Responder a uma conta de e-mail comprometida

• Aplica-se a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Sugestão

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação aqui.

O acesso a caixas de correio, dados e outros serviços do Microsoft 365 é controlado por credenciais (por exemplo, um nome de utilizador e uma palavra-passe ou PIN). Quando alguém que não seja o utilizador pretendido rouba essas credenciais, considera-se que a conta associada está comprometida.

Depois de um atacante roubar as credenciais e obter acesso à conta, pode aceder à caixa de correio do Microsoft 365, pastas do SharePoint ou ficheiros associados no OneDrive do utilizador. Os atacantes utilizam frequentemente a caixa de correio comprometida para enviar e-mails como utilizador original aos destinatários dentro e fora da organização. Os atacantes que utilizam o e-mail para enviar dados para destinatários externos são conhecidos como transferência de dados não autorizada.

Este artigo explica os sintomas do compromisso da conta e como recuperar o controlo da conta comprometida.

Sintomas de uma conta de e-mail da Microsoft comprometida

Os utilizadores podem reparar e reportar atividades invulgares nas respetivas caixas de correio do Microsoft 365. Por exemplo:

• Atividade suspeita, como e-mail em falta ou eliminado.
• Os utilizadores que recebem e-mails da conta comprometida sem o e-mail correspondente na pasta Itens Enviados do remetente.
• Regras da caixa de entrada que não foram criadas pelo utilizador ou administradores. Estas regras podem reencaminhar automaticamente o e-mail para endereços desconhecidos ou mover mensagens para as pastas Notas, Email de Lixo ou Subscrições RSS.
• O nome a apresentar do utilizador é alterado na Lista de Endereços Global.
• A caixa de correio do utilizador está impedida de enviar e-mails.
• As pastas Itens Enviados ou Itens Eliminados no Microsoft Outlook ou Outlook na Web (anteriormente conhecido como Outlook Web App) contêm mensagens típicas para contas comprometidas (por exemplo, "Estou preso em Londres, envio dinheiro").
• Alterações de perfil invulgares. Por exemplo, nome, número de telefone ou atualizações do código postal.
• Múltiplas e frequentes alterações de palavra-passe.
• O reencaminhamento de correio foi adicionado recentemente.
• Foram adicionadas recentemente assinaturas invulgares. Por exemplo, uma assinatura bancária falsa ou uma assinatura de medicamentos prescritos.

Se um utilizador relatar estes sintomas ou outros sintomas invulgares, deve investigar. O portal Microsoft Defender e o portal do Azure oferecem as seguintes ferramentas para o ajudar a investigar atividades suspeitas numa conta de utilizador.

• Registos de auditoria unificados no portal do Microsoft Defender: filtre os registos de atividade através de um intervalo de datas que começa imediatamente antes da atividade suspeita ocorrer até hoje. Não filtre atividades específicas durante a pesquisa. Para obter mais informações, veja Pesquisa o registo de auditoria.

• Microsoft Entra registos de início de sessão e outros relatórios de risco no centro de administração Microsoft Entra: Examine os valores nestas colunas:

  • Rever endereço IP
  • localizações de início de sessão
  • horas de início de sessão
  • início de sessão com êxito ou falha

Importante

O botão seguinte permite-lhe testar e identificar atividades suspeitas da conta. Pode utilizar estas informações para recuperar uma conta comprometida.

Executar Testes: Contas Comprometidas

Proteger e restaurar a função de e-mail para uma conta e caixa de correio do Microsoft 365 comprometidas

Mesmo depois de o utilizador recuperar o acesso à conta, o atacante poderá ter deixado as entradas da porta de trás que permitem ao atacante retomar o controlo da conta.

Siga todos os passos seguintes para recuperar o controlo da conta. Siga os passos assim que suspeitar de um problema e, o mais rapidamente possível, certifique-se de que o atacante não retoma o controlo da conta. Estes passos também ajudam a remover quaisquer entradas de porta dos fundos que o atacante possa ter adicionado à conta. Depois de efetuar estes passos, recomendamos que execute uma análise de vírus para garantir que o computador cliente não está comprometido.

Passo 1: Repor a palavra-passe do utilizador

Siga os procedimentos em Repor uma palavra-passe empresarial para alguém.

Importante

• Não envie a nova palavra-passe ao utilizador por e-mail, porque o atacante ainda tem acesso à caixa de correio neste momento.

• Certifique-se de que utiliza uma palavra-passe segura: letras maiúsculas e minúsculas, pelo menos um número e, pelo menos, um caráter especial.

• Mesmo que o requisito do histórico de palavras-passe o permita, não reutilize nenhuma das últimas cinco palavras-passe. Utilize uma palavra-passe exclusiva que o atacante não consegue adivinhar.

• Se a identidade no local estiver federada com o Microsoft 365, tem de alterar a palavra-passe da conta no local no local e, em seguida, notificar o administrador do compromisso.

• Certifique-se de que atualiza as palavras-passe das aplicações. As palavras-passe de aplicação não são revogadas automaticamente quando repõe a palavra-passe. O utilizador deve eliminar palavras-passe de aplicação existentes e criar novas. Para obter instruções, consulte Gerir palavras-passe de aplicação para verificação de dois passos.

• Recomendamos vivamente que ative a autenticação multifator (MFA) para a conta. A MFA é uma boa forma de ajudar a evitar o compromisso da conta e é muito importante para contas com privilégios administrativos. Para obter instruções, veja Configurar a autenticação multifator.

Passo 2: Remover endereços de reencaminhamento de e-mail suspeitos

1. Na centro de administração do Microsoft 365 em https://admin.microsoft.com, aceda a Utilizadores Utilizadores>Utilizadores ativos. Em alternativa, para aceder diretamente à página Utilizadores ativos , utilize https://admin.microsoft.com/Adminportal/Home#/users.

2. Na página Utilizadores ativos , localize a conta de utilizador e selecione-a ao clicar em qualquer parte da linha que não seja a caixa de verificação junto ao nome.

3. Na lista de opções de detalhes que é aberta, selecione o separador Correio .

4. O valor Aplicado na secção de reencaminhamento de Email indica que o reencaminhamento de correio está configurado na conta.

   Selecione Gerir reencaminhamento de e-mail, desmarque a caixa de verificação Reencaminhar todos os e-mails enviados para esta caixa de correio na lista de opções Gerir reencaminhamento de e-mail que é aberta e, em seguida, selecione Guardar alterações.

Passo 3: Desativar regras suspeitas da Caixa de Entrada

1. Inicie sessão na caixa de correio do utilizador com Outlook na Web.

2. Selecione Definições (ícone de engrenagem), introduza "regras" na caixa de Pesquisa e, em seguida, selecione Regras de caixa de entrada nos resultados.

3. No separador Regras da lista de opções que é aberta, reveja as regras existentes e desative ou elimine quaisquer regras suspeitas.

Passo 4: Desbloquear o envio de correio por parte do utilizador

Se a conta tiver sido utilizada para enviar spam ou um grande volume de e-mails, é provável que a caixa de correio tenha sido bloqueada de enviar correio.

Para desbloquear o envio de e-mails numa caixa de correio, siga os procedimentos em Remover utilizadores bloqueados da página Entidades restritas.

Passo 5 Opcional: Bloquear o início de sessão da conta de utilizador

Importante

Pode bloquear o início de sessão da conta até acreditar que é seguro reativar o acesso.

1. Efetue os seguintes passos no centro de administração do Microsoft 365 em https://admin.microsoft.com:

   1. Aceda a Utilizadores Utilizadores>Ativos. Em alternativa, para aceder diretamente à página Utilizadores ativos , utilize https://admin.microsoft.com/Adminportal/Home#/users.
   2. Na página Utilizadores ativos , localize e selecione a conta de utilizador na lista ao efetuar um dos seguintes passos:
      • Selecione o utilizador ao clicar em qualquer parte da linha que não seja a caixa de verificação junto ao nome. Na lista de opções de detalhes que é aberta, selecione Bloquear início de sessão na parte superior da lista de opções.
      • Selecione o utilizador ao selecionar a caixa de verificação junto ao nome. Selecione Mais ações>Editar estado de início de sessão.
   3. Na lista de opções Bloquear início de sessão que é aberta, leia as informações, selecione Bloquear o início de sessão deste utilizador, selecione Guardar alterações e, em seguida, selecione Fechar na parte superior da lista de opções.

2. Efetue os seguintes passos no Centro de administração do Exchange (EAC) em https://admin.exchange.microsoft.com:

   1. Aceda a Caixas deCorreiode Destinatários>. Em alternativa, para aceder diretamente à página Caixas de Correio , utilize https://admin.exchange.microsoft.com/#/mailboxes.
   2. Na página Caixas de Correio , localize e selecione o utilizador na lista ao efetuar um dos seguintes passos:
      • Selecione o utilizador ao clicar em qualquer parte da linha que não seja a caixa de verificação redonda apresentada junto ao nome.
      • Selecione o utilizador ao selecionar a caixa de verificação redonda que aparece junto ao nome e, em seguida, selecione a ação Editar que aparece na página.
   3. Na lista de opções de detalhes que é aberta, siga os seguintes passos:

      1. Verifique se o separador Geral está selecionado e, em seguida, selecione Gerir definições de aplicações de e-mail na secção aplicações Email & dispositivos móveis.

      2. Na lista de opções Gerir definições de aplicações de e-mail que é aberta, desative todas as definições disponíveis ao alterar os seletores para Desativado:

         • Ambiente de trabalho do Outlook (MAPI)
         • Serviços Web Exchange
         • Dispositivos móveis (Exchange ActiveSync)
         • IMAP
         • POP3
         • Outlook na web

         Quando terminar, na lista de opções Gerir definições de aplicações de e-mail , selecione Guardar e, em seguida, selecione Fechar na parte superior da lista de opções.

Passo 6 Opcional: remover a conta comprometida suspeita de todos os grupos de funções administrativas

Nota

Pode restaurar a associação do utilizador em grupos de funções administrativas depois de a conta ter sido protegida.

1. Na centro de administração do Microsoft 365 em https://admin.microsoft.com, siga os seguintes passos:

   1. Aceda a Utilizadores Utilizadores>Ativos. Em alternativa, para aceder diretamente à página Utilizadores ativos , utilize https://admin.microsoft.com/Adminportal/Home#/users.

   2. Na página Utilizadores ativos , localize e selecione a conta de utilizador na lista ao efetuar um dos seguintes passos:

      • Selecione o utilizador ao clicar em qualquer parte da linha que não seja a caixa de verificação junto ao nome. Na lista de opções de detalhes que é aberta, verifique se o separador Conta está selecionado e, em seguida, selecione Gerir funções na secção Funções .
      • Selecione o utilizador ao selecionar a caixa de verificação junto ao nome. Selecione Mais ações>Gerir funções.

   3. Na lista de opções Gerir funções de administrador que é aberta, siga os seguintes passos:

      • Registe as informações que pretende restaurar mais tarde.
      • Remova a associação à função administrativa ao selecionar Utilizador (sem acesso ao centro de administração).

      Quando tiver terminado na lista de opções Gerir funções de administrador , selecione Guardar alterações.

2. No portal Microsoft Defender em https://security.microsoft.com, siga os seguintes passos:

   1. Aceda a Permissões> Email &funções> de colaboração. Em alternativa, para aceder diretamente à página Permissões, utilize https://security.microsoft.com/emailandcollabpermissions.
   2. Na página Permissões , selecione um grupo de funções na lista.
   3. Procure a conta de utilizador na secção Membros da lista de opções de detalhes que é aberta. Se o grupo de funções contiver a conta de utilizador, siga os seguintes passos:
      1. Na secção Membros , selecione Editar.
      2. No separador Escolher membros da lista de opções que é aberta, selecione Editar.
      3. Na lista de opções Escolher membros que é aberta, selecione Remover.
      4. Na secção Membros apresentada, selecione a conta de utilizador ao selecionar a caixa de verificação junto ao nome, selecione Remover e, em seguida, selecione Concluído.
      5. Na lista de opções Editar Escolher membros , selecione Guardar.
      6. Na lista de opções de detalhes do grupo de funções, selecione Fechar.
   4. Repita os passos anteriores para cada grupo de funções na lista.

3. No Centro de administração do Exchange em https://admin.exchange.microsoft.com/, siga os seguintes passos:

   1. Aceda a Funções>Administração funções. Em alternativa, para aceder diretamente à página Administração funções, utilize https://admin.exchange.microsoft.com/#/adminRoles.

   2. Na página Administração funções, selecione um grupo de funções na lista ao clicar em qualquer parte da linha que não seja a caixa de verificação redonda apresentada junto ao nome.

   3. Na lista de opções de detalhes que é aberta, selecione o separador Atribuído e, em seguida, procure a conta de utilizador. Se o grupo de funções contiver a conta de utilizador, siga os seguintes passos:

      1. Selecione a conta de utilizador.
      2. Selecione a ação Eliminar apresentada, selecione Sim, remover na caixa de diálogo de aviso e, em seguida, selecione Fechar na parte superior da lista de opções.

   4. Repita os passos anteriores para cada grupo de funções na lista.

Passo 7 Opcional: Passos de precaução adicionais

1. Verifique o conteúdo da pasta Itens enviados da conta no Outlook ou Outlook na Web.

   Poderá ter de informar as pessoas na sua lista de contactos de que a sua conta foi comprometida. Por exemplo, o atacante pode ter enviado mensagens a pedir dinheiro aos seus contactos ou o atacante pode ter enviado um vírus para sequestrar os respetivos computadores.

2. As contas de quaisquer outros serviços que utilizem esta conta como uma conta de e-mail alternativa também podem ter sido comprometidas. Depois de efetuar os passos neste artigo para a conta nesta organização do Microsoft 365, siga estes passos para as suas outras contas.

3. Verifique as informações de contacto (por exemplo, números de telefone e endereços) da conta.

Consulte também

• Detetar e Remediar Regras do Outlook e Ataques de Injeções de Forms Personalizadas no Microsoft 365
• Detetar e Remediar Concessões de Consentimento Ilícitas
• Centro de Queixas de Crimes da Internet
• Comissão de Valores Mobiliários - Fraude de "Phishing"
• Para comunicar e-mails de spam diretamente à Microsoft e ao seu administrador , utilize o suplemento Mensagem de Relatório