回應遭入侵的電子郵件帳戶

• 適用於:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

您知道您可以免費試用 Microsoft Defender 全面偵測回應 Office 365 方案 2 中的功能嗎？ 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款。

Microsoft 365 信箱、數據和其他服務的存取權是由認證 (控制，例如使用者名稱和密碼或 PIN) 。 當預定使用者以外的人竊取這些認證時，相關聯的帳戶會被視為遭到入侵。

在攻擊者竊取認證並取得帳戶的存取權之後，他們可以存取使用者 OneDrive 中相關聯的 Microsoft 365 信箱、SharePoint 資料夾或檔案。 攻擊者通常會使用遭入侵的信箱，以原始使用者的身分將電子郵件傳送給組織內外的收件者。 使用電子郵件將數據傳送給外部收件者的攻擊者稱為 數據外流。

本文說明帳戶遭入侵的徵兆，以及如何重新取得遭入侵帳戶的控制權。

Microsoft 電子郵件帳戶遭入侵的徵兆

使用者可能會注意到並報告其 Microsoft 365 信箱中的異常活動。 例如：

• 可疑的活動，例如遺失或刪除的電子郵件。
• 從遭入侵帳戶接收電子郵件的使用者，在寄件者的 [ 寄件 者] 資料夾中沒有對應的電子郵件。
• 用戶或系統管理員未建立的收件匣規則。 這些規則可能會自動將電子郵件轉寄至未知的位址，或將郵件移至 Notes、垃圾 Email 或 RSS 訂用帳戶資料夾。
• 用戶的顯示名稱會在全域通訊清單中變更。
• 使用者的信箱遭封鎖而無法傳送電子郵件。
• Microsoft Outlook 或 Outlook 網頁版 (中的 [已傳送專案] 或 [刪除的郵件] 資料夾先前稱為 [Outlook Web App) 包含遭入侵帳戶的一般訊息 (例如「我停滯於倫敦，傳送金錢」。) 。
• 不尋常的配置文件變更。 例如，名稱、電話號碼或郵遞區編碼會更新。
• 多次和頻繁的密碼變更。
• 最近新增郵件轉寄。
• 最近新增了不尋常的簽章。 例如，假的銀行簽章或藥物簽章。

如果使用者回報這些徵兆或其他不尋常的徵兆，您應該進行調查。 Microsoft Defender 入口網站和 Azure 入口網站 提供下列工具，協助您調查用戶帳戶上的可疑活動。

• Microsoft Defender 入口網站中的統一稽核記錄：使用立即在可疑活動發生到今天之前啟動的日期範圍來篩選活動的記錄。 請勿在搜尋期間篩選特定活動。 如需詳細資訊，請 參閱搜尋稽核記錄。

• Microsoft Entra 系統管理中心 中 Microsoft Entra 登入記錄和其他風險報告：檢查這些數據行中的值：

  • 檢閱 IP 位址
  • 登入位置
  • 登入時間
  • 登入成功或失敗

重要事項

下列按鈕可讓您測試並識別可疑的帳戶活動。 您可以使用此資訊來復原遭入侵的帳戶。

執行測試：遭入侵的帳戶

保護電子郵件功能並將其還原至遭入侵的 Microsoft 365 帳戶和信箱

即使在使用者重新取得其帳戶的存取權之後，攻擊者也可能有允許攻擊者繼續控制帳戶的左後門專案。

執行下列 所有 步驟來重新取得帳戶的控制權。 一旦您懷疑有問題，請儘快完成步驟，以確定攻擊者不會繼續控制帳戶。 這些步驟也可協助您移除攻擊者可能已新增至帳戶的任何後門專案。 執行這些步驟之後，建議您執行病毒掃描，以確保用戶端計算機不會遭到入侵。

步驟 1：重設用戶的密碼

遵循重設某人的商務密碼中的程序進行。

重要事項

• 請勿透過電子郵件將新密碼傳送給使用者，因為攻擊者此時仍可存取信箱。

• 請務必使用強密碼：大寫和小寫字母、至少一個數位，以及至少一個特殊字元。

• 即使密碼歷程記錄需求允許，請勿重複使用最後五個密碼中的任何一個。 使用攻擊者無法猜到的唯一密碼。

• 如果內部部署身分識別與 Microsoft 365 同盟，您必須變更內部部署帳戶密碼，然後通知系統管理員洩露。

• 務必更新應用程式密碼。 當您重設密碼時，不會自動撤銷應用程式密碼。 使用者應該刪除現有的應用程式密碼，並建立新密碼。 如需指示，請 參閱管理雙步驟驗證的應用程式密碼。

• 強烈建議您為帳戶啟用多重要素驗證 (MFA) 。 MFA 是協助防止帳戶洩露的好方法，對於具有系統管理許可權的帳戶而言非常重要。 如需指示， 請參閱設定多重要素驗證。

步驟 2：移除可疑的電子郵件轉寄位址

1. 在 的 Microsoft 365 系統管理中心 https://admin.microsoft.com中，移至 [使用者>] [作用中使用者]。 或者，若要直接移至 [ 作用中使用者] 頁面，請使用 https://admin.microsoft.com/Adminportal/Home#/users。

2. 在 [ 作用中的使用者] 頁面上，尋找使用者帳戶，然後按下名稱旁邊複選框以外的數據列中的任何位置加以選取。

3. 在開啟的詳細數據飛出視窗中，選取 [ 郵件] 索引標籤 。

4. [Email 轉寄] 區段中套用的值表示已在帳戶上設定郵件轉寄。

   選取 [管理電子郵件轉寄]，清除開啟的 [管理電子郵件轉寄] 飛出視窗中的 [轉寄到此信箱的所有電子郵件] 複選框，然後選取 [儲存變更]。

步驟 3：停用可疑的收件匣規則

1. 使用 Outlook 網頁版登入使用者的信箱。

2. 選取 [設定 (齒輪圖示) ]，在 [搜尋] 方塊中輸入 「規則」，然後從結果中選取 [收件匣規則]。

3. 在開啟之飛出視窗的 [ 規則] 索引標籤上，檢閱現有的規則，並關閉或刪除任何可疑的規則。

步驟 4：解除封鎖使用者傳送郵件

如果帳戶是用來傳送垃圾郵件或大量電子郵件，則信箱可能已被封鎖而無法傳送郵件。

若要解除封鎖信箱以傳送電子郵件，請遵循從 [ 受限制的實體] 頁面移除封鎖的使用者中的程式。

步驟 5 選用：封鎖使用者帳戶，使其無法登入

重要事項

您可以封鎖帳戶登入，直到您認為可以安全地重新啟用存取權為止。

1. 請在 https://admin.microsoft.comMicrosoft 365 系統管理中心 中執行下列步驟：

   1. 移至 [使用者>] [作用中使用者]。 或者，若要直接移至 [ 作用中使用者] 頁面，請使用 https://admin.microsoft.com/Adminportal/Home#/users。
   2. 在 [ 作用中的使用者] 頁面上，執行下列其中一個步驟，從列表中尋找並選取使用者帳戶：
      • 按兩下名稱旁邊複選框以外的數據列中的任何位置，以選取使用者。 在開啟的詳細數據飛出視窗中，選取飛出視窗頂端的 [封鎖登入]。
      • 選取名稱旁邊的複選框來選取使用者。 選取 [更多動作>][編輯登入狀態]。
   3. 在開啟的 [封鎖登入] 飛出視窗中，閱讀資訊，選取 [封鎖此使用者登入]，選取 [儲存變更]，然後選取飛出視窗頂端的 [關閉]。

2. 在 Exchange 系統管理中心 (EAC) https://admin.exchange.microsoft.com中執行下列步驟：

   1. 移至 [收件者>] 信箱。 或者，若要直接移至 [信箱] 頁面，請使用 https://admin.exchange.microsoft.com/#/mailboxes。
   2. 在 [ 信箱] 頁面上，執行下列其中一個步驟，從列表中尋找並選取使用者：
      • 按兩下名稱旁邊的 [四捨五入] 複選框以外的任何位置，以選取使用者。
      • 選取名稱旁邊的 [四捨五入] 複選框，然後選取頁面上顯示的 [編輯] 動作，以選取使用者。
   3. 在開啟的詳細資料飛出視窗中，執行下列步驟：

      1. 確認已選取 [一般] 索引標籤，然後在 [Email 應用程式 & 行動裝置] 區段中選取 [管理電子郵件應用程式設定]。

      2. 在開啟的 [管理電子郵件應用程式設定] 飛出視窗中，將切換開關變更為 [已停用]，以停用所有可用的設定：

         • Outlook 電腦版 (MAPI)
         • Exchange Web 服務
         • 行動裝置 (Exchange ActiveSync)
         • IMAP
         • POP3
         • 網路版 Outlook

         當您在 [管理電子郵件應用程式的設定] 飛出視窗中完成時，請選取 [儲存]，然後選取飛出視窗頂端的 [關閉]。

步驟 6 選用：從所有系統管理角色群組移除懷疑遭入侵的帳戶

注意事項

您可以在帳戶受到保護之後，還原用戶在系統管理角色群組中的成員資格。

1. 在 Microsoft 365 系統管理中心 https://admin.microsoft.com，執行下列步驟：

   1. 移至 [使用者>] [作用中使用者]。 或者，若要直接移至 [ 作用中使用者] 頁面，請使用 https://admin.microsoft.com/Adminportal/Home#/users。

   2. 在 [ 作用中的使用者] 頁面上，執行下列其中一個步驟，從列表中尋找並選取使用者帳戶：

      • 按兩下名稱旁邊複選框以外的數據列中的任何位置，以選取使用者。 在開啟的詳細數據飛出視窗中，確認已選取 [帳戶] 索引標籤，然後在 [角色] 區段中選取 [管理角色]。
      • 選取名稱旁邊的複選框來選取使用者。 選取 [更多動作>] [管理角色]。

   3. 在開啟的 [ 管理系統管理員角色 ] 飛出視窗中，執行下列步驟：

      • 記錄您想要稍後還原的任何資訊。
      • 選取 [沒有系統管理 中心存取權的使用者 () ，以移除系統管理角色成員資格。

      當您在 [ 管理系統管理員角色 ] 飛出視窗中完成時，請選取 [ 儲存變更]。

2. 在 Microsoft Defender 入口網站中https://security.microsoft.com，執行下列步驟：

   1. 移至 [權限>Email & 共同作業角色>角色]。 或者，若要直接前往 [權限] 頁面，請使用 https://security.microsoft.com/emailandcollabpermissions。
   2. 在 [ 許可權] 頁面上，從清單中選取角色群組。
   3. 在開啟的詳細數據飛出視窗的 [ 成員 ] 區段中尋找用戶帳戶。 如果角色群組包含該使用者帳戶，請執行下列步驟：
      1. 在 [ 成員] 區段中，選取 [ 編輯]。
      2. 在開啟之飛出視窗的 [ 選擇成員 ] 索引標籤上，選取 [ 編輯]。
      3. 在開啟的 [ 選擇成員 ] 飛出視窗中，選取 [ 移除]。
      4. 在出現的 [ 成員 ] 區段中，選取名稱旁邊的複選框來選取使用者帳戶，選取 [ 移除]，然後選取 [ 完成]。
      5. 在 [ 編輯選擇成員] 飛出視窗中，選取 [ 儲存]。
      6. 在角色群組詳細數據飛出視窗中，選取 [ 關閉]。
   4. 針對清單中的每個角色群組重複上述步驟。

3. 在的 Exchange 系統管理中心 https://admin.exchange.microsoft.com/，執行下列步驟：

   1. 移至 [角色>管理員 角色]。 或者，若要直接移至 [管理員 角色] 頁面，請使用 https://admin.exchange.microsoft.com/#/adminRoles。

   2. 在 [管理員 角色] 頁面上，按下名稱旁邊的 [四捨五入] 複選框以外的數據列中的任何位置，從清單中選取角色群組。

   3. 在開啟的詳細數據飛出視窗中，選取 [ 指派 ] 索引卷標，然後尋找用戶帳戶。 如果角色群組包含該使用者帳戶，請執行下列步驟：

      1. 選取使用者帳戶。
      2. 選取出現的 [刪除] 動作，選取 [是]，在警告對話框中移除，然後選取飛出視窗頂端的 [關閉]。

   4. 針對清單中的每個角色群組重複上述步驟。

步驟 7 選用：額外的預防步驟

1. 確認 Outlook 或 Outlook 網頁版 中帳戶的 [已傳送專案] 資料夾內容。

   您可能需要通知聯繫人清單中的人員您的帳戶遭到入侵。 例如，攻擊者可能已傳送訊息要求您的聯繫人退款，或攻擊者可能已傳送病毒來劫持其計算機。

2. 使用此帳戶作為替代電子郵件帳戶之任何其他服務的帳戶可能也遭到入侵。 在您為此 Microsoft 365 組織中的帳戶執行本文中的步驟之後，請為您的其他帳戶執行這些步驟。

3. 確認連絡資訊 (例如，電話號碼和位址) 帳戶。

請參閱

• 偵測並修復 Microsoft 365 中 Outlook 規則與自訂表單插入式攻擊
• 偵測和補救非法同意授與
• 網際網路犯罪客訴中心
• 美國證券交易委員會 -「網路釣魚」詐騙
• 若要直接向 Microsoft 和您的系統管理員檢舉垃圾郵件，請使用檢舉訊息增益集