Реагирование на скомпрометированную учетную запись электронной почты
Совет
Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
Учетные данные управляют доступом к почтовым ящикам, данным и другим службам Microsoft 365. Когда кто-то похищает эти учетные данные, связанная учетная запись считается скомпрометированной.
После того как злоумышленник украдет учетные данные и получит доступ к учетной записи, он сможет получить доступ к связанному почтовому ящику Microsoft 365, папкам SharePoint или файлам в OneDrive пользователя. Злоумышленники часто используют скомпрометированный почтовый ящик для отправки электронной почты в качестве исходного пользователя получателям внутри организации и за ее пределами. Злоумышленники, использующие электронную почту для отправки данных внешним получателям, называются кражей данных.
В этой статье описываются симптомы компрометации учетной записи и способы восстановления контроля над скомпрометированной учетной записью.
Симптомы компрометации учетной записи электронной почты Майкрософт
Пользователи могут заметить подозрительные действия в своих почтовых ящиках Microsoft 365 и сообщить об этих действиях. Например:
- Подозрительные действия, такие как отсутствующие или удаленные сообщения электронной почты.
- Пользователи, получающие сообщение электронной почты из скомпрометированной учетной записи без соответствующего сообщения электронной почты в папке Отправленные отправителя.
- Подозрительные правила папки "Входящие". Эти правила могут автоматически пересылать электронную почту на неизвестные адреса или перемещать сообщения в папки Notes, Нежелательная Email или RSS Subscriptions.
- Отображаемое имя пользователя изменяется в глобальном списке адресов.
- Почтовый ящик пользователя не может отправлять почту.
- Папки "Отправленные" или "Удаленные" в Microsoft Outlook или Outlook в Интернете (ранее известные как Outlook Web App) содержат типичные сообщения для скомпрометированных учетных записей (например, "Я застрял в Лондоне, отправляю деньги".
- Необычные изменения профиля. Например, имя, номер телефона или обновления почтового индекса.
- Несколько и часто изменяющихся паролей.
- Недавно добавлена внешняя пересылка электронной почты.
- Необычные подписи сообщений электронной почты. Например, поддельная банковская подпись или подпись отпускаемого по рецепту лекарства.
Необходимо немедленно выяснить, сообщает ли пользователь эти или другие необычные симптомы. Портал Microsoft Defender и портал Azure предлагают следующие средства, которые помогут вам исследовать подозрительные действия в учетной записи пользователя:
Единые журналы аудита на портале Microsoft Defender. Отфильтруйте журналы действий с помощью диапазона дат, который начинается непосредственно перед тем, как подозрительное действие произошло на сегодняшний день. Не фильтруйте определенные действия во время поиска. Дополнительные сведения см. в разделе Поиск в журнале аудита.
Microsoft Entra журналы входа и другие отчеты о рисках в Центр администрирования Microsoft Entra: изучите значения в следующих столбцах:
- IP-адрес;
- место входа;
- время входа;
- успешный или неудачный вход.
Важно!
Следующая кнопка позволяет протестировать и выявить подозрительные действия с учетной записью. Эти сведения можно использовать для восстановления скомпрометированных учетных записей.
Защита и восстановление функции электронной почты в скомпрометированных учетных записях и почтовых ящиках Microsoft 365
Даже после того, как пользователь восстановит доступ к своей учетной записи, злоумышленник может оставить записи на задней двери, которые могут восстановить контроль над учетной записью.
Выполните все следующие действия, чтобы восстановить контроль над учетной записью. Выполните действия, как только вы подозреваете проблему и как можно быстрее, чтобы убедиться, что злоумышленник не восстановит контроль над учетной записью. Эти действия также помогут удалить все записи на задней двери, добавленные злоумышленником в учетную запись. После выполнения этих действий рекомендуется выполнить проверку на наличие вирусов, чтобы убедиться, что клиентский компьютер не скомпрометирован.
Шаг 1. Сброс пароля пользователя
Выполните процедуры из раздела Сброс бизнес-пароля для другого пользователя.
Важно!
Не отправляйте новый пароль пользователю по электронной почте, так как злоумышленник по-прежнему имеет доступ к почтовому ящику на данный момент.
Обязательно используйте надежный пароль: верхние и строчные буквы, по крайней мере одну цифру и хотя бы один специальный символ.
Даже если это разрешено в журнале паролей, не используйте ни один из последних пяти паролей. Используйте уникальный пароль, который злоумышленник не может угадать.
Если удостоверение пользователя входит в федерацию с Microsoft 365, необходимо изменить пароль учетной записи в локальной среде, а затем уведомить администратора о компрометации.
Не забудьте обновить пароли приложений. Пароли приложений не отзываются автоматически при сбросе пароля. Пользователь должен удалить существующие пароли приложений и создать новые. Инструкции см. в разделе Управление паролями приложений для двухфакторной проверки подлинности.
Настоятельно рекомендуется включить многофакторную проверку подлинности (MFA) для учетной записи. MFA — это хороший способ предотвратить компрометацию учетной записи. Это очень важно для учетных записей с правами администратора. Инструкции см. в разделе Настройка многофакторной проверки подлинности.
Шаг 2. Удаление подозрительных адресов переадресации электронной почты
В Центр администрирования Microsoft 365 в https://admin.microsoft.comвыберите Пользователи>Активные пользователи. Или, чтобы перейти непосредственно на страницу Активные пользователи , используйте https://admin.microsoft.com/Adminportal/Home#/users.
На странице Активные пользователи найдите учетную запись пользователя и выберите ее, щелкнув в любом месте строки, кроме поля проверка рядом с именем.
Во всплывающем окне сведений выберите вкладку Почта .
На вкладке Почта значение Применено в разделе Email переадресации указывает, что в учетной записи настроена пересылка почты. Чтобы удалить его, сделайте следующее:
- Выберите Управление пересылкой электронной почты.
- Во всплывающем окне Управление пересылкой электронной почты снимите флажок Переслать все сообщения электронной почты, отправленные в этот почтовый ящик проверка, а затем выберите Сохранить изменения.
Шаг 3. Отключение подозрительных правил папки "Входящие"
Войдите в почтовый ящик пользователя с помощью Outlook в Интернете.
Выберите Параметры (значок шестеренки), введите правила в поле Параметры поиска, а затем в результатах выберите Правила папки "Входящие".
Во всплывающем окне Правила просмотрите существующие правила и отключите или удалите подозрительные правила.
Шаг 4. Разблокирование отправки почты пользователем
Если учетная запись использовалась для отправки спама или большого объема электронной почты, скорее всего, почтовый ящик заблокирован для отправки почты.
Чтобы разблокировать отправку электронной почты в почтовом ящике, выполните действия, описанные в статье Удаление заблокированных пользователей на странице Ограниченные сущности.
Шаг 5 (необязательно). Запретите вход в учетную запись пользователя
Важно!
Вы можете заблокировать вход в учетную запись, пока не поверите, что повторное включение доступа будет безопасным.
Выполните следующие действия в Центр администрирования Microsoft 365 по адресу https://admin.microsoft.com:
- Перейдите в раздел Пользователи>Активные пользователи. Или, чтобы перейти непосредственно на страницу Активные пользователи , используйте https://admin.microsoft.com/Adminportal/Home#/users.
- На странице Активные пользователи найдите и выберите учетную запись пользователя из списка, выполнив одно из следующих действий.
- Выберите пользователя, щелкнув в любом месте строки, кроме поля проверка рядом с именем. В открывшемся всплывающем окне сведений выберите Блокировать вход в верхней части всплывающего элемента.
- Выберите пользователя, выбрав поле проверка рядом с именем. Выберите Другие действия>Изменить состояние входа.
- В открывшемся всплывающем окне Блокировать вход прочтите сведения, выберите Блокировать вход для этого пользователя, щелкните Сохранить изменения, а затем нажмите кнопку Закрыть в верхней части всплывающего окна.
В Центре администрирования Exchange (EAC) выполните следующие действия по адресу https://admin.exchange.microsoft.com:
Перейдите в раздел Почтовые ящики>получателей. Или, чтобы перейти непосредственно на страницу Почтовые ящики , используйте https://admin.exchange.microsoft.com/#/mailboxes.
На странице Управление почтовыми ящиками найдите и выберите пользователя из списка, щелкнув в любом месте строки, кроме круглого проверка, которое отображается рядом с именем.
В открывавшемся всплывающем окне сведений выполните следующие действия.
- Убедитесь, что выбрана вкладка Общие, а затем выберите Управление параметрами приложений электронной почты в разделе Email приложения & мобильных устройств.
- Во всплывающем окне Управление параметрами для приложений электронной почты отключите все доступные параметры, изменив переключатели на Отключено:
- Классическое приложение Outlook (MAPI)
- Веб-службы Exchange
- Протокол для мобильной связи (Exchange ActiveSync)
- IMAP
- POP3
- Outlook в Интернете
По завершении во всплывающем окне Управление параметрами для приложений электронной почты нажмите кнопку Сохранить, а затем нажмите кнопку Закрыть в верхней части всплывающего окна.
Шаг 6 Необязательно. Удаление предполагаемой скомпрометированной учетной записи из всех административных ролей
Примечание.
Вы можете восстановить членство пользователя в административных ролях после защиты учетной записи.
В Центре администрирования Microsoft 365 по адресу https://admin.microsoft.com выполните следующие действия:
Перейдите в раздел Пользователи>Активные пользователи. Или, чтобы перейти непосредственно на страницу Активные пользователи , используйте https://admin.microsoft.com/Adminportal/Home#/users.
На странице Активные пользователи найдите и выберите учетную запись пользователя из списка, выполнив одно из следующих действий.
- Выберите пользователя, щелкнув в любом месте строки, кроме поля проверка рядом с именем. Во всплывающем окне сведений убедитесь, что выбрана вкладка Учетная запись , а затем выберите Управление ролями в разделе Роли .
- Выберите пользователя, выбрав поле проверка рядом с именем. Выберите Дополнительные действия>Управление ролями.
Во всплывающем окне Управление ролями администратора выполните следующие действия.
- Запишите все сведения, которые вы хотите восстановить позже.
- Удалите членство в административных ролях, выбрав Пользователь (без доступа к Центру администрирования).
По завершении во всплывающем окне Управление ролями администратора выберите Сохранить изменения.
На портале Microsoft Defender по адресу https://security.microsoft.comсделайте следующее:
Перейдите в раздел Разрешения>Email & роли> совместной работыРоли. Или перейдите непосредственно на страницу Разрешения по ссылке https://security.microsoft.com/emailandcollabpermissions.
На странице Разрешения выберите группу ролей в списке, выбрав проверка поле рядом с именем (например, Управление организацией), а затем выбрав команду Изменить действие.
На открывающейся странице Изменение членов группы ролей просмотрите список участников. Если группа ролей содержит учетную запись пользователя, удалите пользователя, выбрав поле проверка рядом с именем, а затем выберите Удалить участников.
Завершив работу на странице Изменение членов группы ролей, нажмите кнопку Далее.
На странице Просмотр группы ролей и завершения просмотрите сведения и нажмите кнопку Сохранить.
Повторите предыдущие шаги для каждой группы ролей в списке.
В Центре администрирования Exchange по адресу https://admin.exchange.microsoft.com/ выполните следующие действия:
Выберите Роли>Администратор роли. Или, чтобы перейти непосредственно на страницу ролей Администратор, используйте https://admin.exchange.microsoft.com/#/adminRoles.
На странице Администратор роли выберите группу ролей из списка, щелкнув в любом месте строки, кроме круглого проверка, которое отображается рядом с именем.
Во всплывающем окне сведений выберите вкладку Назначено и найдите учетную запись пользователя. Если группа ролей содержит учетную запись пользователя, выполните следующие действия.
- Выберите учетную запись пользователя, выбрав круглое поле проверка рядом с именем.
- Выберите отображающееся действие Удалить, выберите Да, удалить в диалоговом окне предупреждения, а затем нажмите кнопку Закрыть в верхней части всплывающего окна.
Повторите предыдущие шаги для каждой группы ролей в списке.
Шаг 7 (необязательно). Дополнительные меры предосторожности
Проверьте содержимое папки Отправленные элементы учетной записи в Outlook или Outlook в Интернете.
Возможно, вам потребуется сообщить контактам пользователя о том, что учетная запись была скомпрометирована. Например, злоумышленник мог отправлять сообщения с просьбой о деньгах у контактов или вирус, чтобы захватить компьютеры.
Другие службы, использующие эту учетную запись в качестве альтернативного адреса электронной почты, также могут быть скомпрометированы. После выполнения действий, описанных в этой статье, для учетной записи в этой организации Microsoft 365 выполните соответствующие действия в других службах.
Проверьте контактные данные (например, номера телефонов и адреса) учетной записи.
См. также
- Обнаружение атак с внедрением правил и пользовательских форм Outlook и устранение их последствий в Microsoft 365
- Обнаружение и устранение незаконных разрешений на предоставление согласия
- Центр жалоб на Интернет-преступления
- Комиссия по ценным бумагам и биржам – "фишинговое" мошенничество
- Используйте надстройку "Сообщение отчета" , чтобы сообщать о нежелательной почте непосредственно корпорации Майкрософт и (или) администраторам (в зависимости от того, как настроены параметры отчета пользователей ).