Condividi tramite


Rispondere a un account di posta elettronica compromesso

Consiglio

Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

Le credenziali utente controllano l'accesso agli account Microsoft Entra ID, che sono fondamentali per le indagini di compromissione. Quando un utente malintenzionato ottiene l'accesso all'account, può accedere alla cassetta postale di Microsoft 365, alle cartelle di SharePoint o ai file associati in OneDrive dell'utente. La correzione e l'analisi di un utente compromesso sono incentrate sull'account interessato e sui servizi associati all'account.

Gli utenti malintenzionati usano spesso la cassetta postale di un utente compromesso per inviare i destinatari all'interno e all'esterno dell'organizzazione. Business Email Compromise (BEC) è un tipo di attacco prolifico e viene affrontato in questo articolo.

Questo articolo illustra i sintomi della compromissione dell'account (in particolare, la cassetta postale) e come riprendere il controllo dell'account compromesso.

Importante

Il pulsante seguente consente di testare e identificare le attività sospette dell'account. Usare questo test con le indicazioni in questo articolo per ottenere informazioni dettagliate sugli account potenzialmente compromessi e determinare le azioni correttive necessarie.

Sintomi comuni di un account di posta elettronica Microsoft 365 compromesso

Una o più delle attività seguenti potrebbero indicare che un account associato a una cassetta postale di Microsoft 365 è compromesso:

  • Alla cassetta postale viene impedito di inviare messaggi di posta elettronica.
  • Attività sospetta. Ad esempio, messaggio di posta elettronica mancante o eliminato.
  • Regole di posta in arrivo sospette. Ad esempio:
    • Regole che inoltrano automaticamente i messaggi di posta elettronica a indirizzi sconosciuti.
    • Regole che spostano i messaggi nelle cartelle Note, Email indesiderata o Sottoscrizioni RSS.
  • Le cartelle Posta inviata o Posta eliminata contengono messaggi sospetti. Ad esempio, "Sono bloccato a Londra, invia denaro".
  • Modifiche al contatto dell'utente nell'elenco indirizzi globale . Ad esempio, nome, numero di telefono o codice postale.
  • Modifiche frequenti delle password o blocchi di account inspiegabili.
  • Inoltro di posta elettronica esterno aggiunto di recente.
  • Firme di messaggi di posta elettronica sospette. Ad esempio, una firma bancaria falsa o una firma di farmaco da prescrizione.

Se la cassetta postale presenta uno di questi sintomi, usare i passaggi descritti nella sezione successiva per riprendere il controllo dell'account.

Proteggere e ripristinare Email funzione in un account abilitato per la posta elettronica di Microsoft 365 compromesso

Dopo che l'utente malintenzionato ottiene l'accesso a un account, è necessario bloccare l'accesso all'account il prima possibile.

La procedura seguente illustra i metodi noti che potrebbero consentire all'utente malintenzionato di mantenere la persistenza e riprendere il controllo dell'account in un secondo momento. Assicurarsi di risolvere ogni passaggio.

Passaggio 1: Disabilitare l'account utente interessato

  • La disabilitazione dell'account compromesso è preferibile e consigliata fino al completamento dell'indagine.

    1. Se necessario, installare il modulo PowerShell di Microsoft Graph in PowerShell eseguendo il comando seguente:

      Install-Module -Name Microsoft.Graph -Scope CurrentUser
      
    2. Connettersi a Microsoft Graph eseguendo il comando seguente:

      Connect-MgGraph -Scopes "User.ReadWrite.All"
      
    3. Per archiviare i dettagli dell'account utente nella variabile denominata $user, sostituire <UPN> con il nome dell'account dell'utente (nome dell'entità utente o UPN) e quindi eseguire il comando seguente:

      $user = Get-MgUser -Search UserPrincipalName:'<UPN>' -ConsistencyLevel Eventual
      

      Ad esempio:

      $user = Get-MgUser -Search UserPrincipalName:'jason@contoso.onmicrosoft.com' -ConsistencyLevel Eventual
      
    4. Eseguire il comando seguente per disabilitare l'account utente:

      Update-MgUser -UserId $user.Id -AccountEnabled $false
      

    Per informazioni dettagliate sulla sintassi e sui parametri, vedere Update-MgUser

  • Se non è possibile disabilitare l'account, il passaggio migliore successivo consiste nel reimpostare la password. Per istruzioni, vedere Reimpostare le password in Microsoft 365 per le aziende.

    • Assicurarsi di usare una password complessa: lettere maiuscole e minuscole, almeno un numero e almeno un carattere speciale.
    • Non inviare la nuova password all'utente tramite posta elettronica, perché a questo punto l'utente malintenzionato potrebbe avere accesso alla cassetta postale.
    • Usare una password univoca che l'utente malintenzionato non riesce a indovinare. Anche se il requisito di cronologia delle password lo consente, non riutilizzare nessuna delle ultime cinque password.
    • Se l'account è sincronizzato da Active Directory, reimpostare la password in Active Directory e reimpostarla due volte per ridurre il rischio di attacchi pass-the-hash . Per istruzioni, vedere Set-ADAccountPassword.
    • Se l'identità dell'utente è federata con Microsoft 365, è necessario modificare la password dell'account nell'ambiente locale e quindi informare l'amministratore della compromissione.
    • Assicurati di aggiornare le password dell'app. Le password dell'app non vengono revocate automaticamente quando si reimposta la password. L'utente deve eliminare le password dell'app esistenti e crearne nuove. Per altre informazioni, vedere Gestire le password delle app per la verifica in due passaggi.
  • È consigliabile abilitare e applicare l'autenticazione a più fattori (MFA) per l'account. L'autenticazione a più fattori protegge efficacemente dalla compromissione degli account ed è essenziale per gli account con privilegi di amministratore.

    Per altre informazioni, vedere gli articoli seguenti:

Passaggio 2: Revocare l'accesso utente

Questo passaggio invalida immediatamente qualsiasi accesso attivo usando le credenziali rubate e impedisce all'utente malintenzionato di accedere a dati più sensibili o di eseguire azioni non autorizzate sull'account compromesso.

  1. Eseguire il comando seguente in una finestra di PowerShell con privilegi elevati (finestra di PowerShell aperta selezionando Esegui come amministratore):

    Set-ExecutionPolicy RemoteSigned
    
  2. Se necessario, eseguire i comandi seguenti per installare i moduli necessari per Microsoft Graph PowerShell:

    Install-Module Microsoft.Graph.Authentication
    
    Install-Module Microsoft.Graph.Users.Actions
    
  3. Connettersi a Microsoft Graph eseguendo il comando seguente:

    Connect-MgGraph -Scopes User.RevokeSessions.All
    
  4. Per archiviare i dettagli dell'account utente nella variabile denominata $user, sostituire <UPN> con l'account dell'utente (nome dell'entità utente o UPN) e quindi eseguire il comando seguente:

    $user = Get-MgUser -Search UserPrincipalName:'<UPN>' -ConsistencyLevel Eventual
    

    Ad esempio:

    $user = Get-MgUser -Search UserPrincipalName:'jason@contoso.onmicrosoft.com' -ConsistencyLevel Eventual
    
  5. Revocare le sessioni di accesso dell'utente eseguendo il comando seguente:

    Revoke-MgUserSignInSession -UserId $user.Id
    

Per altre informazioni, vedere Revocare l'accesso utente in caso di emergenza in Microsoft Entra ID.

Passaggio 3: Esaminare i dispositivi registrati MFA per l'utente interessato

Identificare e rimuovere eventuali dispositivi sospetti aggiunti da un utente malintenzionato. Assicurarsi inoltre che tutti i metodi MFA non riconosciuti vengano rimossi per proteggere l'account dell'utente.

Per istruzioni, vedere Metodi MFA rimossi

Rimuovere e revocare tutte le applicazioni che non devono essere consentite.

Per istruzioni, vedere Revisione dell'applicazione.

Passaggio 5: Esaminare i ruoli amministrativi assegnati all'utente

Rimuovere tutti i ruoli che non devono essere consentiti.

Per altre informazioni, vedere gli articoli seguenti:

Passaggio 6: Esaminare i server d'inoltro della posta

Rimuovere qualsiasi inoltro sospetto della cassetta postale aggiunto dall'utente malintenzionato.

  1. Connettersi a PowerShell per Exchange Online.

  2. Per verificare se l'inoltro delle cassette postali (noto anche come inoltro SMTP) è configurato nella cassetta postale, sostituire <Identity> con il nome, l'indirizzo di posta elettronica o il nome dell'account della cassetta postale e quindi eseguire il comando seguente:

    Get-Mailbox -Identity \<Identity\> | Format-List Forwarding*Address,DeliverTo*
    

    Ad esempio:

    Get-Mailbox -Identity jason@contoso.com | Format-List Forwarding*Address,DeliverTo*
    

    Osservare i valori delle proprietà seguenti:

    • ForwardingAddress: un valore non vuoto indica che il messaggio di posta elettronica viene inoltrato al destinatario interno specificato.
    • ForwardingSmtpAddress: un valore non vuoto indica che il messaggio di posta elettronica viene inoltrato al destinatario esterno specificato. Se sono configurati sia ForwardingAddress che ForwardingSmtpAddress , la posta elettronica viene inoltrata solo al destinatario interno ForwardingAddress .
    • DeliverToMailboxAndForward: controlla il modo in cui i messaggi vengono recapitati e inoltrati ai destinatari specificati da ForwardingAddress o ForwardingSmtpAddress:
      • True: i messaggi vengono recapitati a questa cassetta postale e inoltrati al destinatario specificato.
      • False: i messaggi vengono inoltrati al destinatario specificato. I messaggi non vengono recapitati a questa cassetta postale.
  3. Per verificare se le regole posta in arrivo inoltrano messaggi di posta elettronica dalla cassetta postale, sostituire <Identity> con il nome, l'indirizzo di posta elettronica o il nome dell'account della cassetta postale e quindi eseguire il comando seguente:

    Get-InboxRule -Mailbox <Identity> -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
    

    Ad esempio:

    Get-InboxRule -Mailbox jason@contoso.com -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
    

    Osservare i valori delle proprietà seguenti:

    • Abilitato: indica se la regola è abilitata (True) o disabilitata (False).

    • RedirectTo: un valore non vuoto indica che il messaggio di posta elettronica viene reindirizzato ai destinatari specificati. I messaggi non vengono recapitati a questa cassetta postale.

    • ForwardTo: un valore non vuoto indica che il messaggio di posta elettronica viene inoltrato ai destinatari specificati.

    • ForwardAsAttachmentTo: un valore non vuoto indica che il messaggio di posta elettronica viene inoltrato ai destinatari specificati come allegato di posta elettronica.

    • Identità: valore univoco globale della regola. Per visualizzare i dettagli completi della regola, sostituire <Identity> con il valore Identity e quindi eseguire il comando seguente:

      Get-InboxRule -Identity "<Identity>" -IncludeHidden | Format-List
      

      Ad esempio:

      Get-InboxRule -Identity "jason\10210541742734704641" -IncludeHidden | Format-List
      

Per altre informazioni, vedere Configurazione e controllo dell'inoltro della posta elettronica esterna in Microsoft 365.

Eseguire un'indagine

Quando un utente segnala sintomi insoliti, è fondamentale condurre un'indagine approfondita. Il Interfaccia di amministrazione di Microsoft Entra e il portale di Microsoft Defender offrono diversi strumenti per esaminare le attività sospette negli account utente. Assicurarsi di esaminare i log di controllo dall'inizio dell'attività sospetta fino a quando non si completano i passaggi di correzione.

Analizzando i log forniti, è possibile individuare l'intervallo di tempo specifico che richiede ulteriore attenzione. Una volta identificati, esaminare i messaggi inviati dall'utente durante questo periodo per altre informazioni dettagliate.

Al termine dell'indagine

  1. Se l'account è stato disabilitato durante l'indagine, reimpostare la password e quindi abilitare l'account come descritto in precedenza in questo articolo

  2. Se l'account è stato usato per inviare posta indesiderata o un volume elevato di messaggi di posta elettronica, è probabile che alla cassetta postale sia impedito l'invio di posta elettronica. Rimuovere l'utente dalla pagina Entità con restrizioni come descritto in Rimuovere gli utenti bloccati dalla pagina Entità con restrizioni.

Altre risorse

Rilevare e risolvere gli attacchi injection alle regole e ai moduli personalizzati di Outlook in Microsoft 365

Rilevare e correggere le concessioni di consenso illecite

Segnalare posta indesiderata, nonspam, phishing, posta elettronica sospetta e file a Microsoft