الاستجابة إلى حساب بريد إلكتروني م اختراق

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

هل تريد تجربة Microsoft 365 Defender؟ تعرف على المزيد حول كيفية تقييم Microsoft 365 Defender وتجربتها.

ينطبق على

• Exchange Online Protection
• Microsoft Defender Office 365 الخطة 1 الخطة 2
• Microsoft 365 Defender

ملخص تعرف على كيفية التعرف على حساب بريد إلكتروني م اختراق والرد عليه في Microsoft 365.

ما هو حساب البريد الإلكتروني الذي تم اختراقه في Microsoft 365؟

يتم التحكم Microsoft 365 علب البريد والبيانات والخدمات الأخرى باستخدام بيانات الاعتماد، على سبيل المثال اسم المستخدم وكلمة المرور أو رمز PIN. عندما يقوم شخص آخر غير المستخدم المقصود بسرقة بيانات الاعتماد هذه، يتم اعتبار بيانات الاعتماد التي تمت سرقتها منتهية. باستخدامهم، يمكن للمهاجم تسجيل الدخول كمستخدم أصلي وأداء إجراءات غير مهينة.

باستخدام بيانات الاعتماد التي تمت سرقتها، يمكن للمهاجم الوصول إلى علبة بريد المستخدم Microsoft 365 أو SharePoint المجلدات أو الملفات الموجودة في OneDrive. أحد الإجراءات الشائعة هو أن يرسل المهاجم رسائل البريد الإلكتروني كمستخدم أصلي إلى المستلمين داخل المؤسسة وخارجها. عندما يراسل المهاجم البيانات إلى مستلمين خارجيين، يسمى ذلك ب exfiltration البيانات.

أعراض حساب بريد إلكتروني من Microsoft م اختراق

قد يلاحظ المستخدمون نشاطا غير معتاد في علب Microsoft 365 البريد الخاصة بهم ويقرون بذلك. فيما يلي بعض الأعراض الشائعة:

• نشاط مريب، مثل رسائل البريد الإلكتروني المفقودة أو المحذوفة.
• قد يتلقى المستخدمون الآخرون رسائل بريد إلكتروني من الحساب الذي تم اختراقه دون وجود البريد الإلكتروني المناظر في مجلد "العناصر المرسلة" الخاص بالمرسل.
• وجود قواعد علبة الوارد التي لم يتم إنشاؤها بواسطة المستخدم المقصود أو المسؤول. قد تقوم هذه القواعد تلقائيا إعادة توجيه رسائل البريد الإلكتروني إلى عناوين غير معروفة أو نقلها إلى مجلدات الملاحظات أو البريد الإلكتروني غير الهام أو اشتراكات RSS.
• قد يتم تغيير اسم العرض الخاص بالمستخدم في قائمة العنوان العام.
• تم حظر علبة بريد المستخدم من إرسال البريد الإلكتروني.
• يحتوي مجلد "العناصر المرسلة" أو "العناصر المحذوفة" في Microsoft Outlook أو Outlook على ويب (المعروف سابقا باسم Outlook Web App) على رسائل حساب مخترق شائعة، مثل "أنا عالق في لندن، أرسل الأموال".
• تم تحديث التغييرات غير العادية في ملف التعريف، مثل الاسم أو رقم الهاتف أو الرمز البريدي.
• تغييرات بيانات الاعتماد غير العادية، مثل تغييرات كلمات المرور المتعددة مطلوبة.
• لقد تم إضافة إعادة توجيه البريد مؤخرا.
• لقد تم مؤخرا إضافة توقيع غير معتاد، مثل توقيع بنكي زائف أو توقيع مخدرات بوصفة طبية.

إذا قام أحد المستخدمين بلتقارير عن أي من الأعراض أعلاه، يجب إجراء المزيد من التحريات. يوفر Microsoft 365 Defender مدخل Azure أدوات لمساعدتك على التحقق من نشاط حساب مستخدم تشك في أنه قد يتم اختراقه.

• سجلات التدقيق الموحدة في مدخل Microsoft 365 Defender: راجع كل أنشطة الحساب المشتبه به من خلال تصفية نتائج نطاق التاريخ الذي يمتد من مباشرة قبل حدوث النشاط المريب إلى التاريخ الحالي. لا تقوم بالتصفية على الأنشطة أثناء البحث. لمزيد من المعلومات، راجع البحث في سجل التدقيق في مركز التوافق.

• سجلات تسجيل الدخول إلى Azure AD والتقارير الأخرى للمخاطر في مدخل Azure AD: افحص القيم في هذه الأعمدة:

  • مراجعة عنوان IP
  • مواقع تسجيل الدخول
  • أوقات تسجيل الدخول
  • نجاح تسجيل الدخول أو فشله

كيفية تأمين وظيفة البريد الإلكتروني واستعادتها إلى حساب بريد Microsoft 365 بريد إلكتروني مشتبه به

حتى بعد استعادة حق الوصول إلى حسابك، من الممكن أن يكون المهاجم قد أضاف إدخالات الباب الخلفي التي تمكن المهاجم من استئناف التحكم في الحساب.

يجب عليك القيام بكل الخطوات التالية لاستعادة إمكانية الوصول إلى حسابك كلما كان ذلك أسرع كلما كان ذلك أفضل للتأكد من أن المخاطف لا يستأنف التحكم في حسابك. تساعدك هذه الخطوات على إزالة أي إدخالات من الخلف أضافها المخاطف إلى حسابك. بعد القيام بهذه الخطوات، نوصي بتشغيل فحص الفيروسات للتأكد من عدم اختراق الكمبيوتر.

الخطوة 1 إعادة تعيين كلمة مرور المستخدم

اتبع الإجراءات في إعادة تعيين كلمة مرور العمل لشخص ما.

هام

• لا ترسل كلمة المرور الجديدة إلى المستخدم المقصود عبر البريد الإلكتروني حيث لا يزال للمهاجم حق الوصول إلى علبة البريد في هذه المرحلة.

• تأكد من أن كلمة المرور قوية ومن أنها تحتوي على أحرف كبيرة و صغيرة، وعلى رقم واحد على الأقل، وعلى حرف خاص واحد على الأقل.

• لا تعيد استخدام أي من كلمات المرور الخمس الأخيرة. على الرغم من أن متطلبات محفوظات كلمة المرور تسمح لك بإعادة استخدام كلمة مرور أحدث، يجب تحديد شيء لا يمكن للمهاجم تخمينه.

• إذا كانت هويتك الوطنية مفبركة Microsoft 365، فيجب تغيير كلمة المرور الخاصة بك في الموقع، ثم عليك إعلام المسؤول بالمساومة.

• تأكد من تحديث كلمات مرور التطبيق. لا يتم إبطال كلمات مرور التطبيق تلقائيا عند إعادة تعيين كلمة مرور حساب المستخدم. يجب على المستخدم حذف كلمات مرور التطبيق الحالية وإنشاء كلمات مرور جديدة. للحصول على الإرشادات، راجع إنشاء كلمات مرور التطبيق وحذفها من صفحة التحقق من الأمان الإضافي.

• نوصي بشدة بتمكين المصادقة متعددة العوامل (MFA) لمنع اختراقها، خاصة للحسابات ذات الامتيازات الإدارية. لمعرفة المزيد حول المصادقة متعددة العوامل، انتقل إلى إعداد المصادقة متعددة العوامل.

الخطوة 2 إزالة عناوين إعادة توجيه البريد الإلكتروني المريبة

1. في مركز مسؤولي Microsoft 365 ، https://admin.microsoft.comانتقل إلى المستخدمون > النشطون. الانتقال مباشرة إلى صفحة المستخدمون النشطون، استخدم https://admin.microsoft.com/Adminportal/Home#/users.

2. في صفحة المستخدمون النشطون ، ابحث عن حساب المستخدم المعني، وحدد المستخدم (الصف) دون تحديد خانة الاختيار.

3. في القائمة flyout التفاصيل التي تظهر، حدد علامة التبويب البريد .

4. إذا كانت القيمة في المقطع إعادة توجيه البريد الإلكتروني مطبقة، انقر فوق إدارة إعادة توجيه البريد الإلكتروني. في قائمة إدارة إعادة توجيه البريد الإلكتروني التي تظهر، قم بمسح إعادة توجيه كل رسائل البريد الإلكتروني المرسلة إلى علبة البريد هذه، ثم انقر فوق حفظ التغييرات.

الخطوة 3 تعطيل أي قواعد مريبة في علبة الوارد

1. سجل الدخول إلى علبة بريد المستخدم باستخدام Outlook على ويب.

2. انقر فوق أيقونة الترس وانقر فوق البريد.

3. انقر فوق قواعد علبة الوارد وامسحها وراجع القواعد.

4. تعطيل القواعد المريبة أو حذفها.

الخطوة 4 إلغاء حظر المستخدم من إرسال البريد

إذا تم استخدام علبة البريد المشتبه بها التي تم اختراقها بشكل غير مهين لإرسال البريد الإلكتروني العشوائي، فمن المرجح أن علبة البريد تم حظرها من إرسال البريد.

لإزالة حظر علبة بريد من إرسال البريد، اتبع الإجراءات الواردة في إزالة مستخدم من مدخل المستخدمين المقيدين بعد إرسال البريد الإلكتروني العشوائي.

الخطوة 5 اختيارية: حظر حساب المستخدم من تسجيل الدخول

هام

يمكنك حظر الحساب الذي مشتبه به في حالة اختراق من تسجيل الدخول حتى تعتقد أنه من الآمن إعادة تمكين الوصول.

1. في مركز مسؤولي Microsoft 365 ، https://admin.microsoft.comانتقل إلى المستخدمون > النشطون. الانتقال مباشرة إلى صفحة المستخدمون النشطون، استخدم https://admin.microsoft.com/Adminportal/Home#/users.

2. في صفحة المستخدمون النشطون ، ابحث عن حساب المستخدم وحدده، وانقر فوق ، ثم حدد تحرير حالة تسجيل الدخول.

3. في الجزء حظر تسجيل الدخول الذي يظهر، حدد حظر هذا المستخدم من تسجيل الدخول، ثم انقر فوق حفظ التغييرات.

4. في Exchange إدارة (EAC) في https://admin.exchange.microsoft.com، انتقل إلى علب بريد > المستلمين. الانتقال مباشرة إلى صفحة علب البريد ، استخدم https://admin.exchange.microsoft.com/#/mailboxes.

5. في صفحة علب البريد ، ابحث عن المستخدم وحدده. في معلومات علبة البريد التي يتم فتحها، يمكنك القيام بالخطوات التالية:

   • في المقطع تطبيقات البريد الإلكتروني، حدد إدارة إعدادات تطبيقات البريد الإلكتروني. في قائمة إدارة الإعدادات لتطبيقات البريد الإلكتروني التي تظهر، قم بحظر كل الإعدادات المتوفرة عن طريق نقل تبديل إلى اليمين :
     • Outlook على ويب
     • Outlook سطح المكتب (MAPI)
     • Exchange Web Services
     • الهاتف المحمول (Exchange ActiveSync)
     • IMAP
     • POP3

   عند الانتهاء، انقر فوق حفظ ، ثم انقر فوق إغلاق.

الخطوة 6 اختيارية: إزالة الحساب المشتبه به الذي تم اختراقه من كل مجموعات الدور الإداري

ملاحظة

يمكن استعادة عضوية مجموعة الدور الإداري بعد تأمين الحساب.

1. في مركز مسؤولي Microsoft 365 ، https://admin.microsoft.comيمكنك القيام بالخطوات التالية:

   1. انتقل إلى المستخدمون > النشطون. الانتقال مباشرة إلى صفحة المستخدمون النشطون، استخدم https://admin.microsoft.com/Adminportal/Home#/users.
   2. في صفحة المستخدمون النشطون ، ابحث عن حساب المستخدم وحدده، وانقر فوق ، ثم حدد إدارة الأدوار.
   3. إزالة أي أدوار إدارية تم تعيينها إلى الحساب. عند الانتهاء، انقر فوق حفظ التغييرات.

2. في Microsoft 365 Defender في https://security.microsoft.com، يمكنك القيام بالخطوات التالية:

   1. انتقل إلى أذونات & أدوار البريد > & أدوار التعاون > . الانتقال مباشرة إلى صفحة الأذونات ، استخدم https://security.microsoft.com/emailandcollabpermissions.
   2. في صفحة الأذونات، حدد كل مجموعة دور في القائمة وابحث عن حساب المستخدم في مقطع الأعضاء في القائمة من خلال التفاصيل التي تظهر. إذا كانت مجموعة الدور تحتوي على حساب المستخدم، فتابع الخطوات التالية:

      1. في المقطع الأعضاء ، انقر فوق تحرير.

      2. في الصورة من فوق تحرير اختيار الأعضاء التي تظهر، انقر فوق تحرير.

      3. في الصورة من خلال اختيار الأعضاء من خلال خيار منتحل للأعضاء الذي يظهر، انقر فوق إزالة.

      4. في flyout التي تظهر، حدد حساب المستخدم، ثم انقر فوق إزالة.

         عند الانتهاء، انقر فوق تم، وحفظ، ثم إغلاق.

3. في Exchange إدارة في https://admin.exchange.microsoft.com/، يمكنك القيام بالخطوات التالية:

   1. حدد أدوار أدوار > أدوار المسؤولين. انتقل مباشرة إلى صفحة أدوار المسؤولين، استخدم https://admin.exchange.microsoft.com/#/adminRoles.
   2. في صفحة أدوار المسؤولين، حدد يدويا كل مجموعة أدوار، وفي جزء التفاصيل، حدد علامة التبويب تعيين للتحقق من حسابات المستخدمين. إذا كانت مجموعة الدور تحتوي على حساب المستخدم، فتابع الخطوات التالية:

      1. حدد حساب المستخدم.

      2. انقر فوق زر .

         عند الانتهاء، انقر فوق حفظ.

الخطوة 7 اختيارية: خطوات احترازية إضافية

1. تأكد من التحقق من العناصر المرسلة. قد تحتاج إلى إعلام الأشخاص لقائمة جهات الاتصال الخاصة بك بأن حسابك تم اختراقه. من الممكن أن يكون المهاجم قد طلب منه المال، أو انتحاله، على سبيل المثال، أنك تقطعت بك السبل في بلد آخر وأنك بحاجة إلى أموال، أو قد يرسل له المهاجم فيروسا لخاطف أجهزة الكمبيوتر الخاصة به أيضا.

2. قد يتم اختراق أي خدمة أخرى Exchange حساب البريد الإلكتروني البديل الخاص بها. أولا، قم بهذه الخطوات Microsoft 365 اشتراكك، ثم قم بهذه الخطوات للحسابات الأخرى.

3. تأكد من صحة معلومات جهة الاتصال، مثل أرقام الهواتف والعناوين.

تأمين Microsoft 365 مثل محترف الأمان عبر الإنترنت

يأتي Microsoft 365 الخاص بك مع مجموعة فعالة من إمكانات الأمان التي يمكنك استخدامها لحماية بياناتك والمستخدمين. استخدم Microsoft 365 الأمان - أهم الأولويات لأول 30 يوما أو 90 يوما أو أكثر لتنفيذ أفضل الممارسات المستحسنة من Microsoft لتأمين Microsoft 365 المستأجر.

• المهام التي يجب إنجازها في أول 30 يوما. وهي تؤثر بشكل مباشر على المستخدمين وتنخفض تأثيرها على المستخدمين.
• المهام التي يجب إنجازها في غضون 90 يوما. يستغرق هذا الأمر وقتا أطول قليلا من أجل التخطيط له وتطبيقه، ولكنه يحسن وضع الأمان بشكل كبير.
• بعد 90 يوما. يتم إنشاء هذه التحسينات في أول 90 يوما من العمل.

راجع أيضًا

• الكشف عن الهجمات Outlook القواعد والنماذج المخصصة في Microsoft 365
• مركز الشكوى من الجريمة عبر الإنترنت
• الأوراق المالية وعمولة Exchange - الاحتيال "التصيد الاحتيالي"
• لتقارير البريد الإلكتروني العشوائي مباشرة إلى Microsoft والمسؤول لديك استخدم الوظائف الإضافية "رسالة التقرير"