Реагирование на компрометацию учетной записи электронной почтыResponding to a Compromised Email Account

Важно!

Улучшенный Центр безопасности Microsoft 365 теперь доступен в общедоступной предварительной версии.The improved Microsoft 365 security center is now available. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Узнайте о новых возможностях.Learn what's new.

Область примененияApplies to

Сводка Как распознать компрометацию учетной записи электронной почты в Microsoft 365 и какие принять меры.Summary Learn how to recognize and respond to a compromised email account in Microsoft 365.

Что такое компрометация учетной записи электронной почты в Microsoft 365?What is a Compromised Email Account in Microsoft 365?

Доступ к почтовым ящикам, данным и другим службам Microsoft 365 контролируется с помощью учетных данных, например имени пользователя и пароля или ПИН-кода.Access to Microsoft 365 mailboxes, data and other services, is controlled through the use of credentials, for example a user name and password or PIN. Если кто-то посторонний украдет эти учетные данные, они будут считаться скомпрометированными.When someone other than the intended user steals those credentials, the stolen credentials are considered to be compromised. Имея их, злоумышленник может войти в почтовый ящик или службу как настоящий пользователь и совершить незаконные действия.With them the attacker can sign in as the original user and perform illicit actions. Используя украденные учетные данные, злоумышленник может получить доступ к почтовому ящику Microsoft 365, папкам SharePoint или файлам OneDrive.Using the stolen credentials, the attacker can access the user's Microsoft 365 mailbox, SharePoint folders, or files in the user's OneDrive. Часто деятельность злоумышленника проявляется в виде отправки электронных писем от имени настоящего пользователя получателям в организации и за ее пределами.One action commonly seen is the attacker sending emails as the original user to recipients both inside and outside of the organization. Когда злоумышленник отправляет данные по электронной почте внешним получателям, имеет место утечка данных.When the attacker emails data to external recipients, this is called data exfiltration.

Признаки компрометации учетной записи электронной почты МайкрософтSymptoms of a Compromised Microsoft Email Account

Пользователи могут заметить подозрительные действия в своих почтовых ящиках Microsoft 365 и сообщить об этих действиях.Users might notice and report unusual activity in their Microsoft 365 mailboxes. Некоторые типичные признаки приведены ниже.Here are some common symptoms:

  • Подозрительные действия, например отсутствие или удаление сообщений электронной почты.Suspicious activity, such as missing or deleted emails.

  • Другие пользователи могут получать из скомпрометированной учетной записи электронные письма, которых нет в папке Отправленные у отправителя.Other users might receive emails from the compromised account without the corresponding email existing in the Sent Items folder of the sender.

  • Наличие в почтовом ящике правил, которые не были созданы пользователем или администратором.The presence of inbox rules that weren't created by the intended user or the administrator. Эти правила могут автоматически пересылать письма на неизвестные адреса или перемещать их в папки Заметки, Нежелательная почта или RSS-подписки.These rules may automatically forward emails to unknown addresses or move them to the Notes, Junk Email, or RSS Subscriptions folders.

  • Изменение краткого имени пользователя в глобальном списке адресов.The user's display name might be changed in the Global Address List.

  • Почтовый ящик пользователя не может отправлять почту.The user's mailbox is blocked from sending email.

  • Папки "Отправленные и "Удаленные" в Microsoft Outlook или Outlook в Интернете (прежнее название – Outlook Web App) содержат типичные для взломанного почтового ящика сообщения, например "Я в Лондоне, отправь деньги".The Sent or Deleted Items folders in Microsoft Outlook or Outlook on the web (formerly known as Outlook Web App) contain common hacked-account messages, such as "I'm stuck in London, send money."

  • Необычные изменения профиля, например изменение имени, номера телефона или почтового индекса.Unusual profile changes, such as the name, the telephone number, or the postal code were updated.

  • Необычные изменения учетных данных, например многократное изменение пароля.Unusual credential changes, such as multiple password changes are required.

  • Недавнее добавление переадресации почты.Mail forwarding was recently added.

  • Недавнее появление необычной подписи, например на банковском документе или рецепте на лекарство.An unusual signature was recently added, such as a fake banking signature or a prescription drug signature.

Если пользователь сообщает о любом из указанных признаков, необходимо провести дальнейшее расследование.If a user reports any of the above symptoms, you should perform further investigation. Центр безопасности и соответствия требованиям Microsoft 365 и портал Azure предлагает инструменты для расследования активности учетной записи пользователя, которая, как вы подозреваете, может быть скомпрометирована.The Microsoft 365 Security & Compliance Center and the Azure Portal offer tools to help you investigate the activity of a user account that you suspect may be compromised.

  • Единые журналы аудита в Центре безопасности и соответствия требованиям. Просмотрите все действия в подозреваемой учетной записи, отфильтруйте результаты по диапазону дат: с момента сразу перед подозрительным действием до текущей даты.Unified Audit Logs in the Security & Compliance Center: Review all the activities for the suspected account by filtering the results for the date range spanning from immediately before the suspicious activity occurred to the current date. Не фильтруйте действия во время поиска.Do not filter on the activities during the search.

  • Журналы аудита действий администратора в Центре администрирования Exchange. В Exchange Online можно использовать Центр администрирования Exchange (EAC) для поиска и просмотра записей в журнале аудита действий администратора.Admin Audit logs in the EAC: In Exchange Online, you can use the Exchange admin center (EAC) to search for and view entries in the administrator audit log. В журнал аудита действий администратора записываются определенные действия на основе командлетов PowerShell Exchange Online, выполняемых администраторами и пользователями с правами администратора.The administrator audit log records specific actions, based on Exchange Online PowerShell cmdlets, performed by administrators and users who have been assigned administrative privileges. В записях журнала уточняется, какой командлет выполнен, какие параметры использованы, кто выполнял командлет, а также какие объекты задействованы.Entries in the administrator audit log provide you with information about what cmdlet was run, which parameters were used, who ran the cmdlet, and what objects were affected.

  • Журналы входа в Azure AD и другие отчеты о рисках, доступные в портале Azure AD. Проверьте значения в следующих столбцах:Azure AD Sign-in logs and other risk reports in the Azure AD portal: Examine the values in these columns:

    • IP-адрес;Review IP address
    • место входа;sign-in locations
    • время входа;sign-in times
    • успешный или неудачный вход.sign-in success or failure

Защита и восстановление функции электронной почты в подозрительной с точки зрения компрометации учетной записи Microsoft 365 и почтовом ящикеHow to secure and restore email function to a suspected compromised Microsoft 365 account and mailbox

Даже если вы вновь получили доступ к своей учетной записи, возможно, злоумышленник встроил в нее лазейки, которые позволят ему вновь перехватить управление учетной записью.Even after you've regained access to your account, the attacker may have added back-door entries that enable the attacker to resume control of the account.

Обязательно выполните все указанные ниже действия, чтобы восстановить доступ к своей учетной записи, и чем раньше, тем лучше, чтобы взломщик не успел вернуть себе управление учетной записью.You must do all the following steps to regain access to your account the sooner the better to make sure that the hijacker doesn't resume control your account. Эти действия помогут вам удалить все лазейки, которые взломщик мог встроить в вашу учетную запись.These steps help you remove any back-door entries that the hijacker may have added to your account. После выполнения этих действий рекомендуется запустить проверку на вирусы, чтобы убедиться в том, что компьютер не скомпрометирован.After you do these steps, we recommend that you run a virus scan to make sure that your computer isn't compromised.

Шаг 1. Смените пароль пользователяStep 1 Reset the user's password

Выполните процедуры из раздела Сброс бизнес-пароля для другого пользователя.Follow the procedures in Reset a business password for someone.

Важно!

  • Не отправляйте пользователю новый пароль по электронной почте, так как у злоумышленника пока есть доступ к почтовому ящику.Do not send the new password to the intended user through email as the attacker still has access to the mailbox at this point.

  • Пароль должен быть надежным и содержать буквы верхнего и нижнего регистра, хотя бы одну цифру и хотя бы один специальный символ.Make sure that the password is strong and that it contains upper and lowercase letters, at least one number, and at least one special character.

  • Не используйте пять последних паролей, использованных раньше.Don't reuse any of your last five passwords. Хотя требования к журналу паролей разрешают использовать старые пароли, следует выбрать такой пароль, который злоумышленник не мог бы угадать.Even though the password history requirement lets you reuse a more recent password, you should select something that the attacker can't guess.

  • Если ваше локальное удостоверение связано федеративным доступом с Microsoft 365, необходимо сменить локальный пароль, а затем оповестить администратора о компрометации.If your on-premises identity is federated with Microsoft 365, you must change your password on-premises, and then you must notify your administrator of the compromise.

  • Не забудьте обновить пароли приложений.Be sure to update app passwords. Пароли приложения не отзываются автоматически при сбросе пароля учетной записи пользователя.App passwords aren't automatically revoked when a user account password reset. Пользователь должен удалить существующие пароли приложений и создать новые.The user should delete existing app passwords and create new ones. Инструкции см. в разделе Создание и удаление паролей приложений на странице дополнительной проверки безопасности.For instructions, see Create and delete app passwords from the Additional security verification page.

  • Настоятельно рекомендуется включить многофакторную проверку подлинности (MFA), чтобы предотвратить компрометацию, особенно для учетных записей с правами администратора.We highly recommended that you enable Multi-Factor Authentication (MFA) in order to prevent compromise, especially for accounts with administrative privileges. Дополнительные сведения о MFA см. в статье Настройка многофакторной проверки подлинности.To learn more about MFA, go to Set up multi-factor authentication.

Шаг 2. Удалите подозрительные адреса перенаправления почтыStep 2 Remove suspicious email forwarding addresses

  1. Откройте Центр администрирования Microsoft 365 на странице https://admin.microsoft.comOpen the Microsoft 365 admin center at https://admin.microsoft.com

  2. Перейдите в раздел Пользователи > Активные пользователи.Go to Users > Active users. Найдите подозрительную учетную запись пользователя и выберите пользователя (строку), не устанавливая флажок.Find the user account in question, and select the user (row) without selecting the checkbox.

  3. В открывшейся панели сведений выберите вкладку Почта.In the details flyout that appears, select the Mail tab.

  4. Если в разделе Переадресация почты установлено значение Применяется, щелкните Управление переадресацией электронной почты.If the value in the Email forwarding section is Applied, click Manage email forwarding. В открывшейся панели Управление переадресацией электронной почты снимите флажок Пересылать всю почту, поступающую в этот почтовый ящик и нажмите Сохранить изменения.In the Manage email forwarding flyout that appears, clear Forward all email sent to this mailbox, and then click Save changes.

Шаг 3. Отключите все подозрительные правила для папки "Входящие"Step 3 Disable any suspicious inbox rules

  1. Войдите в почтовый ящик пользователя с помощью Outlook в Интернете.Sign in to the user's mailbox using Outlook on the web.

  2. Щелкните значок шестеренки и выберите пункт Почта.Click on the gear icon and click Mail.

  3. Нажмите Правила для папки "Входящие" и правила очистки и проверьте правила.Click Inbox and sweep rules and review the rules.

  4. Отключите или удалите подозрительные правила.Disable or delete suspicious rules.

Шаг 4. Разблокируйте отправку почты для пользователяStep 4 Unblock the user from sending mail

Если подозрительный на компрометацию почтовый ящик незаконно использовался для отправки нежелательной почты, скорее всего, отправка почты из него запрещена.If the suspected compromised mailbox was used illicitly to send spam email, it is likely that the mailbox has been blocked from sending mail.

Чтобы разблокировать отправку почты из почтового ящика, выполните действия в статье Удаление пользователя с портала "Пользователи с ограниченным доступом" после отправки нежелательной почты.To unblock a mailbox from sending mail, follow the procedures in Removing a user from the Restricted Users portal after sending spam email.

Шаг 5 (необязательно). Запретите вход в учетную запись пользователяStep 5 Optional: Block the user account from signing-in

Важно!

Можно запретить вход в подозрительную на компрометацию учетную запись, пока вы не убедитесь, что она безопасна.You can block the suspected compromised account from signing-in until you believe it is safe to re-enable access.

  1. Откройте Центр администрирования Microsoft 365 и перейдите к разделу Пользователи > Активные пользователи.Open the Microsoft 365 admin center and go to Users > Active users.

  2. Найдите и выберите учетную запись пользователя, щелкните значок Другие действия и выберите Изменение состояния входа.Find and select the user account, click More icon, and then select Edit sign-in status.

  3. В появившейся панели Заблокировать вход щелкните Запретить этому пользователю вход и нажмите Сохранить изменения.On the Block sign-in pane that appears, select Block this user from signing in, and then click Save changes.

  4. Откройте Центр администрирования Exchange (EAC) на странице <admin.protection.outlook.com/ecp/> и перейдите к разделу Получатели > Почтовые ящики.Open the Exchange admin center (EAC) at <admin.protection.outlook.com/ecp/>, and go to Recipients > Mailboxes.

  5. Найдите и выберите пользователя.Find and select the select the user. В области сведений выполните следующие действия:In the details pane, do the following steps:

    • В разделе Функции телефона и голосовой почты раздела выполните указанные ниже шаги.In the Phone and voice features section, do the following steps:

      • Щелкните Отключить Exchange ActiveSync и нажмите Да в появившемся предупреждении.Select Disable Exchange ActiveSync and then click Yes in the warning that appears.
      • Щелкните Отключить Outlook Web App для устройств и нажмите Да в появившемся предупреждении.Select Disable OWA for Devices and then click Yes in the warning that appears.
    • В разделе Возможность подключения электронной почты для Outlook в Интернете щелкните Отключить и нажмите Да в появившемся предупреждении.In the Email Connectivity section for Outlook on the web, click Disable and then click Yes in the warning that appears.

Необязательный шаг 6. Удалите подозрительную на компрометацию учетную запись из всех групп административных ролейStep 6 Optional: Remove the suspected compromised account from all administrative role groups

Примечание

Членство в группе административных ролей можно восстановить, когда учетная запись будет защищена.Administrative role group membership can be restored after the account has been secured.

  1. Войдите с учетной записью глобального администратора.Sign in with a global administrator account:

  2. В Центре администрирования Microsoft 365 выполните следующие действия:In the Microsoft 365 admin center, do the following steps:

    1. Перейдите в раздел Пользователи > Активные пользователи.Go to Users > Active users.
    2. Найдите и выберите учетную запись пользователя, щелкните значок Другие действия и выберите Управление ролями.Find and select the user account, click More icon, and then select Manage roles.
    3. Удалите все роли администратора, назначенные учетной записи.Remove any administrative roles that are assigned to the account. После завершения нажмите кнопку Сохранить изменения.When you're finished, click Save changes.
  3. В Центре безопасности и соответствия требованиям на странице https://protection.office.com выполните следующие действия:In the Security & Compliance Center at https://protection.office.com, do the following steps:

    Щелкните Разрешения, выберите каждую группу ролей в списке и найдите учетную запись пользователя в разделе Участники появившейся области сведений.Select Permissions, select each role group in the list and look for the user account in the Members section of the details flyout that appears. Если группа ролей содержит учетную запись пользователя, выполните следующие действия:If the role group contains the user account, do the following steps:

    а.a. Щелкните Изменить рядом с пунктом Участники.Click Edit next to Members. b.b. В появившейся области Изменение свойства "Выбор участников" нажмите Изменить.On the Editing Choose members flyout that appears, click Edit. c.c. В появившейся области Выбор участников выберите учетную запись пользователя и нажмите Удалить.In the Choose members flyout that appears, select the user account, and then click Remove. После завершения нажмите Готово, Сохранить и Закрыть.When you're finished, click Done, Save, and then Close.

  4. В Центре администрирования Exchange на странице <admin.protection.outlook.com/ecp/> выполните следующие действия:In the EAC at <admin.protection.outlook.com/ecp/>, do the following steps:

    Щелкните Разрешения и вручную выберите каждую группу ролей. В области сведений проверьте учетные записи пользователей в разделе Участники.Select Permissions, manually select each role group, and in the details pane, verify the user accounts in the Members section. Если группа ролей содержит учетную запись пользователя, выполните следующие действия:If the role group contains the user account, do the following steps:

    а.a. Выберите группу ролей и щелкните Изменить значок "Изменить".Select the role group, click Edit Edit icon. b.b. В разделе Участник выберите учетную запись и щелкните Удалить значок "Удалить".In the Member section, select the user account, and then click Remove Remove icon. По завершении нажмите кнопку Сохранить.When you're finished, click Save.

Шаг 7 (необязательно). Дополнительные меры предосторожностиStep 7 Optional: Additional precautionary steps

  1. Еще раз проверьте папку "Отправленные".Make sure that you verify your sent items. Возможно, следует сообщить пользователям из вашего списка контактов о том, что ваша учетная запись скомпрометирована.You may have to inform people on your contacts list that your account was compromised. Злоумышленник может просить у них денег от вашего имени или отправлять им вирусы для взлома их компьютеров.The attacker may have asked them for money, spoofing, for example, that you were stranded in a different country and needed money, or the attacker may send them a virus to also hijack their computers.

  2. Любые другие службы, использующие эту учетную запись Exchange как альтернативную для электронной почты, также могут быть скомпрометированы.Any other service that used this Exchange account as its alternative email account may have been compromised. Сначала выполните эти действия для вашей подписки Microsoft 365, а затем для других ваших учетных записей.First, do these steps for your Microsoft 365 subscription, and then do these steps for your other accounts.

  3. Убедитесь, что ваши контактные данные, таких как телефонные номера и адреса, указаны правильно.Make sure that your contact information, such as telephone numbers and addresses, is correct.

Защитите Microsoft 365 на профессиональном уровнеSecure Microsoft 365 like a cybersecurity pro

Для вашей подписки Microsoft 365 предусмотрен целый ряд полезных функций безопасности, которые можно использовать для защиты ваших данных и пользователей.Your Microsoft 365 subscription comes with a powerful set of security capabilities that you can use to protect your data and your users. Используйте статью к Стратегия развития безопасности Microsoft 365: приоритеты на первые 30 дней, 90 дней и далее, чтобы применить лучшие методики, рекомендованные корпорацией Майкрософт, для защиты вашего клиента Microsoft 365.Use the Microsoft 365 security roadmap - Top priorities for the first 30 days, 90 days, and beyond to implement Microsoft recommended best practices for securing your Microsoft 365 tenant.

  • Задачи для выполнения в первые 30 дней.Tasks to accomplish in the first 30 days. Они дают немедленный эффект и не создают помех вашим пользователям.These have immediate affect and are low-impact to your users.

  • Задачи для выполнения в течение 90 дней.Tasks to accomplish in 90 days. Эти задачи требуют немного больше времени на планирование и реализацию, но значительно укрепляют вашу безопасность.These take a bit more time to plan and implement but greatly improve your security posture.

  • Более 90 дней.Beyond 90 days. Эти меры дополняют ваши действия в течение первых 90 дней.These enhancements build in your first 90 days work.

См. такжеSee also