回應遭入侵的電子郵件帳戶

• 適用於:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

您知道您可以免費試用 Microsoft Defender XDR for Office 365 方案 2 中的功能嗎？ 在 Microsoft Defender 入口網站試用中樞使用適用於 Office 365 的 90 天 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款。

認證可控制對Microsoft 365 信箱、數據和其他服務的存取。 當有人竊取這些認證時，相關聯的帳戶會被視為遭到入侵。

攻擊者竊取認證並取得帳戶的存取權之後，他們可以存取使用者 OneDrive 中相關聯的Microsoft 365 信箱、SharePoint 資料夾或檔案。 攻擊者通常會使用遭入侵的信箱，以原始使用者的身分將電子郵件傳送給組織內外的收件者。 使用電子郵件將數據傳送給外部收件者的攻擊者稱為 數據外流。

本文說明帳戶遭入侵的徵兆，以及如何重新取得遭入侵帳戶的控制權。

Microsoft電子郵件帳戶遭入侵的徵兆

使用者可能會注意到並報告其 Microsoft 365 信箱中的異常活動。 例如：

• 可疑的活動，例如遺失或刪除的電子郵件。
• 從遭入侵帳戶接收電子郵件的使用者，在寄件者的 [ 寄件 者] 資料夾中沒有對應的電子郵件。
• 可疑的收件匣規則。 這些規則可能會自動將電子郵件轉寄至未知的位址，或將郵件移至 Notes、 垃圾郵件或 RSS 訂閱 資料夾。
• 用戶的顯示名稱會在全域通訊清單中變更。
• 使用者的信箱遭封鎖而無法傳送電子郵件。
• Microsoft Outlook 或 Outlook 網頁版中的 [ 寄件] 或 [ 刪除的郵件 ] 資料夾 (先前稱為 Outlook Web App) 包含遭入侵帳戶的一般訊息 (例如「我停滯於倫敦，寄錢」。) 。
• 不尋常的配置文件變更。 例如，名稱、電話號碼或郵遞區編碼更新。
• 多次和頻繁的密碼變更。
• 最近新增了外部電子郵件轉寄。
• 不尋常的電子郵件訊息簽章。 例如，假的銀行簽章或藥物簽章。

您必須立即調查使用者是否報告這些或其他不尋常的徵兆。 Microsoft Defender 入口網站和 Azure 入口網站提供下列工具，協助您調查用戶帳戶上的可疑活動：

• Microsoft Defender 入口網站中的整合稽核記錄：使用立即開始可疑活動之前的日期範圍來篩選活動的記錄。 請勿在搜尋期間篩選特定活動。 如需詳細資訊，請 參閱搜尋稽核記錄。

• 在 Microsoft Entra 系統管理中心Microsoft登入記錄和其他風險報告：檢查這些數據行中的值：

  • 檢閱 IP 位址
  • 登入位置
  • 登入時間
  • 登入成功或失敗

重要事項

下列按鈕可讓您測試並識別可疑的帳戶活動。 您可以使用此資訊來復原遭入侵的帳戶。

執行測試：遭入侵的帳戶

保護電子郵件功能並將其還原至遭入侵的Microsoft 365 帳戶和信箱

即使在使用者重新取得其帳戶的存取權之後，攻擊者仍可能會離開可以重新取得帳戶控制權的後門專案。

執行下列 所有 步驟來重新取得帳戶的控制權。 一旦您懷疑有問題，請儘快完成步驟，以確保攻擊者不會重新取得帳戶的控制權。 這些步驟也可協助您移除攻擊者新增至帳戶的任何後門專案。 執行這些步驟之後，建議您執行病毒掃描，以確保用戶端計算機不會遭到入侵。

步驟 1：重設用戶的密碼

遵循重設某人的商務密碼中的程序進行。

重要事項

• 請勿透過電子郵件將新密碼傳送給使用者，因為攻擊者此時仍可存取信箱。

• 請務必使用強密碼：大寫和小寫字母、至少一個數位，以及至少一個特殊字元。

• 即使密碼歷程記錄需求允許，請勿重複使用最後五個密碼中的任何一個。 使用攻擊者無法猜到的唯一密碼。

• 如果使用者的身分識別與 Microsoft 365 同盟，您必須在內部部署環境中變更帳戶密碼，然後通知系統管理員洩露。

• 務必更新應用程式密碼。 當您重設密碼時，不會自動撤銷應用程式密碼。 使用者應該刪除現有的應用程式密碼，並建立新密碼。 如需指示，請 參閱管理雙步驟驗證的應用程式密碼。

• 強烈建議您為帳戶啟用多重要素驗證 (MFA) 。 MFA 是協助防止帳戶洩露的好方法，對於具有系統管理許可權的帳戶而言非常重要。 如需指示， 請參閱設定多重要素驗證。

步驟 2：移除可疑的電子郵件轉寄位址

1. 在 Microsoft 365 系統管理中心，移至 [使用者>] [作用中https://admin.microsoft.com使用者]。 或者，若要直接移至 [ 作用中使用者] 頁面，請使用 https://admin.microsoft.com/Adminportal/Home#/users。

2. 在 [ 作用中的使用者] 頁面上，尋找使用者帳戶，然後按下名稱旁邊複選框以外的數據列中的任何位置加以選取。

3. 在開啟的詳細數據飛出視窗中，選取 [ 郵件] 索引標籤 。

4. 在 [郵件] 索引標籤上，[電子郵件轉寄] 區段中的 [套用] 值表示已在帳戶上設定郵件轉寄。 若要移除它，請執行下列步驟：

   • 選 取 [管理電子郵件轉寄]。
   • 在開啟的 [ 管理電子郵件轉 寄] 飛出視窗中，清除 [ 轉寄所有傳送至此信箱的電子郵件 ] 複選框，然後選取 [ 儲存變更]。

步驟 3：停用可疑的收件匣規則

1. 使用 Outlook 網頁版登入使用者的信箱。

2. 選取 [設定 (齒輪圖示) ]，在 [搜尋設定] 方塊中輸入 [規則]，然後在結果中選取 [收件匣規則]。

3. 在開啟的 [ 規則] 飛出視窗上，檢閱現有的規則，並關閉或刪除任何可疑的規則。

步驟 4：解除封鎖使用者傳送郵件

如果帳戶是用來傳送垃圾郵件或大量電子郵件，則信箱可能會遭到封鎖而無法傳送郵件。

若要解除封鎖信箱以傳送電子郵件，請遵循從 [ 受限制的實體] 頁面移除封鎖的使用者中的程式。

步驟 5 選用：封鎖使用者帳戶，使其無法登入

重要事項

您可以封鎖帳戶登入，直到您認為可以安全地重新啟用存取權為止。

1. 請在 Microsoft 365 系統管理中心 https://admin.microsoft.com執行下列步驟：

   1. 移至 [使用者>] [作用中使用者]。 或者，若要直接移至 [ 作用中使用者] 頁面，請使用 https://admin.microsoft.com/Adminportal/Home#/users。
   2. 在 [ 作用中的使用者] 頁面上，執行下列其中一個步驟，從列表中尋找並選取使用者帳戶：
      • 按兩下名稱旁邊複選框以外的數據列中的任何位置，以選取使用者。 在開啟的詳細數據飛出視窗中，選取飛出視窗頂端的 [封鎖登入]。
      • 選取名稱旁邊的複選框來選取使用者。 選取 [更多動作>][編輯登入狀態]。
   3. 在開啟的 [封鎖登入] 飛出視窗中，閱讀資訊，選取 [封鎖此使用者登入]，選取 [儲存變更]，然後選取飛出視窗頂端的 [關閉]。

2. 在 Exchange 系統管理中心 (EAC) https://admin.exchange.microsoft.com中執行下列步驟：

   1. 移至 [收件者>] 信箱。 或者，若要直接移至 [信箱] 頁面，請使用 https://admin.exchange.microsoft.com/#/mailboxes。

   2. 在 [ 管理信箱] 頁面上，按下名稱旁邊的 [四捨五入] 複選框以外的任何位置，從清單中尋找並選取使用者。

   3. 在開啟的詳細資料飛出視窗中，執行下列步驟：

      1. 確認已選取 [一般] 索引標籤，然後在 [電子郵件應用程式 & 行動裝置] 區段中選取 [管理電子郵件應用程式設定]。
      2. 在開啟的 [管理電子郵件應用程式設定] 飛出視窗中，將切換開關變更為 [已停用]，以停用所有可用的設定：
         • Outlook 電腦版 (MAPI)
         • Exchange Web 服務
         • 行動裝置 (Exchange ActiveSync)
         • IMAP
         • POP3
         • 網路版 Outlook

      當您在 [管理電子郵件應用程式的設定] 飛出視窗中完成時，請選取 [儲存]，然後選取飛出視窗頂端的 [關閉]。

步驟 6 選擇性：從所有系統管理角色中移除可疑遭入侵的帳戶

注意事項

您可以在帳戶受到保護之後，還原用戶在系統管理角色中的成員資格。

1. 在 Microsoft 365 系統管理中心 https://admin.microsoft.com，執行下列步驟：

   1. 移至 [使用者>] [作用中使用者]。 或者，若要直接移至 [ 作用中使用者] 頁面，請使用 https://admin.microsoft.com/Adminportal/Home#/users。

   2. 在 [ 作用中的使用者] 頁面上，執行下列其中一個步驟，從列表中尋找並選取使用者帳戶：

      • 按兩下名稱旁邊複選框以外的數據列中的任何位置，以選取使用者。 在開啟的詳細數據飛出視窗中，確認已選取 [帳戶] 索引標籤，然後在 [角色] 區段中選取 [管理角色]。
      • 選取名稱旁邊的複選框來選取使用者。 選取 [更多動作>] [管理角色]。

   3. 在開啟的 [ 管理系統管理員角色 ] 飛出視窗中，執行下列步驟：

      • 記錄您想要稍後還原的任何資訊。
      • 選取 [沒有系統管理 中心存取權的使用者 () ，以移除系統管理角色成員資格。

      當您在 [ 管理系統管理員角色 ] 飛出視窗中完成時，請選取 [ 儲存變更]。

2. 在 Microsoft Defender 入口網站 https://security.microsoft.com中，執行下列步驟：

   1. 移至 [ 許可權][>電子郵件 & 共同作業角色>角色]。 或者，若要直接前往 [權限] 頁面，請使用 https://security.microsoft.com/emailandcollabpermissions。

   2. 在 [ 許可權 ] 頁面上，選取清單中的角色群組，方法是選取名稱旁邊的複選框 (例如組織 管理) ，然後選取出現的 [ 編輯 動作]。

   3. 在開啟 的角色群組的 [編輯成員 ] 頁面中，檢閱成員清單。 如果角色群組包含用戶帳戶，請選取名稱旁邊的複選框來移除使用者，然後選取 [ 移除成員]。

      當您在 角色群組頁面的 [編輯成員 ] 頁面上完成時，請選取 [ 下一步]

   4. 在 [ 檢閱角色群組並完成] 頁面上檢閱資訊，然後選取 [ 儲存]。

   5. 針對清單中的每個角色群組重複上述步驟。

3. 在的 Exchange 系統管理中心 https://admin.exchange.microsoft.com/，執行下列步驟：

   1. 移至 [角色>管理員角色]。 或者，若要直接移至 [ 系統管理員角色 ] 頁面，請使用 https://admin.exchange.microsoft.com/#/adminRoles。

   2. 在 [ 系統管理員角色 ] 頁面上，按下名稱旁邊的 [四捨五入] 複選框以外的數據列中的任何位置，從清單中選取角色群組。

   3. 在開啟的詳細數據飛出視窗中，選取 [ 指派 ] 索引卷標，然後尋找用戶帳戶。 如果角色群組包含該使用者帳戶，請執行下列步驟：

      1. 選取名稱旁邊出現的 [四捨五入] 複選框，以選取用戶帳戶。
      2. 選取出現的 [刪除] 動作，選取 [是]，在警告對話框中移除，然後選取飛出視窗頂端的 [關閉]。

   4. 針對清單中的每個角色群組重複上述步驟。

步驟 7 選用：額外的預防步驟

1. 確認 Outlook 或 Outlook 網頁版中帳戶的 [ 已傳送專案 ] 資料夾內容。

   您可能需要通知使用者的聯繫人帳戶遭到入侵。 例如，攻擊者可能已傳送訊息要求聯繫人退款，或攻擊者可能已傳送病毒來劫持其計算機。

2. 使用此帳戶作為替代電子郵件位址的其他服務也可能遭到入侵。 針對此Microsoft 365 組織中的帳戶執行本文中的步驟之後，請在其他服務中執行對應的步驟。

3. 確認連絡資訊 (例如，電話號碼和位址) 帳戶。

請參閱

• 偵測並修復 Microsoft 365 中 Outlook 規則與自訂表單插入式攻擊
• 偵測和補救非法同意授與
• 網際網路犯罪客訴中心
• 美國證券交易委員會 -「網路釣魚」詐騙
• 根據使用者報告設定的設定) 方式，使用報表郵件載入宏直接向Microsoft和/或系統管理員報告 (垃圾郵件。