回應遭入侵的電子郵件帳戶
提示
您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
認證可控制對Microsoft 365 信箱、數據和其他服務的存取。 當有人竊取這些認證時,相關聯的帳戶會被視為遭到入侵。
攻擊者竊取認證並取得帳戶的存取權之後,他們可以存取使用者 OneDrive 中相關聯的Microsoft 365 信箱、SharePoint 資料夾或檔案。 攻擊者通常會使用遭入侵的信箱,以原始使用者的身分將電子郵件傳送給組織內外的收件者。 使用電子郵件將數據傳送給外部收件者的攻擊者稱為 數據外流。
本文說明帳戶遭入侵的徵兆,以及如何重新取得遭入侵帳戶的控制權。
Microsoft電子郵件帳戶遭入侵的徵兆
使用者可能會注意到並報告其 Microsoft 365 信箱中的異常活動。 例如:
- 可疑的活動,例如遺失或刪除的電子郵件。
- 從遭入侵帳戶接收電子郵件的使用者,在寄件者的 [ 寄件 者] 資料夾中沒有對應的電子郵件。
- 可疑的收件匣規則。 這些規則可能會自動將電子郵件轉寄至未知的位址,或將郵件移至 Notes、垃圾 Email 或 RSS 訂用帳戶資料夾。
- 用戶的顯示名稱會在全域通訊清單中變更。
- 使用者的信箱遭封鎖而無法傳送電子郵件。
- Microsoft Outlook 或 Outlook 網頁版 (中的 [已傳送專案] 或 [刪除的郵件] 資料夾先前稱為 [Outlook Web App) 包含遭入侵帳戶的一般訊息 (例如「我停滯於倫敦,寄錢」。) 。
- 不尋常的配置文件變更。 例如,名稱、電話號碼或郵遞區編碼更新。
- 多次和頻繁的密碼變更。
- 最近新增了外部電子郵件轉寄。
- 不尋常的電子郵件訊息簽章。 例如,假的銀行簽章或藥物簽章。
您必須立即調查使用者是否報告這些或其他不尋常的徵兆。 Microsoft Defender 入口網站和 Azure 入口網站 提供下列工具,協助您調查用戶帳戶上的可疑活動:
Microsoft Defender 入口網站中的整合稽核記錄:使用在今天可疑活動發生之前立即開始的日期範圍來篩選活動的記錄。 請勿在搜尋期間篩選特定活動。 如需詳細資訊,請 參閱搜尋稽核記錄。
Microsoft Entra 登入記錄和其他風險報告 Microsoft Entra 系統管理中心:檢查這些數據行中的值:
- 檢閱 IP 位址
- 登入位置
- 登入時間
- 登入成功或失敗
重要事項
下列按鈕可讓您測試並識別可疑的帳戶活動。 您可以使用此資訊來復原遭入侵的帳戶。
保護電子郵件功能並將其還原至遭入侵的Microsoft 365 帳戶和信箱
即使在使用者重新取得其帳戶的存取權之後,攻擊者仍可能會離開可以重新取得帳戶控制權的後門專案。
執行下列 所有 步驟來重新取得帳戶的控制權。 一旦您懷疑有問題,請儘快完成步驟,以確保攻擊者不會重新取得帳戶的控制權。 這些步驟也可協助您移除攻擊者新增至帳戶的任何後門專案。 執行這些步驟之後,建議您執行病毒掃描,以確保用戶端計算機不會遭到入侵。
步驟 1:重設用戶的密碼
遵循重設某人的商務密碼中的程序進行。
重要事項
請勿透過電子郵件將新密碼傳送給使用者,因為攻擊者此時仍可存取信箱。
請務必使用強密碼:大寫和小寫字母、至少一個數位,以及至少一個特殊字元。
即使密碼歷程記錄需求允許,請勿重複使用最後五個密碼中的任何一個。 使用攻擊者無法猜到的唯一密碼。
如果使用者的身分識別與 Microsoft 365 同盟,您必須在內部部署環境中變更帳戶密碼,然後通知系統管理員洩露。
務必更新應用程式密碼。 當您重設密碼時,不會自動撤銷應用程式密碼。 使用者應該刪除現有的應用程式密碼,並建立新密碼。 如需指示,請 參閱管理雙步驟驗證的應用程式密碼。
強烈建議您為帳戶啟用多重要素驗證 (MFA) 。 MFA 是協助防止帳戶洩露的好方法,對於具有系統管理許可權的帳戶而言非常重要。 如需指示, 請參閱設定多重要素驗證。
步驟 2:移除可疑的電子郵件轉寄位址
在 Microsoft 365 系統管理中心 中https://admin.microsoft.com,移至 [使用者>] [作用中使用者]。 或者,若要直接移至 [ 作用中使用者] 頁面,請使用 https://admin.microsoft.com/Adminportal/Home#/users。
在 [ 作用中的使用者] 頁面上,尋找使用者帳戶,然後按下名稱旁邊複選框以外的數據列中的任何位置加以選取。
在開啟的詳細數據飛出視窗中,選取 [ 郵件] 索引標籤 。
在 [郵件] 索引標籤上,[Email 轉寄] 區段中的 [套用] 值表示已在帳戶上設定郵件轉寄。 若要移除它,請執行下列步驟:
- 選 取 [管理電子郵件轉寄]。
- 在開啟的 [ 管理電子郵件轉 寄] 飛出視窗中,清除 [ 轉寄所有傳送至此信箱的電子郵件 ] 複選框,然後選取 [ 儲存變更]。
步驟 3:停用可疑的收件匣規則
使用 Outlook 網頁版登入使用者的信箱。
選取 [設定 (齒輪圖示) ],在 [搜尋設定] 方塊中輸入 [規則],然後在結果中選取 [收件匣規則]。
在開啟的 [ 規則] 飛出視窗上,檢閱現有的規則,並關閉或刪除任何可疑的規則。
步驟 4:解除封鎖使用者傳送郵件
如果帳戶是用來傳送垃圾郵件或大量電子郵件,則信箱可能會遭到封鎖而無法傳送郵件。
若要解除封鎖信箱以傳送電子郵件,請遵循從 [ 受限制的實體] 頁面移除封鎖的使用者中的程式。
步驟 5 選用:封鎖使用者帳戶,使其無法登入
重要事項
您可以封鎖帳戶登入,直到您認為可以安全地重新啟用存取權為止。
在 Microsoft 365 系統管理中心 中https://admin.microsoft.com執行下列步驟:
- 移至 [使用者>] [作用中使用者]。 或者,若要直接移至 [ 作用中使用者] 頁面,請使用 https://admin.microsoft.com/Adminportal/Home#/users。
- 在 [ 作用中的使用者] 頁面上,執行下列其中一個步驟,從列表中尋找並選取使用者帳戶:
- 按兩下名稱旁邊複選框以外的數據列中的任何位置,以選取使用者。 在開啟的詳細數據飛出視窗中,選取飛出視窗頂端的 [封鎖登入]。
- 選取名稱旁邊的複選框來選取使用者。 選取 [更多動作>][編輯登入狀態]。
- 在開啟的 [封鎖登入] 飛出視窗中,閱讀資訊,選取 [封鎖此使用者登入],選取 [儲存變更],然後選取飛出視窗頂端的 [關閉]。
在 Exchange 系統管理中心 (EAC) https://admin.exchange.microsoft.com中執行下列步驟:
移至 [收件者>] 信箱。 或者,若要直接移至 [信箱] 頁面,請使用 https://admin.exchange.microsoft.com/#/mailboxes。
在 [ 管理信箱] 頁面上,按下名稱旁邊的 [四捨五入] 複選框以外的任何位置,從清單中尋找並選取使用者。
在開啟的詳細資料飛出視窗中,執行下列步驟:
- 確認已選取 [一般] 索引標籤,然後在 [Email 應用程式 & 行動裝置] 區段中選取 [管理電子郵件應用程式設定]。
- 在開啟的 [管理電子郵件應用程式設定] 飛出視窗中,將切換開關變更為 [已停用],以停用所有可用的設定:
- Outlook 電腦版 (MAPI)
- Exchange Web 服務
- 行動裝置 (Exchange ActiveSync)
- IMAP
- POP3
- 網路版 Outlook
當您在 [管理電子郵件應用程式的設定] 飛出視窗中完成時,請選取 [儲存],然後選取飛出視窗頂端的 [關閉]。
步驟 6 選擇性:從所有系統管理角色中移除可疑遭入侵的帳戶
注意事項
您可以在帳戶受到保護之後,還原用戶在系統管理角色中的成員資格。
在 Microsoft 365 系統管理中心 https://admin.microsoft.com,執行下列步驟:
移至 [使用者>] [作用中使用者]。 或者,若要直接移至 [ 作用中使用者] 頁面,請使用 https://admin.microsoft.com/Adminportal/Home#/users。
在 [ 作用中的使用者] 頁面上,執行下列其中一個步驟,從列表中尋找並選取使用者帳戶:
- 按兩下名稱旁邊複選框以外的數據列中的任何位置,以選取使用者。 在開啟的詳細數據飛出視窗中,確認已選取 [帳戶] 索引標籤,然後在 [角色] 區段中選取 [管理角色]。
- 選取名稱旁邊的複選框來選取使用者。 選取 [更多動作>] [管理角色]。
在開啟的 [ 管理系統管理員角色 ] 飛出視窗中,執行下列步驟:
- 記錄您想要稍後還原的任何資訊。
- 選取 [沒有系統管理 中心存取權的使用者 () ,以移除系統管理角色成員資格。
當您在 [ 管理系統管理員角色 ] 飛出視窗中完成時,請選取 [ 儲存變更]。
在 Microsoft Defender 入口網站中https://security.microsoft.com,執行下列步驟:
移至 [權限>Email & 共同作業角色>角色]。 或者,若要直接前往 [權限] 頁面,請使用 https://security.microsoft.com/emailandcollabpermissions。
在 [ 許可權 ] 頁面上,選取清單中的角色群組,方法是選取名稱旁邊的複選框 (例如組織 管理) ,然後選取出現的 [ 編輯 動作]。
在開啟 的角色群組的 [編輯成員 ] 頁面中,檢閱成員清單。 如果角色群組包含用戶帳戶,請選取名稱旁邊的複選框來移除使用者,然後選取 [ 移除成員]。
當您在 角色群組頁面的 [編輯成員 ] 頁面上完成時,請選取 [ 下一步]
在 [ 檢閱角色群組並完成] 頁面上檢閱資訊,然後選取 [ 儲存]。
針對清單中的每個角色群組重複上述步驟。
在的 Exchange 系統管理中心 https://admin.exchange.microsoft.com/,執行下列步驟:
移至 [角色>管理員 角色]。 或者,若要直接移至 [管理員 角色] 頁面,請使用 https://admin.exchange.microsoft.com/#/adminRoles。
在 [管理員 角色] 頁面上,按下名稱旁邊的 [四捨五入] 複選框以外的數據列中的任何位置,從清單中選取角色群組。
在開啟的詳細數據飛出視窗中,選取 [ 指派 ] 索引卷標,然後尋找用戶帳戶。 如果角色群組包含該使用者帳戶,請執行下列步驟:
- 選取名稱旁邊出現的 [四捨五入] 複選框,以選取用戶帳戶。
- 選取出現的 [刪除] 動作,選取 [是],在警告對話框中移除,然後選取飛出視窗頂端的 [關閉]。
針對清單中的每個角色群組重複上述步驟。
步驟 7 選用:額外的預防步驟
確認 Outlook 或 Outlook 網頁版 中帳戶的 [已傳送專案] 資料夾內容。
您可能需要通知使用者的聯繫人帳戶遭到入侵。 例如,攻擊者可能已傳送訊息要求聯繫人退款,或攻擊者可能已傳送病毒來劫持其計算機。
使用此帳戶作為替代電子郵件位址的其他服務也可能遭到入侵。 針對此Microsoft 365 組織中的帳戶執行本文中的步驟之後,請在其他服務中執行對應的步驟。
確認連絡資訊 (例如,電話號碼和位址) 帳戶。
請參閱
- 偵測並修復 Microsoft 365 中 Outlook 規則與自訂表單插入式攻擊
- 偵測和補救非法同意授與
- 網際網路犯罪客訴中心
- 美國證券交易委員會 -「網路釣魚」詐騙
- 根據使用者報告設定的設定) 方式,使用報表郵件載入巨集直接向Microsoft和/或系統管理員報告 (垃圾郵件。