Rispondere a un account di posta elettronica compromessoResponding to a Compromised Email Account

Importante

Benvenuti in Microsoft Defender per Office 365, il nome nuovo di Office 365 Advanced Threat Protection.Welcome to Microsoft Defender for Office 365, the new name for Office 365 Advanced Threat Protection. Qui sono disponibili altre informazioni su questo e altri aggiornamenti.Read more about this and other updates here. A breve aggiorneremo i nomi nei prodotti e nei documenti.We'll be updating names in products and in the docs in the near future.

Riepilogo Informazioni su come riconoscere e rispondere a un account di posta elettronica compromesso in Microsoft 365.Summary Learn how to recognize and respond to a compromised email account in Microsoft 365.

Che cos'è un account di posta elettronica compromesso in Microsoft 365?What is a Compromised Email Account in Microsoft 365?

L’accesso alle cassette postali, dati e altri servizi di Microsoft 365 viene controllato tramite l’uso di credenziali, ad esempio un nome utente e la password o il PIN.Access to Microsoft 365 mailboxes, data and other services, is controlled through the use of credentials, for example a user name and password or PIN. Quando un utente diverso da quello previsto sottrae queste credenziali, queste sono considerate compromesse.When someone other than the intended user steals those credentials, the stolen credentials are considered to be compromised. Con queste l'utente malintenzionato può accedere come utente originale ed effettuare operazioni illegali.With them the attacker can sign in as the original user and perform illicit actions. Usando le credenziali rubate, l'autore dell'attacco può accedere alla cassetta postale di Microsoft 365, alle cartelle di SharePoint o ai file in OneDrive dell'utente.Using the stolen credentials, the attacker can access the user's Microsoft 365 mailbox, SharePoint folders, or files in the user's OneDrive. Un’operazione vista comunemente è l’invio da parte del pirata informatico di messaggi di posta elettronica a destinatari sia interni che esterni all'organizzazione dell'utente originale.One action commonly seen is the attacker sending emails as the original user to recipients both inside and outside of the organization. Quando un utente malintenzionato invia dei dati tramite messaggi di posta elettronica a destinatari esterni, si chiama esfiltrazione di dati.When the attacker emails data to external recipients, this is called data exfiltration.

Sintomi di un account di posta elettronica Microsoft compromessoSymptoms of a Compromised Microsoft Email Account

Gli utenti potrebbero notare e segnalare attività insolite nelle proprie cassette postali di Microsoft 365.Users might notice and report unusual activity in their Microsoft 365 mailboxes. Ecco i sintomi più comuni:Here are some common symptoms:

  • Attività sospette, ad esempio messaggi di posta elettronica mancanti o eliminati.Suspicious activity, such as missing or deleted emails.

  • Altri utenti potrebbero ricevere messaggi di posta elettronica dall'account compromesso senza che sia presente il messaggio di posta elettronica corrispondente nella cartella Posta inviata del mittente.Other users might receive emails from the compromised account without the corresponding email existing in the Sent Items folder of the sender.

  • La presenza di regole posta in arrivo che non sono state create dal proprietario o dall'amministratore.The presence of inbox rules that weren't created by the intended user or the administrator. Queste regole possono inoltrare messaggi di posta elettronica a indirizzi sconosciuti o spostarli automaticamente nelle cartelle diNote, Posta indesiderata, o Sottoscrizioni RSS.These rules may automatically forward emails to unknown addresses or move them to the Notes, Junk Email, or RSS Subscriptions folders.

  • Il nome visualizzato dell'utente può essere modificato nell'elenco indirizzi globale.The user's display name might be changed in the Global Address List.

  • Non è possibile inviare messaggi di posta elettronica dalla cassetta postale dell'utente.The user's mailbox is blocked from sending email.

  • Le cartelle Posta inviata o Posta eliminata in Microsoft Outlook o Outlook sul web (precedentemente noto come Outlook Web App) contengono messaggi presenti comunemente in un account oggetto di un attacco, ad esempio "Mi sono bloccato a Milano, invia denaro."The Sent or Deleted Items folders in Microsoft Outlook or Outlook on the web (formerly known as Outlook Web App) contain common hacked-account messages, such as "I'm stuck in London, send money."

  • Modifiche al profilo insolite, ad esempio un aggiornamento del nome, numero di telefono o codice postale.Unusual profile changes, such as the name, the telephone number, or the postal code were updated.

  • Modifiche insolite alle credenziali, ad esempio, sono richiesti varie modifiche alla password.Unusual credential changes, such as multiple password changes are required.

  • È stato aggiunto di recente un inoltro della posta di Outlook.Mail forwarding was recently added.

  • È stata aggiunta una firma insolita, ad esempio una firma bancaria falsa o la fima per una ricetta medica.An unusual signature was recently added, such as a fake banking signature or a prescription drug signature.

Se un utente segnala qualsiasi dei sintomi precedenti, è necessario eseguire ulteriori analisi.If a user reports any of the above symptoms, you should perform further investigation. Il Centro sicurezza e conformità di Microsoft 365 e il portale di Azure offfrono strumenti che consentono di analizzare le attività di un account utente che si sospetta potrebbe essere compromesso.The Microsoft 365 Security & Compliance Center and the Azure Portal offer tools to help you investigate the activity of a user account that you suspect may be compromised.

  • Log di controllo unificati nel Centro sicurezza e conformità: esaminare tutte le attività nell'account sospetto filtrando i risultati per l'intervallo di date che si estendono da immediatamente prima delle attività sospette alla data attuale.Unified Audit Logs in the Security & Compliance Center: Review all the activities for the suspected account by filtering the results for the date range spanning from immediately before the suspicious activity occurred to the current date. Non filtrare le attività durante la ricerca.Do not filter on the activities during the search.

  • Log di controllo dell'amministratore nell'interfaccia di amministrazione di Exchange: in Exchange Online è possibile usare l'interfaccia di amministrazione di Exchange per cercare e visualizzare voci nel log di controllo dell'amministratore.Admin Audit logs in the EAC: In Exchange Online, you can use the Exchange admin center (EAC) to search for and view entries in the administrator audit log. Il log di controllo dell'amministratore registra operazioni specifiche, basate su cmdlet di PowerShell per Exchange Online, eseguite dagli amministratori e dagli utenti che dispongono di privilegi amministrativi.The administrator audit log records specific actions, based on Exchange Online PowerShell cmdlets, performed by administrators and users who have been assigned administrative privileges. Le voci nel registro di controllo dell'amministratore forniscono informazioni sul cmdlet eseguito, sui parametri utilizzati, sull'utente che ha eseguito il cmdlet e sugli oggetti coinvolti.Entries in the administrator audit log provide you with information about what cmdlet was run, which parameters were used, who ran the cmdlet, and what objects were affected.

  • Log di accesso di Azure AD e altri report sui rischi disponibili nel portale di Azure AD: esaminare i valori nelle colonne seguenti:Azure AD Sign-in logs and other risk reports in the Azure AD portal: Examine the values in these columns:

    • Esaminare l'indirizzo IPReview IP address
    • Posizioni di accessosign-in locations
    • Orari di accessosign-in times
    • Esito dell’accessosign-in success or failure

Come proteggere e ripristinare la funzione di posta elettronica in un potenziale account e cassetta postale di Microsoft 365 compromessi.How to secure and restore email function to a suspected compromised Microsoft 365 account and mailbox

Anche l’accesso all’account è stato riacquisito rapidamente, un utente malintenzionato potrebbe aver aggiunto voci “back-door” che gli permettono di riprendere il controllo dell'account.Even after you've regained access to your account, the attacker may have added back-door entries that enable the attacker to resume control of the account.

È necessario eseguire la procedura seguente per accedere all'account il prima possibile per assicurarsi che l’autore dell’attacco non riprenda il controllo dell’account.You must perform all the following steps to regain access to your account the sooner the better to make sure that the hijacker doesn't resume control your account. Questa procedura consente di rimuovere le voci “back-door” che l’autore dell’attacco potrebbe aver aggiunto all’account.These steps help you remove any back-door entries that the hijacker may have added to your account. Dopo avere eseguito questi passaggi, è consigliabile eseguire una scansione con un programma antivirus per verificare che il computer non sia compromesso.After you perform these steps, we recommend that you run a virus scan to make sure that your computer isn't compromised.

Passaggio 1: Reimpostare la password dell’utente.Step 1 Reset the user's password

Seguire le procedure in reimpostare la password per un utente .Follow the procedures in Reset a business password for someone.

Importante

  • Non inviare la nuova password per l'utente desiderato tramite posta elettronica, poiché l’utente malintenzionato potrebbe ancora avere accesso alla cassetta postale.Do not send the new password to the intended user through email as the attacker still has access to the mailbox at this point.

  • Assicurarsi che la password sia complessa e che contenga lettere maiuscole e minuscole, almeno un numero e almeno un carattere speciale.Make sure that the password is strong and that it contains upper and lowercase letters, at least one number, and at least one special character.

  • Non riutilizzare le cinque password più recenti.Don't reuse any of your last five passwords. Anche se il requisito di cronologia delle password consente di riutilizzare una password più recente, è necessario sceglierla in modo che un utente malintenzionato non possa indovinarla.Even though the password history requirement lets you reuse a more recent password, you should select something that the attacker can't guess.

  • Se l'identità dell'utente locale è federata con Microsoft 365, è necessario cambiare la password locale e quindi informare l'amministratore della violazione.If your on-premises identity is federated with Microsoft 365, you must change your password on-premises, and then you must notify your administrator of the compromise.

  • Assicurati di aggiornare le password dell'app.Be sure to update app passwords. Le password dell'app non vengono automaticamente revocate quando si reimposta la password di un account utente.App passwords aren't automatically revoked when a user account password reset. L'utente deve eliminare le password dell'app esistenti e crearne nuove.The user should delete existing app passwords and create new ones. Per istruzioni, vedere creare ed eliminare password per le app dalla pagina Verifica di sicurezza aggiuntiva.For instructions, see Create and delete app passwords from the Additional security verification page.

  • È altamente consigliabile abilitare l'autenticazione a più fattori (MFA) per evitare violazioni, soprattutto per gli account con privilegi amministrativi.We highly recommended that you enable Multi-Factor Authentication (MFA) in order to prevent compromise, especially for accounts with administrative privileges. Per maggiori dettagli sull’autenticazione a più fattori, visitare Configurare l’autenticazione a più fattori.To learn more about MFA, go to Set up multi-factor authentication.

Passaggio 2: Rimuovere indirizzi di inoltro della posta elettronicaStep 2 Remove suspicious email forwarding addresses

  1. Apri l’interfaccia di amministrazione di Microsoft 365 in https://admin.microsoft.comOpen the Microsoft 365 admin center at https://admin.microsoft.com

  2. Passa a Utenti > Utenti attivi.Go to Users > Active users. Trova l'account utente in questione e seleziona l'utente (riga) senza selezionare la casella di controllo.Find the user account in question, and select the user (row) without selecting the checkbox.

  3. Nel riquadro a comparsa dei dettagli visualizzato, seleziona la scheda Posta.In the details flyout that appears, select the Mail tab.

  4. Se il valore nella sezione Inoltro e-mail è Applicato, fai clic su Gestisci inoltro e-mail.If the value in the Email forwarding section is Applied, click Manage email forwarding. Nel riquadro a comparsa Gestisci inoltro e-mail visualizzato, deseleziona Inoltra tutte le e-mail inviate a questa cassetta postale, e fai clic su Salva modifiche.In the Manage email forwarding flyout that appears, clear Forward all email sent to this mailbox, and then click Save changes.

Passaggio 3 disabilitare tutte le regole di posta in arrivo sospetteStep 3 Disable any suspicious inbox rules

  1. Aprire la cassetta postale dell’utente con Outlook sul web.Sign in to the user's mailbox using Outlook on the web.

  2. Fare clic sull'icona con l’ingranaggio e fare clic su Posta.Click on the gear icon and click Mail.

  3. Fare clic su Regole posta in arrivo e organizzazione ed esaminare le regole.Click Inbox and sweep rules and review the rules.

  4. Disattivare o eliminare le regole sospette.Disable or delete suspicious rules.

Passaggio 4 Disattivare il blocco dell’invio di posta elettronicaStep 4 Unblock the user from sending mail

Se la cassetta postale compromessa è stata usata illecitamente per inviare posta indesiderata, è probabile che la l'invio di posta elettronica sia stato bloccato.If the suspected compromised mailbox was used illicitly to send spam email, it is likely that the mailbox has been blocked from sending mail.

Per sbloccare l’invio di posta elettronica da una cassetta postale, seguire le procedure descritte in Rimozione di un utente dal portale Utenti con restrizioni dopo l'invio di posta elettronica indesiderata.To unblock a mailbox from sending mail, follow the procedures in Removing a user from the Restricted Users portal after sending spam email.

Passaggio 5 facoltativo: Bloccare l’accesso all’account dell’utenteStep 5 Optional: Block the user account from signing-in

Importante

È possibile bloccare l’accesso all’account compromesso fino a quando non si ritiene che sia sicuro abilitare di nuovo l'accesso.You can block the suspected compromised account from signing-in until you believe it is safe to re-enable access.

  1. Apri l'interfaccia di amministrazione di Microsoft 365 e vai a utenti > utenti attivi.Open the Microsoft 365 admin center and go to Users > Active users.

  2. Trova e seleziona l'account utente, fai clic sull'icona Altro e seleziona Modifica stato di accesso.Find and select the user account, click More icon, and then select Edit sign-in status.

  3. Nel riquadro Blocca accesso visualizzato, seleziona Impedisci a questo utente di accedere, e fai clic su Salva modifiche.On the Block sign-in pane that appears, select Block this user from signing in, and then click Save changes.

  4. Apri l'interfaccia di amministrazione di Exchange (EAC) su <admin.protection.outlook.com/ecp/> e vai a Destinatari> Cassette postali.Open the Exchange admin center (EAC) at <admin.protection.outlook.com/ecp/>, and go to Recipients > Mailboxes.

  5. Individua e seleziona l'utente.Find and select the select the user. Nel riquadro dei dettagli eseguire le operazioni seguenti:In the details pane, do the following steps:

    • Nella sezioneFunzionalità telefoniche e vocali, effettua le seguenti operazioni:In the Phone and voice features section, do the following steps:

      • Seleziona Disabilita Exchange ActiveSync, fai clic su nell'avviso visualizzato.Select Disable Exchange ActiveSync and then click Yes in the warning that appears.
      • Seleziona OWA per dispositivi, fai clic su nell'avviso visualizzato.Select Disable OWA for Devices and then click Yes in the warning that appears.
    • Nella sezione Connettività e-mail per Outlook sul web, fai clic su Disabilita e poi su nell'avviso visualizzato.In the Email Connectivity section for Outlook on the web, click Disable and then click Yes in the warning that appears.

Passaggio 6 Facoltativo: Rimuovere l'account potenzialmente compromesso da tutti i gruppi di ruoli amministrativiStep 6 Optional: Remove the suspected compromised account from all administrative role groups

Nota

Dopo aver protetto l'account, è possibile ripristinare l'appartenenza ai gruppi di ruoli amministrativi.Administrative role group membership can be restored after the account has been secured.

  1. Accedere con il proprio account di amministratore globale:Sign in with a global administrator account:

  2. Nell'interfaccia di amministrazione di Microsoft 365 esegui le seguenti operazioni:In the Microsoft 365 admin center, do the following steps:

    1. Passa a Utenti > Utenti attivi.Go to Users > Active users.
    2. Trova e seleziona l'account utente, fai clic sull'icona Altro e seleziona Gestisci ruoli.Find and select the user account, click More icon, and then select Manage roles.
    3. Rimuovi gli eventuali ruoli da amministratore assegnati all'account.Remove any administrative roles that are assigned to the account. Al termine, fai clic su salvare le modifiche.When you're finished, click Save changes.
  3. Nel centro sicurezza e conformità in https://protection.office.comesegui le seguenti operazioni:In the Security & Compliance Center at https://protection.office.com, do the following steps:

    Seleziona autorizzazioni, seleziona ogni gruppo di ruoli nell'elenco e cerca l'account utente nella sezione membri nel riquadro a comparsa dettagli visualizzato.Select Permissions, select each role group in the list and look for the user account in the Members section of the details flyout that appears. Se il gruppo di ruoli contiene l'account utente, esegui le operazioni seguenti:If the role group contains the user account, do the following steps:

    a.a. Fai clic su modifica accanto a membri.Click Edit next to Members. b.b. Nel riquadro a comparsa modifica selezionare membri visualizzato e fai clic su modifica.On the Editing Choose members flyout that appears, click Edit. c.c. Nel riquadro a comparsa visualizzato Scegli membri, seleziona l'account utente, e fai clic su Rimuovi.In the Choose members flyout that appears, select the user account, and then click Remove. Al termine, faI clic su Completato, Salvae Chiudi.When you're finished, click Done, Save, and then Close.

  4. Nell’interfaccia di amministrazione di Exchange in <admin.protection.outlook.com/ecp/>, esegui i passaggi seguenti:In the EAC at <admin.protection.outlook.com/ecp/>, do the following steps:

    Seleziona Autorizzazioni, seleziona manualmente ogni gruppo di ruoli e nel riquadro dei dettagli verifica gli account utente nella sezione Membri.Select Permissions, manually select each role group, and in the details pane, verify the user accounts in the Members section. Se il gruppo di ruoli contiene l'account utente, esegui le operazioni seguenti:If the role group contains the user account, do the following steps:

    a.a. Seleziona il gruppo di ruoli, fai clic su Modifica Modifica icona.Select the role group, click Edit Edit icon. b.b. Nella sezione membri seleziona l'account utente e fai clic su Rimuovi Rimuovi icona.In the Member section, select the user account, and then click Remove Remove icon. Al termine, fai clic su Salva.When you're finished, click Save.

Passaggio 7 facoltativo: Precauzioni di prevenzione aggiuntiveStep 7 Optional: Additional precautionary steps

  1. Assicurarsi di verificare i messaggi inviati.Make sure that you verify your sent items. Potrebbe essere necessario informare gli utenti nell'elenco dei contatti che l'account è stato compromesso.You may have to inform people on your contacts list that your account was compromised. Un utente malintenzionato potrebbe aver richiesto loro del denaro, fingendo (spoofing) che l’utente originale si trovasse bloccato in un paese/area geografica diversa e avesse necessità di denaro, oppure il malintenzionato potrebbe anche inviare dei virus per assumere il controllo dei loro computer. The attacker may have asked them for money, spoofing, for example, that you were stranded in a different country and needed money, or the attacker may send them a virus to also hijack their computers.

  2. Qualsiasi altro servizio utilizzato con l'account di Exchange e il suo account di posta elettronica alternativo potrebbe essere compromesso.Any other service that used this Exchange account as its alternative email account may have been compromised. Prima di tutto, eseguire questi passaggi per l'abbonamento a Microsoft 365 poi seguire la stessa procedura per gli altri account.First, perform these steps for your Microsoft 365 subscription, and then perform these steps for your other accounts.

  3. Assicurarsi che le informazioni di contatto, ad esempio numeri di telefono e indirizzi, siano corrette.Make sure that your contact information, such as telephone numbers and addresses, is correct.

Proteggere Microsoft 365 come un professionista della sicurezza informaticaSecure Microsoft 365 like a cybersecurity pro

L'abbonamento a Microsoft 365 include un potente set di funzionalità di protezione che consente di proteggere i propri dati e quelli degli altri utenti.Your Microsoft 365 subscription comes with a powerful set of security capabilities that you can use to protect your data and your users. Usare la Roadmap della sicurezza di Microsoft 365: principali priorità per i primi 30 giorni, 90 giorni e oltre per implementare le procedure consigliate da Microsoft per proteggere il tenant di Microsoft 365.Use the Microsoft 365 security roadmap - Top priorities for the first 30 days, 90 days, and beyond to implement Microsoft recommended best practices for securing your Microsoft 365 tenant.

  • Attività da eseguire i primi 30 giorni.Tasks to accomplish in the first 30 days. Queste hanno effetto immediato e sono a basso impatto per gli utenti.These have immediate affect and are low-impact to your users.

  • Attività da completare in 90 giorni.Tasks to accomplish in 90 days. Queste attività richiedono una quantità di tempo leggermente superiore per la pianificazione e l'implementazione, ma aumentano notevolmente il livello di sicurezza.These take a bit more time to plan and implement but greatly improve your security posture.

  • Dopo 90 giorni.Beyond 90 days. Questi miglioramenti si instaurano nei primi 90 giorni di lavoro effettuato.These enhancements build in your first 90 days work.

Vedere ancheSee also