Reakce na ohrožený e-mailový účet

• Platí pro:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

Přístup k poštovním schránkám, datům a dalším službám Microsoftu 365 se řídí přihlašovacími údaji (například uživatelským jménem a heslem nebo PIN kódem). Když tyto přihlašovací údaje ukradne někdo jiný než zamýšlený uživatel, považuje se přidružený účet za ohrožený.

Když útočník přihlašovací údaje ukradne a získá přístup k účtu, získá přístup k přidružené poštovní schránce Microsoftu 365, sharepointovým složkám nebo souborům na OneDrivu uživatele. Útočníci často zneužíjí ohroženou poštovní schránku k odesílání e-mailů příjemcům v organizaci i mimo ni jako původní uživatel. Útočníci, kteří používají e-mail k odesílání dat externím příjemcům, se označuje jako exfiltrace dat.

Tento článek vysvětluje příznaky ohrožení zabezpečení účtu a způsob, jak znovu získat kontrolu nad ohroženým účtem.

Příznaky ohroženého e-mailového účtu Microsoft

Uživatelé si můžou všimnout neobvyklé aktivity ve svých poštovních schránkách Microsoftu 365 a hlásit je. Příklady:

• Podezřelá aktivita, například chybějící nebo odstraněný e-mail.
• Uživatelé, kteří dostávají e-maily ze zneužněného účtu bez odpovídajícího e-mailu ve složce Odeslaná pošta odesílatele.
• Pravidla doručené pošty, která nebyla vytvořena uživatelem nebo správci. Tato pravidla můžou automaticky přeposílat e-maily na neznámé adresy nebo přesouvat zprávy do složek Poznámky, Nevyžádaná pošta Email nebo Odběry RSS.
• Zobrazované jméno uživatele se změní v globálním adresáři.
• Poštovní schránka uživatele nemůže odesílat e-maily.
• Složky Odeslaná pošta nebo Odstraněná pošta v Aplikaci Microsoft Outlook nebo Outlook na webu (dříve označované jako Outlook Web App) obsahují typické zprávy pro ohrožené účty (například "Jsem zablokovaný v Londýně, pošli peníze.").
• Neobvyklé změny profilu Například jméno, telefonní číslo nebo aktualizace PSČ.
• Vícenásobné a časté změny hesel
• Nedávno jsme přidali přeposílání pošty.
• Nedávno byly přidány neobvyklé podpisy. Například falešný bankovní podpis nebo podpis na předpis.

Pokud uživatel hlásí tyto příznaky nebo jiné neobvyklé příznaky, měli byste to prozkoumat. Portál Microsoft Defender a Azure Portal nabízejí následující nástroje, které vám pomůžou prozkoumat podezřelou aktivitu na uživatelském účtu.

• Jednotné protokoly auditu na portálu Microsoft Defender: Filtrujte protokoly pro aktivitu pomocí rozsahu dat, který začíná bezprostředně před tím, než k podezřelé aktivitě došlo, až do dnešního dne. Během hledání nefiltrujte konkrétní aktivity. Další informace najdete v tématu Search protokolu auditu.

• Microsoft Entra protokoly přihlášení a další sestavy rizik v Centrum pro správu Microsoft Entra: Zkontrolujte hodnoty v těchto sloupcích:

  • Kontrola IP adresy
  • umístění pro přihlášení
  • časy přihlášení
  • Úspěšné nebo neúspěšné přihlášení

Důležité

Následující tlačítko umožňuje otestovat a identifikovat podezřelé aktivity účtu. Tyto informace můžete použít k obnovení napadeného účtu.

Spustit testy: Ohrožené účty

Zabezpečení a obnovení e-mailové funkce do ohroženého účtu a poštovní schránky Microsoftu 365

I poté, co uživatel znovu získá přístup ke svému účtu, může mít útočník levé zadní dveře, které útočníkovi umožní obnovit kontrolu nad účtem.

Pokud chcete znovu získat kontrolu nad účtem, proveďte všechny následující kroky. Projděte si kroky, jakmile máte podezření na problém, a co nejrychleji se ujistěte, že útočník neobnoví kontrolu nad účtem. Tyto kroky vám také pomůžou odebrat všechny back-doorové položky, které mohl útočník přidat do účtu. Po provedení těchto kroků doporučujeme spustit kontrolu virů, abyste se ujistili, že klientský počítač není ohrožen.

Krok 1: Resetování hesla uživatele

Postupujte podle pokynů v tématu Resetování firemního hesla pro někoho.

Důležité

• Neposílejte uživateli nové heslo e-mailem, protože útočník má v tuto chvíli stále přístup k poštovní schránce.

• Nezapomeňte použít silné heslo: velká a malá písmena, aspoň jedno číslo a aspoň jeden speciální znak.

• I když to požadavek na historii hesel umožňuje, nepoužívejte opakovaně žádné z posledních pěti hesel. Použijte jedinečné heslo, které útočník nemůže uhodnout.

• Pokud je místní identita federovaná s Microsoftem 365, musíte změnit heslo místního účtu a pak na ohrožení zabezpečení upozornit správce.

• Nezapomeňte aktualizovat hesla aplikací. Hesla aplikací se při resetování hesla neodvolá automaticky. Uživatel by měl odstranit stávající hesla aplikací a vytvořit nová. Pokyny najdete v tématu Správa hesel aplikací pro dvoustupňové ověřování.

• Důrazně doporučujeme, abyste pro účet povolili vícefaktorové ověřování (MFA). Vícefaktorové ověřování je dobrý způsob, jak zabránit zneužití účtu, a je velmi důležité pro účty s oprávněními správce. Pokyny najdete v tématu Nastavení vícefaktorového ověřování.

Krok 2: Odebrání podezřelých adres pro přeposílání e-mailů

1. V Centrum pro správu Microsoftu 365 v části https://admin.microsoft.compřejděte na Uživatelé>Aktivní uživatelé. Pokud chcete přejít přímo na stránku Aktivní uživatelé, použijte .https://admin.microsoft.com/Adminportal/Home#/users

2. Na stránce Aktivní uživatelé vyhledejte uživatelský účet a vyberte ho kliknutím kamkoli do jiného řádku, než je zaškrtávací políčko vedle jména.

3. V informačním rámečku podrobností, který se otevře, vyberte kartu Pošta .

4. Hodnota Použitá v části Email přeposílání označuje, že pro účet je nakonfigurované přeposílání pošty.

   Vyberte Spravovat přeposílání e-mailů, zrušte zaškrtnutí políčka Přeposlat všechny e-maily odeslané do této poštovní schránky v informačním rámečku Spravovat přeposílání e-mailů , který se otevře, a pak vyberte Uložit změny.

Krok 3: Zakázání podezřelých pravidel doručené pošty

1. Přihlaste se k poštovní schránce uživatele pomocí Outlook na webu.

2. Vyberte Nastavení (ikona ozubeného kola), do pole Search zadejte "pravidla" a pak ve výsledcích vyberte Pravidla doručené pošty.

3. Na kartě Pravidla v informačním rámečku, který se otevře, zkontrolujte existující pravidla a vypněte nebo odstraňte všechna podezřelá pravidla.

Krok 4: Odblokování odesílání pošty uživatelem

Pokud byl účet použit k odesílání spamu nebo velkého množství e-mailů, je pravděpodobné, že poštovní schránka byla zablokována v odesílání pošty.

Pokud chcete odblokovat odesílání e-mailů do poštovní schránky, postupujte podle pokynů v tématu Odebrání blokovaných uživatelů ze stránky Omezené entity.

Krok 5– Volitelné: Blokování přihlašování uživatelského účtu

Důležité

Přihlášení k účtu můžete zablokovat, dokud nebudete mít jistotu, že je bezpečné znovu povolit přístup.

1. Proveďte následující kroky v Centrum pro správu Microsoftu 365 na adrese https://admin.microsoft.com:

   1. Přejděte na Uživatelé>Aktivní uživatelé. Pokud chcete přejít přímo na stránku Aktivní uživatelé, použijte .https://admin.microsoft.com/Adminportal/Home#/users
   2. Na stránce Aktivní uživatelé vyhledejte a vyberte uživatelský účet v seznamu pomocí jednoho z následujících kroků:
      • Vyberte uživatele kliknutím na libovolné místo na jiném řádku, než je zaškrtávací políčko vedle jména. V informačním rámečku podrobností, který se otevře, vyberte Blokovat přihlášení v horní části informačního rámečku.
      • Vyberte uživatele zaškrtnutím políčka vedle jména. Vyberte Další akce>Upravit stav přihlášení.
   3. V rozevíracím rámečku Blokovat přihlášení , který se otevře, si přečtěte informace, vyberte Blokovat tomuto uživateli přihlášení, vyberte Uložit změny a pak v horní části informačního rámečku vyberte Zavřít .

2. V Centru pro správu Exchange (EAC) proveďte následující kroky na adrese https://admin.exchange.microsoft.com:

   1. Přejděte naPoštovní schránkypříjemců>. Pokud chcete přejít přímo na stránku Poštovní schránky , použijte https://admin.exchange.microsoft.com/#/mailboxes.
   2. Na stránce Poštovní schránky vyhledejte a vyberte uživatele ze seznamu pomocí jednoho z následujících kroků:
      • Vyberte uživatele tak, že kliknete kamkoli do jiného řádku než na zaokrouhlené zaškrtávací políčko, které se zobrazí vedle jména.
      • Vyberte uživatele tak, že zaškrtnete kulaté políčko, které se zobrazí vedle jména, a pak vyberete akci Upravit, která se zobrazí na stránce.
   3. V informačním rámečku podrobností, který se otevře, proveďte následující kroky:

      1. Ověřte, že je vybraná karta Obecné a pak v části Email aplikace & mobilních zařízení vyberte Spravovat nastavení e-mailových aplikací.

      2. V rozevíracím rámečku Spravovat nastavení pro e-mailové aplikace , který se otevře, zakažte všechna dostupná nastavení změnou přepínačů na Zakázáno:

         • Desktopová aplikace Outlook (MAPI)
         • Webové služby Exchange
         • Mobilní zařízení (protokol Exchange ActiveSync)
         • IMAP
         • POP3
         • Outlook na webu

         Až skončíte v informačním rámečku Spravovat nastavení pro e-mailové aplikace , vyberte Uložit a pak v horní části informačního rámečku vyberte Zavřít .

Krok 6– Volitelné: Odebrání podezřelého ohroženého účtu ze všech skupin rolí pro správu

Poznámka

Po zabezpečení účtu můžete obnovit členství uživatele ve skupinách rolí pro správu.

1. V Centrum pro správu Microsoftu 365 na adrese https://admin.microsoft.comproveďte následující kroky:

   1. Přejděte na Uživatelé>Aktivní uživatelé. Pokud chcete přejít přímo na stránku Aktivní uživatelé, použijte .https://admin.microsoft.com/Adminportal/Home#/users

   2. Na stránce Aktivní uživatelé vyhledejte a vyberte uživatelský účet v seznamu pomocí jednoho z následujících kroků:

      • Vyberte uživatele kliknutím na libovolné místo na jiném řádku, než je zaškrtávací políčko vedle jména. V informačním rámečku podrobností, který se otevře, ověřte, že je vybraná karta Účet a pak v části Role vyberte Spravovat role.
      • Vyberte uživatele zaškrtnutím políčka vedle jména. Vyberte Další akce>Spravovat role.

   3. V informačním rámečku Spravovat role správců , který se otevře, proveďte následující kroky:

      • Poznamenejte si všechny informace, které chcete později obnovit.
      • Odeberte členství v roli správce výběrem možnosti Uživatel (bez přístupu k Centru pro správu).

      Až budete hotovi v informačním rámečku Spravovat role správců , vyberte Uložit změny.

2. Na portálu Microsoft Defender na adrese https://security.microsoft.comproveďte následující kroky:

   1. Přejděte na Oprávnění>Email & role> pro spolupráciRole. Nebo, pokud chcete přejít přímo na stránku Oprávnění, použijte https://security.microsoft.com/emailandcollabpermissions.
   2. Na stránce Oprávnění vyberte v seznamu skupinu rolí.
   3. Vyhledejte uživatelský účet v části Členové v informačním rámečku s podrobnostmi, který se otevře. Pokud skupina rolí obsahuje uživatelský účet, proveďte následující kroky:
      1. V části Členové vyberte Upravit.
      2. Na kartě Zvolit členy v informačním rámečku, který se otevře, vyberte Upravit.
      3. V rozevíracím seznamu Zvolit členy , který se otevře, vyberte Odebrat.
      4. V zobrazené části Členové vyberte uživatelský účet tak, že zaškrtnete políčko vedle jména, vyberete Odebrat a pak vyberete Hotovo.
      5. V rozevíracím rámečku Úpravy Zvolit členy vyberte Uložit.
      6. V informačním rámečku podrobnosti o skupině rolí vyberte Zavřít.
   4. Opakujte předchozí kroky pro každou skupinu rolí v seznamu.

3. V Centru pro správu Exchange na adrese https://admin.exchange.microsoft.com/proveďte následující kroky:

   1. Přejděte na Role>Správa role. Pokud chcete přejít přímo na stránku Správa rolí, použijte https://admin.exchange.microsoft.com/#/adminRoles.

   2. Na stránce Správa role vyberte skupinu rolí v seznamu kliknutím na libovolné místo v řádku, který se zobrazí vedle příslušného názvu.

   3. V informačním rámečku podrobností, který se otevře, vyberte kartu Přiřazeno a vyhledejte uživatelský účet. Pokud skupina rolí obsahuje uživatelský účet, proveďte následující kroky:

      1. Vyberte uživatelský účet.
      2. Vyberte zobrazenou akci Odstranit, v dialogovém okně s upozorněním vyberte Ano, odebrat a pak v horní části informačního rámečku vyberte Zavřít.

   4. Opakujte předchozí kroky pro každou skupinu rolí v seznamu.

Krok 7: Volitelné: Další preventivní kroky

1. Zkontrolujte obsah složky Odeslaná pošta účtu v Outlooku nebo Outlook na webu.

   Možná budete muset informovat lidi v seznamu kontaktů, že došlo k ohrožení vašeho účtu. Útočník mohl například odeslat zprávy s žádostí o peníze vašich kontaktů nebo mohl poslat virus, aby napadl jeho počítače.

2. Mohlo dojít také k ohrožení zabezpečení účtů pro všechny ostatní služby, které tento účet používají jako alternativní e-mailový účet. Po provedení kroků v tomto článku pro účet v této organizaci Microsoft 365 proveďte tyto kroky pro ostatní účty.

3. Ověřte kontaktní informace (například telefonní čísla a adresy) účtu.

Viz také

• Detekce a náprava pravidel Outlooku a útoků pomocí vlastních Forms injektáže v Microsoftu 365
• Detekce a náprava neoprávněných udělení souhlasu
• Internet Crime Complaint Center
• Komise pro cenné papíry a burzy – podvod "phishing"
• Pokud chcete nahlásit spamové e-maily přímo microsoftu a správci, použijte doplněk Nahlásit zprávu.