Rispondere a un account di posta elettronica compromesso

Nota

Vuoi provare Microsoft 365 Defender? Altre informazioni su come valutare e pilotare Microsoft 365 Defender.

Si applica a

Riepilogo Informazioni su come riconoscere e rispondere a un account di posta elettronica compromesso in Microsoft 365.

Che cos'è un account di posta elettronica compromesso in Microsoft 365?

L'accesso alle cassette postali, dati e altri servizi di Microsoft 365 viene controllato tramite l'uso di credenziali, ad esempio un nome utente e la password o il PIN. Quando un utente diverso da quello previsto sottrae queste credenziali, queste sono considerate compromesse. Con queste l'utente malintenzionato può accedere come utente originale ed effettuare operazioni illegali.

Usando le credenziali rubate, l'autore dell'attacco può accedere alla cassetta postale di Microsoft 365, alle cartelle di SharePoint o ai file in OneDrive dell'utente. Un’operazione vista comunemente è l’invio da parte del pirata informatico di messaggi di posta elettronica a destinatari sia interni che esterni all'organizzazione dell'utente originale. Quando un utente malintenzionato invia dei dati tramite messaggi di posta elettronica a destinatari esterni, si chiama esfiltrazione di dati.

Sintomi di un account di posta elettronica Microsoft compromesso

Gli utenti potrebbero notare e segnalare attività insolite nelle proprie cassette postali di Microsoft 365. Seguono alcuni sintomi comuni:

  • Attività sospette, ad esempio messaggi di posta elettronica mancanti o eliminati.
  • Altri utenti potrebbero ricevere messaggi di posta elettronica dall'account compromesso senza che sia presente il messaggio di posta elettronica corrispondente nella cartella Posta inviata del mittente.
  • La presenza di regole posta in arrivo che non sono state create dal proprietario o dall'amministratore. Queste regole possono inoltrare messaggi di posta elettronica a indirizzi sconosciuti o spostarli automaticamente nelle cartelle di Note, Posta indesiderata, o Sottoscrizioni RSS.
  • Il nome visualizzato dell'utente può essere modificato nell'elenco indirizzi globale.
  • Non è possibile inviare messaggi di posta elettronica dalla cassetta postale dell'utente.
  • Le cartelle Posta inviata o Posta eliminata in Microsoft Outlook o Outlook sul web (precedentemente noto come Outlook Web App) contengono messaggi presenti comunemente in un account oggetto di un attacco, ad esempio "Mi sono bloccato a Milano, invia denaro."
  • Modifiche al profilo insolite, ad esempio un aggiornamento del nome, numero di telefono o codice postale.
  • Modifiche insolite alle credenziali, ad esempio, sono richiesti varie modifiche alla password.
  • È stato aggiunto di recente un inoltro della posta di Outlook.
  • È stata aggiunta una firma insolita, ad esempio una firma bancaria falsa o la fima per una ricetta medica.

Se un utente segnala qualsiasi dei sintomi precedenti, è necessario eseguire ulteriori analisi. Il portale di Microsoft 365 Defender e gli strumenti dell'offerta portale di Azure consentono di analizzare l'attività di un account utente che si sospetta possa essere compromesso.

  • Log di controllo unificati nel portale di Microsoft 365 Defender: esaminare tutte le attività nell'account sospetto filtrando i risultati per l'intervallo di date che si estende da immediatamente prima delle attività sospette alla data attuale. Non filtrare le attività durante la ricerca. Per ulteriori informazioni, vedi Eseguire una ricerca nel log di audit nel centro di conformità.

  • Log di accesso di Azure AD e altri report sui rischi disponibili nel portale di Azure AD: esaminare i valori nelle colonne seguenti:

    • Esaminare l'indirizzo IP
    • Posizioni di accesso
    • Orari di accesso
    • Esito dell’accesso

Come proteggere e ripristinare la funzione di posta elettronica in un potenziale account e cassetta postale di Microsoft 365 compromessi.

Anche l’accesso all’account è stato riacquisito rapidamente, un utente malintenzionato potrebbe aver aggiunto voci “back-door” che gli permettono di riprendere il controllo dell'account.

È necessario eseguire la procedura seguente per accedere all'account il prima possibile per assicurarsi che l’autore dell’attacco non riprenda il controllo dell’account. Questa procedura consente di rimuovere le voci “back-door” che l’autore dell’attacco potrebbe aver aggiunto all’account. Dopo avere eseguito questi passaggi, è consigliabile eseguire una scansione con un programma antivirus per verificare che il computer non sia compromesso.

Passaggio 1: Reimpostare la password dell’utente.

Seguire le procedure in reimpostare la password per un utente .

Importante

  • Non inviare la nuova password per l'utente desiderato tramite posta elettronica, poiché l’utente malintenzionato potrebbe ancora avere accesso alla cassetta postale.

  • Assicurarsi che la password sia complessa e che contenga lettere maiuscole e minuscole, almeno un numero e almeno un carattere speciale.

  • Non riutilizzare le ultime cinque password. Anche se il requisito di cronologia delle password consente di riutilizzare una password più recente, è necessario sceglierla in modo che un utente malintenzionato non possa indovinarla.

  • Se l'identità dell'utente locale è federata con Microsoft 365, è necessario cambiare la password locale e quindi informare l'amministratore della violazione.

  • Assicurati di aggiornare le password dell'app. Le password dell'app non vengono automaticamente revocate quando si reimposta la password di un account utente. L'utente deve eliminare le password dell'app esistenti e crearne nuove. Per istruzioni, vedere creare ed eliminare password per le app dalla pagina Verifica di sicurezza aggiuntiva.

  • È altamente consigliabile abilitare l'autenticazione a più fattori (MFA) per evitare violazioni, soprattutto per gli account con privilegi amministrativi. Per maggiori dettagli sull’autenticazione a più fattori, visitare Configurare l’autenticazione a più fattori.

Passaggio 2: Rimuovere indirizzi di inoltro della posta elettronica

  1. Nell'interfaccia di amministrazione di Microsoft 365 in https://admin.microsoft.com, passare a Utenti > Utenti attivi. Per passare direttamente alla pagina Utenti attivi, usare https://admin.microsoft.com/Adminportal/Home#/users.

  2. Nella pagina Utenti attivi, trovare l'account utente in questione e selezionare l'utente (riga) senza selezionare la casella di controllo.

  3. Nel riquadro a comparsa dei dettagli visualizzato, seleziona la scheda Posta.

  4. Se il valore nella sezione Inoltro e-mail è Applicato, fai clic su Gestisci inoltro e-mail. Nel riquadro a comparsa Gestisci inoltro e-mail visualizzato, deseleziona Inoltra tutte le e-mail inviate a questa cassetta postale, e fai clic su Salva modifiche.

Passaggio 3 disabilitare tutte le regole di posta in arrivo sospette

  1. Aprire la cassetta postale dell’utente con Outlook sul web.

  2. Fare clic sull'icona con l’ingranaggio e fare clic su Posta.

  3. Fare clic su Regole posta in arrivo e organizzazione ed esaminare le regole.

  4. Disattivare o eliminare le regole sospette.

Passaggio 4 Disattivare il blocco dell’invio di posta elettronica

Se la cassetta postale compromessa è stata usata illecitamente per inviare posta indesiderata, è probabile che la l'invio di posta elettronica sia stato bloccato.

Per sbloccare l’invio di posta elettronica da una cassetta postale, seguire le procedure descritte in Rimozione di un utente dal portale Utenti con restrizioni dopo l'invio di posta elettronica indesiderata.

Passaggio 5 facoltativo: Bloccare l’accesso all’account dell’utente

Importante

È possibile bloccare l’accesso all’account compromesso fino a quando non si ritiene che sia sicuro abilitare di nuovo l'accesso.

  1. Nell'interfaccia di amministrazione di Microsoft 365 in https://admin.microsoft.com, passare a Utenti > Utenti attivi. Per passare direttamente alla pagina Utenti attivi, usare https://admin.microsoft.com/Adminportal/Home#/users.

  2. Nella pagina Utenti attivi trovare e selezionare l'account utente, fare clic sull'icona Altro, quindi selezionare Modifica stato di accesso.

  3. Nel riquadro Blocca accesso visualizzato, seleziona Impedisci a questo utente di accedere, e fai clic su Salva modifiche.

  4. Nell'interfaccia di amministrazione di Exchange (EAC) all'indirizzo https://admin.exchange.microsoft.com, passare a Destinatari>Cassette postali. Per passare direttamente alla pagina Cassette postali, usare https://admin.exchange.microsoft.com/#/mailboxes.

  5. Nella pagina Cassette postali, individuare e selezionare l'utente. Nel riquadro a comparsa dei dettagli che si apre nella cassetta postale, seguire questi passaggi:

    • Nella sezione app di posta elettronica, selezionare Gestisci le impostazioni delle app di posta elettronica. Nel riquadro a comparsa Gestisci le impostazioni per le app di posta elettronica, bloccare tutte le impostazioni disponibili spostando l'interruttore a destra, su Disabilita:
      • Outlook sul web
      • Outlook desktop (MAPI)
      • Servizi Web Exchange
      • Dispositivo mobile (Exchange ActiveSync)
      • IMAP
      • POP3

    Al termine, fai clic su Salva, quindi fai clic su Chiudi.

Passaggio 6 Facoltativo: Rimuovere l'account potenzialmente compromesso da tutti i gruppi di ruoli amministrativi

Nota

Dopo aver protetto l'account, è possibile ripristinare l'appartenenza ai gruppi di ruoli amministrativi.

  1. Nell’interfaccia di amministrazione di Microsoft 365 all’indirizzo https://admin.microsoft.com, eseguire la procedura seguente:

    1. Passa a Utenti > Utenti attivi. Per passare direttamente alla pagina Utenti attivi, usare https://admin.microsoft.com/Adminportal/Home#/users.
    2. Nella pagina Utenti attivi trovare e selezionare l'account utente, fare clic sull'icona Altro, quindi selezionare Gestisci ruoli.
    3. Rimuovi gli eventuali ruoli da amministratore assegnati all'account. Al termine, fai clic su salvare le modifiche.
  2. nel portale di Microsoft 365 Defender all’indirizzo https://security.microsoft.com, seguire questa procedura:

    1. Passare a Autorizzazioni e ruoli > Posta elettronica e ruoli di collaborazione > Ruoli. Per passare direttamente alla pagina Autorizzazioni, utilizzare https://security.microsoft.com/emailandcollabpermissions.
    2. Alla pagina Autorizzazioni, selezionare ogni gruppo di ruoli nell'elenco e cercare l'account utente nella sezione Membri del riquadro a comparsa dei dettagli che viene visualizzato. Se il gruppo di ruoli contiene l'account utente, seguire questi passaggi:
      1. Nella sezione Membri fare clic su Modifica.

      2. Nel riquadro a comparsa Seleziona membri visualizzato, fare clic su Modifica.

      3. Nel riquadro a comparsa Scegli membri visualizzato, fare clic su Rimuovi.

      4. Nel riquadro a comparsa visualizzato, selezionare l'account utente, quindi fare clic su Rimuovi.

        Al termine, fare clic su Fine, Salva e Chiudi.

  3. Nell'interfaccia di amministrazione di Exchange all’indirizzo https://admin.exchange.microsoft.com/, seguire questa procedura:

    1. Selezionare Ruoli > Ruoli di amministratore. Per passare direttamente alla pagina Ruoli di amministratore, usare https://admin.exchange.microsoft.com/#/adminRoles.
    2. Alla pagina Ruoli di amministratore, selezionare manualmente ogni gruppo di ruolo, mentre nel riquadro dei dettagli selezionare la scheda Assegnato per verificare gli account utente. Se il gruppo di ruoli contiene l'account utente, eseguire le operazioni seguenti:
      1. Selezionare l'account utente.

      2. Fare clic su Icona Elimina..

        Al termine, scegliere Salva.

Passaggio 7 facoltativo: Precauzioni di prevenzione aggiuntive

  1. Assicurarsi di verificare i messaggi inviati. Potrebbe essere necessario informare gli utenti nell'elenco dei contatti che l'account è stato compromesso. Un utente malintenzionato potrebbe aver richiesto loro del denaro, fingendo (spoofing) che l’utente originale si trovasse bloccato in un paese/area geografica diversa e avesse necessità di denaro, oppure il malintenzionato potrebbe anche inviare dei virus per assumere il controllo dei loro computer.

  2. Qualsiasi altro servizio utilizzato con l'account di Exchange e il suo account di posta elettronica alternativo potrebbe essere compromesso. Prima di tutto, eseguire questi passaggi per l'abbonamento a Microsoft 365 poi seguire la stessa procedura per gli altri account.

  3. Assicurarsi che le informazioni di contatto, ad esempio numeri di telefono e indirizzi, siano corrette.

Proteggere Microsoft 365 come un professionista della sicurezza informatica

L'abbonamento a Microsoft 365 include un potente set di funzionalità di protezione che consente di proteggere i propri dati e quelli degli altri utenti. Usare la Roadmap della sicurezza di Microsoft 365: principali priorità per i primi 30 giorni, 90 giorni e oltre per implementare le procedure consigliate da Microsoft per proteggere il tenant di Microsoft 365.

  • Attività da eseguire i primi 30 giorni. Queste hanno effetto immediato e sono a basso impatto per gli utenti.
  • Attività da portare a termine in 90 giorni. Queste attività richiedono una quantità di tempo leggermente superiore per la pianificazione e l'implementazione, ma aumentano notevolmente il livello di sicurezza.
  • Oltre 90 giorni. Questi miglioramenti si instaurano nei primi 90 giorni di lavoro effettuato.

Vedere anche