ALLERTA PERICOLI INFORMATICI

Office 365 : rubati gli accessi di migliaia di account – ecco come comprendere se il vostro account e’ stato compromesso

25/01/2021
OFFICE 365 : RUBATI GLI ACCESSI DI MIGLIAIA DI ACCOUNT – ECCO COME COMPRENDERE SE IL VOSTRO ACCOUNT E’ STATO COMPROMESSO
Scritto da gestore

Una campagna spam avrebbe sfruttato Office 365 per rubare le credenziali di accesso di migliaia di account per diversi mesi nel corso del 2020.Ā  Nello specifico, tramite e-mail fraudolente gli ignari utenti erano stati invitati ad aprire un documento protetto che richiedeva di accedere al proprio account tramite una falsa schermata di log-in che simulava quella di office. Per questo vi consigliamo di cambiare password del vostro account, in particolare per gli account aziendali.

Sintomi di un account di posta elettronica Microsoft compromesso

Gli utenti potrebbero notare e segnalare attivitĆ  insolite nelle proprie cassette postali di Microsoft 365.Ā Ecco i sintomi piĆ¹ comuni:

Intermezzo promozionale ... continua la lettura dopo il box:

CONTROLLA LA TUA REPUTAZIONE ONLINE:
controllo e monitoraggio della reputazione per privati ed aziende
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
  • AttivitĆ  sospette, ad esempio messaggi di posta elettronica mancanti o eliminati.
  • Altri utenti potrebbero ricevere messaggi di posta elettronica dall’account compromesso senza che sia presente il messaggio di posta elettronica corrispondente nella cartellaĀ Posta inviataĀ del mittente.
  • La presenza di regole posta in arrivo che non sono state create dal proprietario o dall’amministratore.Ā Queste regole possono inoltrare messaggi di posta elettronica a indirizzi sconosciuti o spostarli automaticamente nelle cartelle diĀ Note,Ā Posta indesiderata, oĀ Sottoscrizioni RSS.
  • Il nome visualizzato dell’utente puĆ² essere modificato nell’elenco indirizzi globale.
  • Non ĆØ possibile inviare messaggi di posta elettronica dalla cassetta postale dell’utente.
  • Le cartelle Posta inviata o Posta eliminata in Microsoft Outlook o Outlook sul web (precedentemente noto come Outlook Web App) contengono messaggi presenti comunemente in un account oggetto di un attacco, ad esempio “Mi sono bloccato a Milano, invia denaro.”
  • Modifiche al profilo insolite, ad esempio un aggiornamento del nome, numero di telefono o codice postale.
  • Modifiche insolite alle credenziali, ad esempio, sono richiesti varie modifiche alla password.
  • ƈ stato aggiunto di recente un inoltro della posta di Outlook.
  • ƈ stata aggiunta una firma insolita, ad esempio una firma bancaria falsa o la fima per una ricetta medica.

Se un utente segnala qualsiasi dei sintomi precedenti, ĆØ necessario eseguire ulteriori analisi.Ā Il Centro sicurezza e conformitĆ  di Microsoft 365 e il portale di Azure offfrono strumenti che consentono di analizzare le attivitĆ  di un account utente che si sospetta potrebbe essere compromesso.

  • Log di controllo unificati nel Centro sicurezza e conformitĆ : esaminare tutte le attivitĆ  nell’account sospetto filtrando i risultati per l’intervallo di date che si estendono da immediatamente prima delle attivitĆ  sospette alla data attuale.Ā Non filtrare le attivitĆ  durante la ricerca.
  • Log di controllo dell’amministratore nell’interfaccia di amministrazione di Exchange: in Exchange Online ĆØ possibile usare l’interfaccia di amministrazione di Exchange per cercare e visualizzare voci nel log di controllo dell’amministratore.Ā Il log di controllo dell’amministratore registra operazioni specifiche, basate su cmdlet di PowerShell per Exchange Online, eseguite dagli amministratori e dagli utenti che dispongono di privilegi amministrativi.Ā Le voci nel registro di controllo dell’amministratore forniscono informazioni sul cmdlet eseguito, sui parametri utilizzati, sull’utente che ha eseguito il cmdlet e sugli oggetti coinvolti.
  • Log di accesso di Azure AD e altri report sui rischi disponibili nel portale di Azure AD: esaminare i valori nelle colonne seguenti:
    • Esaminare l’indirizzo IP
    • Posizioni di accesso
    • Orari di accesso
    • Esito dellā€™accesso

Come proteggere e ripristinare la funzione di posta elettronica in un potenziale account e cassetta postale di Microsoft 365 compromessi.

Anche lā€™accesso allā€™account ĆØ stato riacquisito rapidamente, un utente malintenzionato potrebbe aver aggiunto voci ā€œback-doorā€ che gli permettono di riprendere il controllo dell’account.

ƈ necessario eseguire la procedura seguente per accedere all’account il prima possibile per assicurarsi che lā€™autore dellā€™attacco non riprenda il controllo dellā€™account.Ā Questa procedura consente di rimuovere le voci ā€œback-doorā€ che lā€™autore dellā€™attacco potrebbe aver aggiunto allā€™account.Ā Dopo avere eseguito questi passaggi, ĆØ consigliabile eseguire una scansione con un programma antivirus per verificare che il computer non sia compromesso.

Passaggio 1: Reimpostare la password dellā€™utente.

Seguire le procedure inĀ reimpostare la password per un utenteĀ .

Ā Importante

  • Non inviare la nuova password per l’utente desiderato tramite posta elettronica, poichĆ© lā€™utente malintenzionato potrebbe ancora avere accesso alla cassetta postale.
  • Assicurarsi che la password sia complessa e che contenga lettere maiuscole e minuscole, almeno un numero e almeno un carattere speciale.
  • Non riutilizzare le cinque password piĆ¹ recenti.Ā Anche se il requisito di cronologia delle password consente di riutilizzare una password piĆ¹ recente, ĆØ necessario sceglierla in modo che un utente malintenzionato non possa indovinarla.
  • Se l’identitĆ  dell’utente locale ĆØ federata con Microsoft 365, ĆØ necessario cambiare la password locale e quindi informare l’amministratore della violazione.
  • Assicurati di aggiornare le password dell’app.Ā Le password dell’app non vengono automaticamente revocate quando si reimposta la password di un account utente.Ā L’utente deve eliminare le password dell’app esistenti e crearne nuove.Ā Per istruzioni, vedereĀ creare ed eliminare password per le app dalla pagina Verifica di sicurezza aggiuntiva.
  • ƈ altamente consigliabile abilitare l’autenticazione a piĆ¹ fattori (MFA) per evitare violazioni, soprattutto per gli account con privilegi amministrativi.Ā Per maggiori dettagli sullā€™autenticazione a piĆ¹ fattori, visitareĀ Configurare lā€™autenticazione a piĆ¹ fattori.

Passaggio 2: Rimuovere indirizzi di inoltro della posta elettronica

  1. Apri lā€™interfaccia di amministrazione di Microsoft 365 inĀ https://admin.microsoft.com
  2. Passa aĀ UtentiĀ >Ā Utenti attivi.Ā Trova l’account utente in questione e seleziona l’utente (riga) senza selezionare la casella di controllo.
  3. Nel riquadro a comparsa dei dettagli visualizzato, seleziona la schedaĀ Posta.
  4. Se il valore nella sezioneĀ Inoltro e-mailĀ ĆØĀ Applicato, fai clic suĀ Gestisci inoltro e-mail.Ā Nel riquadro a comparsaĀ Gestisci inoltro e-mailĀ visualizzato, deselezionaĀ Inoltra tutte le e-mail inviate a questa cassetta postale, e fai clic suĀ Salva modifiche.

Passaggio 3 disabilitare tutte le regole di posta in arrivo sospette

  1. Aprire la cassetta postale dellā€™utente con Outlook sul web.
  2. Fare clic sull’icona con lā€™ingranaggio e fare clic suĀ Posta.
  3. Fare clic suĀ Regole posta in arrivo e organizzazioneĀ ed esaminare le regole.
  4. Disattivare o eliminare le regole sospette.

Passaggio 4 Disattivare il blocco dellā€™invio di posta elettronica

Se la cassetta postale compromessa ĆØ stata usata illecitamente per inviare posta indesiderata, ĆØ probabile che la l’invio di posta elettronica sia stato bloccato.

Per sbloccare lā€™invio di posta elettronica da una cassetta postale, seguire le procedure descritte inĀ Rimozione di un utente dal portale Utenti con restrizioni dopo l’invio di posta elettronica indesiderata.

Intermezzo promozionale ... continua la lettura dopo il box:

DIFESA TOTALE DELLA REPUTAZIONE :
difesa della reputazione online
Difesa Totale della Reputazione ĆØ un servizio completo per la tutela della reputazione che si compone di 5 livelli di protezione [ click qui ]

Passaggio 5 facoltativo: Bloccare lā€™accesso allā€™account dellā€™utente

Ā Importante

ƈ possibile bloccare lā€™accesso allā€™account compromesso fino a quando non si ritiene che sia sicuro abilitare di nuovo l’accesso.

  1. Apri l’interfaccia di amministrazione di Microsoft 365 e vai aĀ utentiĀ >Ā utenti attivi.
  2. Trova e seleziona l’account utente, fai clic sull’icona AltroĀ e selezionaĀ Modifica stato di accesso.
  3. Nel riquadroĀ Blocca accessoĀ visualizzato, selezionaĀ Impedisci a questo utente di accedere, e fai clic suĀ Salva modifiche.
  4. Apri l’interfaccia di amministrazione di Exchange (EAC) su <admin.protection.outlook.com/ecp/> e vai aĀ Destinatari> Cassette postali.
  5. Individua e seleziona l’utente.Ā Nel riquadro dei dettagli eseguire le operazioni seguenti:
    • Nella sezioneĀ FunzionalitĆ  telefoniche e vocali, effettua le seguenti operazioni:
      • SelezionaĀ Disabilita Exchange ActiveSync, fai clic suĀ SƬĀ nell’avviso visualizzato.
      • SelezionaĀ OWA per dispositivi, fai clic suĀ SƬĀ nell’avviso visualizzato.
    • Nella sezioneĀ ConnettivitĆ  e-mailĀ per Outlook sul web, fai clic suĀ DisabilitaĀ e poi suĀ SƬĀ nell’avviso visualizzato.

Passaggio 6 Facoltativo: Rimuovere l’account potenzialmente compromesso da tutti i gruppi di ruoli amministrativi

Ā Nota

Dopo aver protetto l’account, ĆØ possibile ripristinare l’appartenenza ai gruppi di ruoli amministrativi.

  1. Accedere con il proprio account di amministratore globale:
  2. Nell’interfaccia di amministrazione di Microsoft 365 esegui le seguenti operazioni:
    1. Passa aĀ UtentiĀ >Ā Utenti attivi.
    2. Trova e seleziona l’account utente, fai clic sull’icona AltroĀ e selezionaĀ Gestisci ruoli.
    3. Rimuovi gli eventuali ruoli da amministratore assegnati all’account.Ā Al termine, fai clic suĀ salvare le modifiche.
  3. Nel centro sicurezza e conformitĆ  inĀ https://protection.office.comesegui le seguenti operazioni:SelezionaĀ autorizzazioni, seleziona ogni gruppo di ruoli nell’elenco e cerca l’account utente nella sezioneĀ membriĀ nel riquadro a comparsa dettagli visualizzato.Ā Se il gruppo di ruoli contiene l’account utente, esegui le operazioni seguenti:a.Ā Fai clic suĀ modificaĀ accanto aĀ membri.Ā b.Ā Nel riquadro a comparsaĀ modifica selezionare membriĀ visualizzato e fai clic suĀ modifica.Ā c.Ā Nel riquadro a comparsa visualizzatoĀ Scegli membri, seleziona l’account utente, e fai clic suĀ Rimuovi.Ā Al termine, faI clic suĀ Completato,Ā SalvaĀ eĀ Chiudi.
  4. Nellā€™interfaccia di amministrazione di Exchange in <admin.protection.outlook.com/ecp/>, esegui i passaggi seguenti:SelezionaĀ Autorizzazioni, seleziona manualmente ogni gruppo di ruoli e nel riquadro dei dettagli verifica gli account utente nella sezioneĀ Membri.Ā Se il gruppo di ruoli contiene l’account utente, esegui le operazioni seguenti:a.Ā Seleziona il gruppo di ruoli, fai clic suĀ ModificaĀ Modifica icona.Ā b.Ā Nella sezioneĀ membriĀ seleziona l’account utente e fai clic suĀ RimuoviĀ Rimuovi icona.Ā Al termine, fai clic suĀ Salva.

Passaggio 7 facoltativo: Precauzioni di prevenzione aggiuntive

  1. Assicurarsi di verificare i messaggi inviati.Ā Potrebbe essere necessario informare gli utenti nell’elenco dei contatti che l’account ĆØ stato compromesso.Ā Un utente malintenzionato potrebbe aver richiesto loro del denaro, fingendo (spoofing) che lā€™utente originale si trovasse bloccato in un paese/area geografica diversa e avesse necessitĆ  di denaro, oppure il malintenzionato potrebbe anche inviare dei virus per assumere il controllo dei loro computer.
  2. Qualsiasi altro servizio utilizzato con l’account di Exchange e il suo account di posta elettronica alternativo potrebbe essere compromesso.Ā Prima di tutto, eseguire questi passaggi per l’abbonamento a Microsoft 365 poi seguire la stessa procedura per gli altri account.
  3. Assicurarsi che le informazioni di contatto, ad esempio numeri di telefono e indirizzi, siano corrette.

 

Fonte dell’articolo : https://www.securityweek.com e per la guida il sito ufficiale di Microsoft

Informatica in Azienda diretta dal Dott. Emanuel Celano

Potrebbe piacerti anche

Panoramica privacy
Blog Sicurezza Informatica Facile

Questo sito web utilizza i cookie per consentirci di fornirti la migliore esperienza utente possibile. Le informazioni sui cookie vengono memorizzate nel tuo browser ed eseguono funzioni come riconoscerti quando ritorni sul nostro sito Web e aiutare il nostro team a capire quali sezioni del sito Web trovi piĆ¹ interessanti e utili.

Cookie strettamente necessari

I cookie strettamente necessari dovrebbero essere sempre attivati, per poter salvare le tue preferenze per le impostazioni dei cookie ed avere una navigazione sul sito ottimale.

Se disabiliti questo cookie, non saremo in grado di salvare le tue preferenze. CiĆ² significa che ogni volta che visiti questo sito web dovrai abilitare o disabilitare nuovamente i cookie.

Cookie di terze parti

Questo sito Web utilizza Google Tag Manager per aggiornare rapidamente e con facilitĆ  i codici di monitoraggio e Google Analytics per raccogliere informazioni anonime come il numero di visitatori del sito e le pagine piĆ¹ popolari.

Mantenere questo cookie abilitato ci aiuta a migliorare il nostro sito Web. Vi siamo molto grati di questo!