若要直接转到 “邮箱” 页,请使用 https://admin.exchange.microsoft.com/#/mailboxes
    2. 在“ 邮箱” 页上,执行以下步骤之一,从列表中选择用户:
      • 单击该名称旁边的圆形检查框以外的任意位置,选择用户。
      • 选择用户,方法是选择名称旁边显示的圆形检查框,然后选择页面上显示的“编辑”操作。
    3. 在打开的详细信息浮出控件中,执行以下步骤:

      1. 验证“常规”选项卡是否已选中,然后在“Email应用 & 移动设备”部分中选择“管理电子邮件应用设置”。

      2. 在打开的“管理电子邮件应用设置”浮出控件中,通过将切换开关更改为“已禁用”来禁用所有可用设置:

        • Outlook 桌面应用 (MAPI)
        • Exchange Web 服务
        • 移动应用 (Exchange ActiveSync)
        • IMAP
        • POP3
        • Outlook Web 版

        完成“管理电子邮件应用设置”浮出控件后,选择“保存”,然后选择浮出控件顶部的“关闭”。

步骤 6(可选)从所有管理角色组中删除疑似遭到入侵的帐户

注意

帐户安全后,可以在管理角色组中还原用户的成员身份。

  1. https://admin.microsoft.com 的 Microsoft 365 管理中心中,执行以下步骤:

    1. 转到 “用户>”“活动用户”。 或者,若要直接转到 “活动用户 ”页,请使用 https://admin.microsoft.com/Adminportal/Home#/users

    2. “活动用户 ”页上,执行以下步骤之一,从列表中选择用户帐户:

      • 单击该名称旁边的“检查”框以外的任意位置,选择用户。 在打开的详细信息浮出控件中,验证是否已选中“帐户”选项卡,然后在“角色”部分选择“管理角色”。
      • 通过选择名称旁边的检查框来选择用户。 选择“ 更多操作>”“管理角色”。

    3. 在打开 的“管理管理员角色 ”浮出控件中,执行以下步骤:

      • 记录以后要还原的任何信息。
      • 通过选择“ 用户 (无管理中心访问) ,删除管理角色成员身份。

      完成 “管理管理员角色 ”浮出控件后,选择“ 保存更改”。

  2. 在 Microsoft Defender 门户中https://security.microsoft.com执行以下步骤:

    1. 转到“权限Email &>协作角色>角色”。 或使用 https://security.microsoft.com/emailandcollabpermissions 直接转到“权限”页面。
    2. “权限” 页上,从列表中选择角色组。
    3. 在打开的详细信息浮出控件的“ 成员 ”部分查找用户帐户。 如果角色组包含该用户帐户,请执行以下步骤:
      1. 在“ 成员 ”部分中,选择“ 编辑”。
      2. 在打开的浮出控件的“ 选择成员 ”选项卡上,选择“ 编辑”。
      3. 在打开 的“选择成员” 浮出控件中,选择“ 删除”。
      4. 在出现的“成员”部分中,通过选择名称旁边的“检查”框来选择用户帐户,选择“删除”,然后选择“完成”。
      5. “编辑选择成员” 浮出控件中,选择“ 保存”。
      6. 在角色组详细信息浮出控件中,选择“ 关闭”。
    4. 对列表中的每个角色组重复上述步骤。

  3. https://admin.exchange.microsoft.com/ 的 Exchange 管理中心,执行以下步骤:

    1. 转到“角色>管理员角色”。 或者,若要直接转到“管理员角色”页,请使用 https://admin.exchange.microsoft.com/#/adminRoles

    2. “管理员角色”页上,单击该名称旁边显示的圆形检查框以外的任意位置,从列表中选择角色组。

    3. 在打开的详细信息浮出控件中,选择“ 已分配 ”选项卡,然后查找用户帐户。 如果角色组包含该用户帐户,请执行以下步骤:

      1. 选择用户帐户。
      2. 选择出现的“删除”操作,在警告对话框中选择“是,删除”,然后选择浮出控件顶部的“关闭”。

    4. 对列表中的每个角色组重复上述步骤。

步骤 7(可选)其他预防措施

  1. 在 Outlook 或 Outlook 网页版 中验证帐户的“已发送邮件”文件夹的内容。

    你可能需要通知联系人列表中的人员你的帐户已泄露。 例如,攻击者可能发送了向联系人索要钱的消息,或者攻击者可能发送了病毒来劫持其计算机。

  2. 使用此帐户作为备用电子邮件帐户的任何其他服务的帐户可能也已遭入侵。 针对此 Microsoft 365 组织中的帐户执行本文中的步骤后,请为其他帐户执行这些步骤。

  3. 验证联系人信息 (例如电话号码和帐户) 地址。

另请参阅