Risposta a un account di posta elettronica compromesso

• Si applica a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Consiglio

Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

Le credenziali controllano l'accesso a cassette postali, dati e altri servizi di Microsoft 365. Quando qualcuno ruba tali credenziali, l'account associato viene considerato compromesso.

Dopo che un utente malintenzionato ruba le credenziali e ottiene l'accesso all'account, può accedere alla cassetta postale di Microsoft 365, alle cartelle di SharePoint o ai file associati in OneDrive dell'utente. Gli utenti malintenzionati usano spesso la cassetta postale compromessa per inviare messaggi di posta elettronica come utente originale ai destinatari all'interno e all'esterno dell'organizzazione. Gli utenti malintenzionati che usano la posta elettronica per inviare dati a destinatari esterni sono noti come esfiltrazione dei dati.

Questo articolo illustra i sintomi della compromissione dell'account e come riprendere il controllo dell'account compromesso.

Sintomi di un account di posta elettronica Microsoft compromesso

Gli utenti potrebbero notare e segnalare attività insolite nelle proprie cassette postali di Microsoft 365. Ad esempio:

• Attività sospette, ad esempio messaggi di posta elettronica mancanti o eliminati.
• Gli utenti che ricevono messaggi di posta elettronica dall'account compromesso senza il messaggio di posta elettronica corrispondente nella cartella Posta inviata del mittente.
• Regole di posta in arrivo sospette. Queste regole potrebbero inoltrare automaticamente i messaggi di posta elettronica a indirizzi sconosciuti o spostare i messaggi nelle cartelle Note, Email indesiderata o Sottoscrizioni RSS.
• Il nome visualizzato dell'utente viene modificato nell'elenco indirizzi globale.
• Non è possibile inviare messaggi di posta elettronica dalla cassetta postale dell'utente.
• Le cartelle Posta inviata o Posta eliminata in Microsoft Outlook o Outlook sul web (precedentemente nota come Outlook Web App) contengono messaggi tipici per gli account compromessi (ad esempio, "Sono bloccato a Londra, invia denaro").
• Modifiche insolite del profilo. Ad esempio, aggiornamenti di nome, numero di telefono o codice postale.
• Modifiche multiple e frequenti delle password.
• Inoltro di posta elettronica esterno aggiunto di recente.
• Firme insolite dei messaggi di posta elettronica. Ad esempio, una firma bancaria falsa o una firma di farmaco da prescrizione.

È necessario analizzare immediatamente se un utente segnala questi o altri sintomi insoliti. Il portale Microsoft Defender e il portale di Azure offrono gli strumenti seguenti per analizzare le attività sospette in un account utente:

• Log di controllo unificati nel portale di Microsoft Defender: filtrare i log per l'attività usando un intervallo di date che inizia immediatamente prima che si verificasse l'attività sospetta. Non filtrare in base a attività specifiche durante la ricerca. Per altre informazioni, vedere Cercare nel log di controllo.

• Microsoft Entra log di accesso e altri report sui rischi nel Interfaccia di amministrazione di Microsoft Entra: Esaminare i valori in queste colonne:

  • Esaminare l'indirizzo IP
  • Posizioni di accesso
  • Orari di accesso
  • Esito dell’accesso

Importante

Il pulsante seguente consente di testare e identificare le attività sospette dell'account. È possibile usare queste informazioni per ripristinare un account compromesso.

Eseguire test: account compromessi

Proteggere e ripristinare la funzione di posta elettronica in un account e una cassetta postale di Microsoft 365 compromessi

Anche dopo che l'utente ha ripreso l'accesso al proprio account, l'utente malintenzionato potrebbe lasciare voci backdoor che possono riprendere il controllo dell'account.

Eseguire tutti i passaggi seguenti per riprendere il controllo dell'account. Seguire i passaggi non appena si sospetta un problema e il più rapidamente possibile per assicurarsi che l'utente malintenzionato non recuperi il controllo dell'account. Questi passaggi consentono anche di rimuovere eventuali voci backdoor aggiunte dall'utente malintenzionato all'account. Dopo aver eseguito questi passaggi, è consigliabile eseguire un'analisi antivirus per assicurarsi che il computer client non sia compromesso.

Passaggio 1: Reimpostare la password dell'utente

Seguire le procedure in reimpostare la password per un utente .

Importante

• Non inviare la nuova password all'utente tramite posta elettronica, perché l'utente malintenzionato ha ancora accesso alla cassetta postale a questo punto.

• Assicurarsi di usare una password complessa: lettere maiuscole e minuscole, almeno un numero e almeno un carattere speciale.

• Anche se il requisito di cronologia delle password lo consente, non riutilizzare nessuna delle ultime cinque password. Usare una password univoca che l'utente malintenzionato non riesce a indovinare.

• Se l'identità dell'utente è federata con Microsoft 365, è necessario modificare la password dell'account nell'ambiente locale e quindi notificare la compromissione all'amministratore.

• Assicurati di aggiornare le password dell'app. Le password dell'app non vengono revocate automaticamente quando si reimposta la password. L'utente deve eliminare le password dell'app esistenti e crearne nuove. Per istruzioni, vedere Gestire le password dell'app per la verifica in due passaggi.

• È consigliabile abilitare l'autenticazione a più fattori (MFA) per l'account. L'autenticazione a più fattori è un buon modo per impedire la compromissione degli account ed è molto importante per gli account con privilegi amministrativi. Per istruzioni, vedere Configurare l'autenticazione a più fattori.

Passaggio 2: Rimuovere gli indirizzi di inoltro di posta elettronica sospetti

1. Nel interfaccia di amministrazione di Microsoft 365 in https://admin.microsoft.compassare a Utenti>attivi. In alternativa, per passare direttamente alla pagina Utenti attivi , usare https://admin.microsoft.com/Adminportal/Home#/users.

2. Nella pagina Utenti attivi individuare l'account utente e selezionarlo facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al nome.

3. Nel riquadro a comparsa dei dettagli visualizzato selezionare la scheda Posta.

4. Nella scheda Posta il valore Applicato nella sezione inoltro Email indica che l'inoltro di posta elettronica è configurato nell'account. Per rimuoverlo, seguire questa procedura:

   • Selezionare Gestisci inoltro di posta elettronica.
   • Nel riquadro a comparsa Gestisci inoltro di posta elettronica visualizzato deselezionare la casella di controllo Inoltra tutto il messaggio di posta elettronica inviato a questa cassetta postale e quindi selezionare Salva modifiche.

Passaggio 3: Disabilitare le regole sospette della posta in arrivo

1. Aprire la cassetta postale dell’utente con Outlook sul web.

2. Selezionare Impostazioni (icona a ingranaggio), immettere "regole" nella casella Impostazioni di ricerca e quindi selezionare Regole posta in arrivo nei risultati.

3. Nel riquadro a comparsa Regole visualizzato esaminare le regole esistenti e disattivare o eliminare eventuali regole sospette.

Passaggio 4: Sbloccare l'invio di posta elettronica all'utente

Se l'account è stato usato per inviare posta indesiderata o un volume elevato di messaggi di posta elettronica, è probabile che alla cassetta postale sia impedito l'invio di posta elettronica.

Per sbloccare una cassetta postale dall'invio di posta elettronica, seguire le procedure descritte in Rimuovere gli utenti bloccati dalla pagina Entità con restrizioni.

Passaggio 5 facoltativo: Bloccare l’accesso all’account dell’utente

Importante

È possibile bloccare l'accesso dell'account fino a quando non si ritiene che sia sicuro riabilitare l'accesso.

1. Seguire questa procedura nel interfaccia di amministrazione di Microsoft 365 all'indirizzo https://admin.microsoft.com:

   1. Passare a Utenti utenti>attivi. In alternativa, per passare direttamente alla pagina Utenti attivi , usare https://admin.microsoft.com/Adminportal/Home#/users.
   2. Nella pagina Utenti attivi individuare e selezionare l'account utente dall'elenco eseguendo una delle operazioni seguenti:
      • Selezionare l'utente facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al nome. Nel riquadro a comparsa dei dettagli visualizzato selezionare Blocca accesso nella parte superiore del riquadro a comparsa.
      • Selezionare l'utente selezionando la casella di controllo accanto al nome. Selezionare Altre azioni>Modifica stato di accesso.
   3. Nel riquadro a comparsa Blocca accesso visualizzato leggere le informazioni, selezionare Blocca l'accesso dell'utente, selezionare Salva modifiche e quindi selezionare Chiudi nella parte superiore del riquadro a comparsa.

2. Seguire questa procedura nell'interfaccia di amministrazione di Exchange all'indirizzo https://admin.exchange.microsoft.com:

   1. Passare aCassette postalidestinatari>. In alternativa, per passare direttamente alla pagina Cassette postali , usare https://admin.exchange.microsoft.com/#/mailboxes.

   2. Nella pagina Gestisci cassette postali individuare e selezionare l'utente dall'elenco facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo round visualizzata accanto al nome.

   3. Nel riquadro a comparsa dei dettagli visualizzato seguire questa procedura:

      1. Verificare che la scheda Generale sia selezionata e quindi selezionare Gestisci impostazioni delle app di posta elettronica nella sezione Email app & dispositivi mobili.
      2. Nel riquadro a comparsa Gestisci impostazioni per le app di posta elettronica visualizzato disabilitare tutte le impostazioni disponibili impostando l'interruttore su Disabilitato:
         • Outlook desktop (MAPI)
         • Servizi Web Exchange
         • Dispositivo mobile (Exchange ActiveSync)
         • IMAP
         • POP3
         • Outlook sul web

      Al termine del riquadro a comparsa Gestisci impostazioni per le app di posta elettronica , selezionare Salva e quindi selezionare Chiudi nella parte superiore del riquadro a comparsa.

Passaggio 6 Facoltativo: Rimuovere l'account sospetto compromesso da tutti i ruoli amministrativi

Nota

È possibile ripristinare l'appartenenza dell'utente ai ruoli amministrativi dopo la protezione dell'account.

1. Nell’interfaccia di amministrazione di Microsoft 365 all’indirizzo https://admin.microsoft.com, eseguire la procedura seguente:

   1. Passare a Utenti utenti>attivi. In alternativa, per passare direttamente alla pagina Utenti attivi , usare https://admin.microsoft.com/Adminportal/Home#/users.

   2. Nella pagina Utenti attivi individuare e selezionare l'account utente dall'elenco eseguendo una delle operazioni seguenti:

      • Selezionare l'utente facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al nome. Nel riquadro a comparsa dei dettagli visualizzato verificare che sia selezionata la scheda Account e quindi selezionare Gestisci ruoli nella sezione Ruoli .
      • Selezionare l'utente selezionando la casella di controllo accanto al nome. Selezionare Altre azioni>Gestisci ruoli.

   3. Nel riquadro a comparsa Gestisci ruoli di amministratore visualizzato seguire questa procedura:

      • Registrare tutte le informazioni che si desidera ripristinare in un secondo momento.
      • Rimuovere l'appartenenza al ruolo amministrativo selezionando Utente (nessun accesso all'interfaccia di amministrazione).Remove administrative role membership by selecting User (no admin center access).

      Al termine del riquadro a comparsa Gestisci ruoli di amministratore , selezionare Salva modifiche.

2. Nel portale di Microsoft Defender in https://security.microsoft.com, seguire questa procedura:

   1. Passare a Autorizzazioni>Email & ruoli di> collaborazione. In alternativa, per passare direttamente alla pagina Autorizzazioni, usare https://security.microsoft.com/emailandcollabpermissions.

   2. Nella pagina Autorizzazioni selezionare un gruppo di ruoli dall'elenco selezionando la casella di controllo accanto al nome (ad esempio Gestione organizzazione) e quindi selezionando Modifica azione visualizzata.

   3. Nella pagina Modifica membri del gruppo di ruoli visualizzata esaminare l'elenco dei membri. Se il gruppo di ruoli contiene l'account utente, rimuovere l'utente selezionando la casella di controllo accanto al nome e quindi selezionando Rimuovi membri.

      Al termine, nella pagina Modifica membri del gruppo di ruoli selezionare Avanti

   4. Nella pagina Rivedi il gruppo di ruoli e fine esaminare le informazioni e quindi selezionare Salva.

   5. Ripetere i passaggi precedenti per ogni gruppo di ruoli nell'elenco.

3. Nell'interfaccia di amministrazione di Exchange all’indirizzo https://admin.exchange.microsoft.com/, seguire questa procedura:

   1. Passare a Ruoli>Amministrazione ruoli. In alternativa, per passare direttamente alla pagina dei ruoli Amministrazione, usare https://admin.exchange.microsoft.com/#/adminRoles.

   2. Nella pagina Amministrazione ruoli selezionare un gruppo di ruoli dall'elenco facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo round visualizzata accanto al nome.

   3. Nel riquadro a comparsa dei dettagli visualizzato selezionare la scheda Assegnato e quindi cercare l'account utente. Se il gruppo di ruoli contiene l'account utente, eseguire le operazioni seguenti:

      1. Selezionare l'account utente selezionando la casella di controllo round visualizzata accanto al nome.
      2. Selezionare l'azione Elimina visualizzata, selezionare Sì, rimuovere nella finestra di dialogo di avviso e quindi selezionare Chiudi nella parte superiore del riquadro a comparsa.

   4. Ripetere i passaggi precedenti per ogni gruppo di ruoli nell'elenco.

Passaggio 7 facoltativo: Precauzioni di prevenzione aggiuntive

1. Verificare il contenuto della cartella Posta inviata dell'account in Outlook o Outlook sul web.

   Potrebbe essere necessario informare i contatti dell'utente che l'account è stato compromesso. Ad esempio, l'utente malintenzionato potrebbe aver inviato messaggi che richiedono denaro ai contatti oppure l'utente malintenzionato potrebbe aver inviato un virus per dirottare i propri computer.

2. Potrebbero essere compromessi anche altri servizi che usano questo account come indirizzo di posta elettronica alternativo. Dopo aver eseguito i passaggi descritti in questo articolo per l'account in questa organizzazione di Microsoft 365, eseguire i passaggi corrispondenti negli altri servizi.

3. Verificare le informazioni di contatto (ad esempio, numeri di telefono e indirizzi) dell'account.

Vedere anche

• Rilevare e risolvere gli attacchi injection alle regole e ai moduli personalizzati di Outlook in Microsoft 365
• Rilevare e correggere le concessioni di consenso illecite
• Internet Crime Complaint Center
• Securities and Exchange Commission (SEC) - Frode “Phishing”
• Segnalare i messaggi come phishing a Microsoft e/o agli amministratori (a seconda della configurazione delle impostazioni segnalate dall'utente nell'organizzazione).