Reakce na ohrožený e-mailový účet
Tip
Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.
Přihlašovací údaje řídí přístup k poštovním schránkám, datům a dalším službám Microsoftu 365. Když někdo tyto přihlašovací údaje ukradne, přidružený účet se považuje za ohrožený.
Když útočník přihlašovací údaje ukradne a získá přístup k účtu, získá přístup k přidružené poštovní schránce Microsoftu 365, sharepointovým složkám nebo souborům na OneDrivu uživatele. Útočníci často zneužíjí ohroženou poštovní schránku k odesílání e-mailů příjemcům v organizaci i mimo ni jako původní uživatel. Útočníci, kteří používají e-mail k odesílání dat externím příjemcům, se označuje jako exfiltrace dat.
Tento článek vysvětluje příznaky ohrožení zabezpečení účtu a způsob, jak znovu získat kontrolu nad ohroženým účtem.
Příznaky ohroženého e-mailového účtu Microsoft
Uživatelé si můžou všimnout neobvyklé aktivity ve svých poštovních schránkách Microsoftu 365 a hlásit je. Příklady:
- Podezřelá aktivita, například chybějící nebo odstraněný e-mail.
- Uživatelé, kteří dostávají e-maily ze zneužněného účtu bez odpovídajícího e-mailu ve složce Odeslaná pošta odesílatele.
- Podezřelá pravidla doručené pošty. Tato pravidla můžou automaticky přeposílat e-maily na neznámé adresy nebo přesouvat zprávy do složek Poznámky, Nevyžádaná pošta Email nebo Odběry RSS.
- Zobrazované jméno uživatele se změní v globálním adresáři.
- Poštovní schránka uživatele nemůže odesílat e-maily.
- Složky Odeslaná pošta nebo Odstraněná pošta v Aplikaci Microsoft Outlook nebo Outlook na webu (dříve označované jako Outlook Web App) obsahují typické zprávy pro ohrožené účty (například "Jsem zablokovaný v Londýně, pošli peníze.").
- Neobvyklé změny profilu Například jméno, telefonní číslo nebo aktualizace PSČ.
- Vícenásobné a časté změny hesel
- Nedávno přidané externí přeposílání e-mailů
- Neobvyklé podpisy e-mailových zpráv Například falešný bankovní podpis nebo podpis na předpis.
Musíte okamžitě prozkoumat, jestli uživatel hlásí tyto nebo jiné neobvyklé příznaky. Portál Microsoft Defender a Azure Portal nabízejí následující nástroje, které vám pomůžou prozkoumat podezřelou aktivitu na uživatelském účtu:
Jednotné protokoly auditu na portálu Microsoft Defender: Filtrujte protokoly pro aktivitu pomocí rozsahu dat, který začíná bezprostředně před tím, než k podezřelé aktivitě došlo, až do dnešního dne. Během hledání nefiltrujte konkrétní aktivity. Další informace najdete v tématu Prohledávání protokolu auditování.
Microsoft Entra protokoly přihlášení a další sestavy rizik v Centrum pro správu Microsoft Entra: Zkontrolujte hodnoty v těchto sloupcích:
- Kontrola IP adresy
- umístění pro přihlášení
- časy přihlášení
- Úspěšné nebo neúspěšné přihlášení
Důležité
Následující tlačítko umožňuje otestovat a identifikovat podezřelé aktivity účtu. Tyto informace můžete použít k obnovení napadeného účtu.
Zabezpečení a obnovení e-mailové funkce do ohroženého účtu a poštovní schránky Microsoftu 365
I poté, co uživatel znovu získá přístup ke svému účtu, může útočník zanechat záznamy back-door, které mohou znovu získat kontrolu nad účtem.
Pokud chcete znovu získat kontrolu nad účtem, proveďte všechny následující kroky. Projděte si kroky, jakmile máte podezření na problém a co nejrychleji, abyste se ujistili, že útočník znovu nezíská kontrolu nad účtem. Tyto kroky vám také pomůžou odebrat všechny back-doorové položky, které útočník přidal do účtu. Po provedení těchto kroků doporučujeme spustit kontrolu virů, abyste se ujistili, že klientský počítač není ohrožen.
Krok 1: Resetování hesla uživatele
Postupujte podle pokynů v tématu Resetování firemního hesla pro někoho.
Důležité
Neposílejte uživateli nové heslo e-mailem, protože útočník má v tuto chvíli stále přístup k poštovní schránce.
Nezapomeňte použít silné heslo: velká a malá písmena, aspoň jedno číslo a aspoň jeden speciální znak.
I když to požadavek na historii hesel umožňuje, nepoužívejte opakovaně žádné z posledních pěti hesel. Použijte jedinečné heslo, které útočník nemůže uhodnout.
Pokud je identita uživatele federovaná s Microsoftem 365, musíte změnit heslo účtu v místním prostředí a pak na ohrožení zabezpečení upozornit správce.
Nezapomeňte aktualizovat hesla aplikací. Hesla aplikací se při resetování hesla neodvolá automaticky. Uživatel by měl odstranit stávající hesla aplikací a vytvořit nová. Pokyny najdete v tématu Správa hesel aplikací pro dvoustupňové ověřování.
Důrazně doporučujeme, abyste pro účet povolili vícefaktorové ověřování (MFA). Vícefaktorové ověřování je dobrý způsob, jak zabránit zneužití účtu, a je velmi důležité pro účty s oprávněními správce. Pokyny najdete v tématu Nastavení vícefaktorového ověřování.
Krok 2: Odebrání podezřelých adres pro přeposílání e-mailů
V Centrum pro správu Microsoftu 365 v části https://admin.microsoft.compřejděte na Uživatelé>Aktivní uživatelé. Pokud chcete přejít přímo na stránku Aktivní uživatelé, použijte .https://admin.microsoft.com/Adminportal/Home#/users
Na stránce Aktivní uživatelé vyhledejte uživatelský účet a vyberte ho kliknutím kamkoli do jiného řádku, než je zaškrtávací políčko vedle jména.
V informačním rámečku podrobností, který se otevře, vyberte kartu Pošta .
Na kartě Pošta hodnota Použitá v části Email přeposílání označuje, že je pro účet nakonfigurované přeposílání pošty. Pokud ho chcete odebrat, postupujte následovně:
- Vyberte Spravovat přeposílání e-mailů.
- V rozevíracím seznamu Spravovat přeposílání e-mailů , které se otevře, zrušte zaškrtnutí políčka Přeposlat všechny e-maily odeslané do této poštovní schránky a pak vyberte Uložit změny.
Krok 3: Zakázání podezřelých pravidel doručené pošty
Přihlaste se k poštovní schránce uživatele pomocí Outlook na webu.
Vyberte Nastavení (ikona ozubeného kola), do pole Nastavení hledání zadejte "pravidla" a pak ve výsledcích vyberte Pravidla doručené pošty.
V informačním rámečku Pravidla , který se otevře, zkontrolujte existující pravidla a vypněte nebo odstraňte všechna podezřelá pravidla.
Krok 4: Odblokování odesílání pošty uživatelem
Pokud se účet použil k odesílání spamu nebo velkého množství e-mailů, je pravděpodobné, že poštovní schránka nemá možnost odesílat poštu.
Pokud chcete odblokovat odesílání e-mailů do poštovní schránky, postupujte podle pokynů v tématu Odebrání blokovaných uživatelů ze stránky Omezené entity.
Krok 5– Volitelné: Blokování přihlašování uživatelského účtu
Důležité
Přihlášení k účtu můžete zablokovat, dokud nebudete mít jistotu, že je bezpečné znovu povolit přístup.
Proveďte následující kroky v Centrum pro správu Microsoftu 365 na adrese https://admin.microsoft.com:
- Přejděte na Uživatelé>Aktivní uživatelé. Pokud chcete přejít přímo na stránku Aktivní uživatelé, použijte .https://admin.microsoft.com/Adminportal/Home#/users
- Na stránce Aktivní uživatelé vyhledejte a vyberte uživatelský účet v seznamu pomocí jednoho z následujících kroků:
- Vyberte uživatele kliknutím na libovolné místo na jiném řádku, než je zaškrtávací políčko vedle jména. V informačním rámečku podrobností, který se otevře, vyberte Blokovat přihlášení v horní části informačního rámečku.
- Vyberte uživatele zaškrtnutím políčka vedle jména. Vyberte Další akce>Upravit stav přihlášení.
- V rozevíracím rámečku Blokovat přihlášení , který se otevře, si přečtěte informace, vyberte Blokovat tomuto uživateli přihlášení, vyberte Uložit změny a pak v horní části informačního rámečku vyberte Zavřít .
V Centru pro správu Exchange (EAC) proveďte následující kroky na adrese https://admin.exchange.microsoft.com:
Přejděte naPoštovní schránkypříjemců>. Pokud chcete přejít přímo na stránku Poštovní schránky , použijte https://admin.exchange.microsoft.com/#/mailboxes.
Na stránce Správa poštovních schránek vyhledejte a vyberte uživatele v seznamu kliknutím na libovolném jiném řádku než na zaokrouhlené zaškrtávací políčko, které se zobrazí vedle jména.
V informačním rámečku podrobností, který se otevře, proveďte následující kroky:
- Ověřte, že je vybraná karta Obecné a pak v části Email aplikace & mobilních zařízení vyberte Spravovat nastavení e-mailových aplikací.
- V rozevíracím rámečku Spravovat nastavení pro e-mailové aplikace , který se otevře, zakažte všechna dostupná nastavení změnou přepínačů na Zakázáno:
- Desktopová aplikace Outlook (MAPI)
- Webové služby Exchange
- Mobilní zařízení (protokol Exchange ActiveSync)
- IMAP
- POP3
- Outlook na webu
Až skončíte v informačním rámečku Spravovat nastavení pro e-mailové aplikace , vyberte Uložit a pak v horní části informačního rámečku vyberte Zavřít .
Krok 6: Volitelné: Odebrání podezřelého ohroženého účtu ze všech rolí pro správu
Poznámka
Po zabezpečení účtu můžete obnovit členství uživatele v rolích pro správu.
V Centrum pro správu Microsoftu 365 na adrese https://admin.microsoft.comproveďte následující kroky:
Přejděte na Uživatelé>Aktivní uživatelé. Pokud chcete přejít přímo na stránku Aktivní uživatelé, použijte .https://admin.microsoft.com/Adminportal/Home#/users
Na stránce Aktivní uživatelé vyhledejte a vyberte uživatelský účet v seznamu pomocí jednoho z následujících kroků:
- Vyberte uživatele kliknutím na libovolné místo na jiném řádku, než je zaškrtávací políčko vedle jména. V informačním rámečku podrobností, který se otevře, ověřte, že je vybraná karta Účet a pak v části Role vyberte Spravovat role.
- Vyberte uživatele zaškrtnutím políčka vedle jména. Vyberte Další akce>Spravovat role.
V informačním rámečku Spravovat role správců , který se otevře, proveďte následující kroky:
- Poznamenejte si všechny informace, které chcete později obnovit.
- Odeberte členství v roli správce výběrem možnosti Uživatel (bez přístupu k Centru pro správu).
Až budete hotovi v informačním rámečku Spravovat role správců , vyberte Uložit změny.
Na portálu Microsoft Defender na adrese https://security.microsoft.comproveďte následující kroky:
Přejděte na Oprávnění>Email & role> pro spolupráciRole. Nebo, pokud chcete přejít přímo na stránku Oprávnění, použijte https://security.microsoft.com/emailandcollabpermissions.
Na stránce Oprávnění vyberte skupinu rolí ze seznamu tak, že zaškrtnete políčko vedle názvu (například Správa organizace) a pak vyberete Upravit akci, která se zobrazí.
Na stránce Upravit členy skupiny rolí , která se otevře, zkontrolujte seznam členů. Pokud skupina rolí obsahuje uživatelský účet, odeberte uživatele tak, že zaškrtnete políčko vedle jména a pak vyberete Odebrat členy.
Až skončíte na stránce Upravit členy skupiny rolí , vyberte Další.
Na stránce Kontrola skupiny rolí a dokončení zkontrolujte informace a pak vyberte Uložit.
Opakujte předchozí kroky pro každou skupinu rolí v seznamu.
V Centru pro správu Exchange na adrese https://admin.exchange.microsoft.com/proveďte následující kroky:
Přejděte na Role>Správa role. Pokud chcete přejít přímo na stránku Správa rolí, použijte https://admin.exchange.microsoft.com/#/adminRoles.
Na stránce Správa role vyberte skupinu rolí v seznamu kliknutím na libovolné místo v řádku, který se zobrazí vedle příslušného názvu.
V informačním rámečku podrobností, který se otevře, vyberte kartu Přiřazeno a vyhledejte uživatelský účet. Pokud skupina rolí obsahuje uživatelský účet, proveďte následující kroky:
- Vyberte uživatelský účet zaškrtnutím kruhového políčka, které se zobrazí vedle jména.
- Vyberte zobrazenou akci Odstranit, v dialogovém okně s upozorněním vyberte Ano, odebrat a pak v horní části informačního rámečku vyberte Zavřít.
Opakujte předchozí kroky pro každou skupinu rolí v seznamu.
Krok 7: Volitelné: Další preventivní kroky
Zkontrolujte obsah složky Odeslaná pošta účtu v Outlooku nebo Outlook na webu.
Možná budete muset informovat kontakty uživatele, že došlo k ohrožení zabezpečení účtu. Útočník mohl například poslat zprávy s žádostí o peníze kontaktů nebo mohl poslat virus, aby napadl jeho počítače.
Jiné služby, které používají tento účet jako alternativní e-mailovou adresu, mohou být také ohroženy. Po provedení kroků v tomto článku pro účet v této organizaci Microsoft 365 proveďte odpovídající kroky v ostatních službách.
Ověřte kontaktní informace (například telefonní čísla a adresy) účtu.
Viz také
- Detekce a náprava pravidel Outlooku a útoků pomocí vlastních Forms injektáže v Microsoftu 365
- Detekce a náprava neoprávněných udělení souhlasu
- Internet Crime Complaint Center
- Komise pro cenné papíry a burzy – podvod "phishing"
- Pomocí doplňku Nahlásit zprávu můžete hlásit spamové e-maily přímo microsoftu nebo správcům (v závislosti na konfiguraci nastavení nahlášených uživateli ).