ALLERTA PERICOLI INFORMATICI Articoli in Evidenza

OFFICE 365 : RUBATI GLI ACCESSI DI MIGLIAIA DI ACCOUNT – ECCO COME COMPRENDERE SE IL VOSTRO ACCOUNT E’ STATO COMPROMESSO

OFFICE 365 : RUBATI GLI ACCESSI DI MIGLIAIA DI ACCOUNT – ECCO COME COMPRENDERE SE IL VOSTRO ACCOUNT E’ STATO COMPROMESSO
Scritto da gestore

Una campagna spam avrebbe sfruttato Office 365 per rubare le credenziali di accesso di migliaia di account per diversi mesi nel corso del 2020.  Nello specifico, tramite e-mail fraudolente gli ignari utenti erano stati invitati ad aprire un documento protetto che richiedeva di accedere al proprio account tramite una falsa schermata di log-in che simulava quella di office. Per questo vi consigliamo di cambiare password del vostro account, in particolare per gli account aziendali.

Sintomi di un account di posta elettronica Microsoft compromesso

Gli utenti potrebbero notare e segnalare attività insolite nelle proprie cassette postali di Microsoft 365. Ecco i sintomi più comuni:

Intermezzo promozionale ... continua la lettura dopo il box:

  • Attività sospette, ad esempio messaggi di posta elettronica mancanti o eliminati.
  • Altri utenti potrebbero ricevere messaggi di posta elettronica dall’account compromesso senza che sia presente il messaggio di posta elettronica corrispondente nella cartella Posta inviata del mittente.
  • La presenza di regole posta in arrivo che non sono state create dal proprietario o dall’amministratore. Queste regole possono inoltrare messaggi di posta elettronica a indirizzi sconosciuti o spostarli automaticamente nelle cartelle di NotePosta indesiderata, o Sottoscrizioni RSS.
  • Il nome visualizzato dell’utente può essere modificato nell’elenco indirizzi globale.
  • Non è possibile inviare messaggi di posta elettronica dalla cassetta postale dell’utente.
  • Le cartelle Posta inviata o Posta eliminata in Microsoft Outlook o Outlook sul web (precedentemente noto come Outlook Web App) contengono messaggi presenti comunemente in un account oggetto di un attacco, ad esempio “Mi sono bloccato a Milano, invia denaro.”
  • Modifiche al profilo insolite, ad esempio un aggiornamento del nome, numero di telefono o codice postale.
  • Modifiche insolite alle credenziali, ad esempio, sono richiesti varie modifiche alla password.
  • È stato aggiunto di recente un inoltro della posta di Outlook.
  • È stata aggiunta una firma insolita, ad esempio una firma bancaria falsa o la fima per una ricetta medica.

Se un utente segnala qualsiasi dei sintomi precedenti, è necessario eseguire ulteriori analisi. Il Centro sicurezza e conformità di Microsoft 365 e il portale di Azure offfrono strumenti che consentono di analizzare le attività di un account utente che si sospetta potrebbe essere compromesso.

  • Log di controllo unificati nel Centro sicurezza e conformità: esaminare tutte le attività nell’account sospetto filtrando i risultati per l’intervallo di date che si estendono da immediatamente prima delle attività sospette alla data attuale. Non filtrare le attività durante la ricerca.
  • Log di controllo dell’amministratore nell’interfaccia di amministrazione di Exchange: in Exchange Online è possibile usare l’interfaccia di amministrazione di Exchange per cercare e visualizzare voci nel log di controllo dell’amministratore. Il log di controllo dell’amministratore registra operazioni specifiche, basate su cmdlet di PowerShell per Exchange Online, eseguite dagli amministratori e dagli utenti che dispongono di privilegi amministrativi. Le voci nel registro di controllo dell’amministratore forniscono informazioni sul cmdlet eseguito, sui parametri utilizzati, sull’utente che ha eseguito il cmdlet e sugli oggetti coinvolti.
  • Log di accesso di Azure AD e altri report sui rischi disponibili nel portale di Azure AD: esaminare i valori nelle colonne seguenti:
    • Esaminare l’indirizzo IP
    • Posizioni di accesso
    • Orari di accesso
    • Esito dell’accesso

Come proteggere e ripristinare la funzione di posta elettronica in un potenziale account e cassetta postale di Microsoft 365 compromessi.

Anche l’accesso all’account è stato riacquisito rapidamente, un utente malintenzionato potrebbe aver aggiunto voci “back-door” che gli permettono di riprendere il controllo dell’account.

È necessario eseguire la procedura seguente per accedere all’account il prima possibile per assicurarsi che l’autore dell’attacco non riprenda il controllo dell’account. Questa procedura consente di rimuovere le voci “back-door” che l’autore dell’attacco potrebbe aver aggiunto all’account. Dopo avere eseguito questi passaggi, è consigliabile eseguire una scansione con un programma antivirus per verificare che il computer non sia compromesso.

Passaggio 1: Reimpostare la password dell’utente.

Seguire le procedure in reimpostare la password per un utente .

 Importante

  • Non inviare la nuova password per l’utente desiderato tramite posta elettronica, poiché l’utente malintenzionato potrebbe ancora avere accesso alla cassetta postale.
  • Assicurarsi che la password sia complessa e che contenga lettere maiuscole e minuscole, almeno un numero e almeno un carattere speciale.
  • Non riutilizzare le cinque password più recenti. Anche se il requisito di cronologia delle password consente di riutilizzare una password più recente, è necessario sceglierla in modo che un utente malintenzionato non possa indovinarla.
  • Se l’identità dell’utente locale è federata con Microsoft 365, è necessario cambiare la password locale e quindi informare l’amministratore della violazione.
  • Assicurati di aggiornare le password dell’app. Le password dell’app non vengono automaticamente revocate quando si reimposta la password di un account utente. L’utente deve eliminare le password dell’app esistenti e crearne nuove. Per istruzioni, vedere creare ed eliminare password per le app dalla pagina Verifica di sicurezza aggiuntiva.
  • È altamente consigliabile abilitare l’autenticazione a più fattori (MFA) per evitare violazioni, soprattutto per gli account con privilegi amministrativi. Per maggiori dettagli sull’autenticazione a più fattori, visitare Configurare l’autenticazione a più fattori.

Passaggio 2: Rimuovere indirizzi di inoltro della posta elettronica

  1. Apri l’interfaccia di amministrazione di Microsoft 365 in https://admin.microsoft.com
  2. Passa a Utenti > Utenti attivi. Trova l’account utente in questione e seleziona l’utente (riga) senza selezionare la casella di controllo.
  3. Nel riquadro a comparsa dei dettagli visualizzato, seleziona la scheda Posta.
  4. Se il valore nella sezione Inoltro e-mail è Applicato, fai clic su Gestisci inoltro e-mail. Nel riquadro a comparsa Gestisci inoltro e-mail visualizzato, deseleziona Inoltra tutte le e-mail inviate a questa cassetta postale, e fai clic su Salva modifiche.

Passaggio 3 disabilitare tutte le regole di posta in arrivo sospette

  1. Aprire la cassetta postale dell’utente con Outlook sul web.
  2. Fare clic sull’icona con l’ingranaggio e fare clic su Posta.
  3. Fare clic su Regole posta in arrivo e organizzazione ed esaminare le regole.
  4. Disattivare o eliminare le regole sospette.

Passaggio 4 Disattivare il blocco dell’invio di posta elettronica

Se la cassetta postale compromessa è stata usata illecitamente per inviare posta indesiderata, è probabile che la l’invio di posta elettronica sia stato bloccato.

Per sbloccare l’invio di posta elettronica da una cassetta postale, seguire le procedure descritte in Rimozione di un utente dal portale Utenti con restrizioni dopo l’invio di posta elettronica indesiderata.

Intermezzo promozionale ... continua la lettura dopo il box:

Passaggio 5 facoltativo: Bloccare l’accesso all’account dell’utente

 Importante

È possibile bloccare l’accesso all’account compromesso fino a quando non si ritiene che sia sicuro abilitare di nuovo l’accesso.

  1. Apri l’interfaccia di amministrazione di Microsoft 365 e vai a utenti > utenti attivi.
  2. Trova e seleziona l’account utente, fai clic sull’icona Altro e seleziona Modifica stato di accesso.
  3. Nel riquadro Blocca accesso visualizzato, seleziona Impedisci a questo utente di accedere, e fai clic su Salva modifiche.
  4. Apri l’interfaccia di amministrazione di Exchange (EAC) su <admin.protection.outlook.com/ecp/> e vai a Destinatari> Cassette postali.
  5. Individua e seleziona l’utente. Nel riquadro dei dettagli eseguire le operazioni seguenti:
    • Nella sezione Funzionalità telefoniche e vocali, effettua le seguenti operazioni:
      • Seleziona Disabilita Exchange ActiveSync, fai clic su  nell’avviso visualizzato.
      • Seleziona OWA per dispositivi, fai clic su  nell’avviso visualizzato.
    • Nella sezione Connettività e-mail per Outlook sul web, fai clic su Disabilita e poi su  nell’avviso visualizzato.

Passaggio 6 Facoltativo: Rimuovere l’account potenzialmente compromesso da tutti i gruppi di ruoli amministrativi

 Nota

Dopo aver protetto l’account, è possibile ripristinare l’appartenenza ai gruppi di ruoli amministrativi.

  1. Accedere con il proprio account di amministratore globale:
  2. Nell’interfaccia di amministrazione di Microsoft 365 esegui le seguenti operazioni:
    1. Passa a Utenti > Utenti attivi.
    2. Trova e seleziona l’account utente, fai clic sull’icona Altro e seleziona Gestisci ruoli.
    3. Rimuovi gli eventuali ruoli da amministratore assegnati all’account. Al termine, fai clic su salvare le modifiche.
  3. Nel centro sicurezza e conformità in https://protection.office.comesegui le seguenti operazioni:Seleziona autorizzazioni, seleziona ogni gruppo di ruoli nell’elenco e cerca l’account utente nella sezione membri nel riquadro a comparsa dettagli visualizzato. Se il gruppo di ruoli contiene l’account utente, esegui le operazioni seguenti:a. Fai clic su modifica accanto a membri. b. Nel riquadro a comparsa modifica selezionare membri visualizzato e fai clic su modifica. c. Nel riquadro a comparsa visualizzato Scegli membri, seleziona l’account utente, e fai clic su Rimuovi. Al termine, faI clic su CompletatoSalva e Chiudi.
  4. Nell’interfaccia di amministrazione di Exchange in <admin.protection.outlook.com/ecp/>, esegui i passaggi seguenti:Seleziona Autorizzazioni, seleziona manualmente ogni gruppo di ruoli e nel riquadro dei dettagli verifica gli account utente nella sezione Membri. Se il gruppo di ruoli contiene l’account utente, esegui le operazioni seguenti:a. Seleziona il gruppo di ruoli, fai clic su Modifica Modifica icona. b. Nella sezione membri seleziona l’account utente e fai clic su Rimuovi Rimuovi icona. Al termine, fai clic su Salva.

Passaggio 7 facoltativo: Precauzioni di prevenzione aggiuntive

  1. Assicurarsi di verificare i messaggi inviati. Potrebbe essere necessario informare gli utenti nell’elenco dei contatti che l’account è stato compromesso. Un utente malintenzionato potrebbe aver richiesto loro del denaro, fingendo (spoofing) che l’utente originale si trovasse bloccato in un paese/area geografica diversa e avesse necessità di denaro, oppure il malintenzionato potrebbe anche inviare dei virus per assumere il controllo dei loro computer.
  2. Qualsiasi altro servizio utilizzato con l’account di Exchange e il suo account di posta elettronica alternativo potrebbe essere compromesso. Prima di tutto, eseguire questi passaggi per l’abbonamento a Microsoft 365 poi seguire la stessa procedura per gli altri account.
  3. Assicurarsi che le informazioni di contatto, ad esempio numeri di telefono e indirizzi, siano corrette.

 

Fonte dell’articolo : https://www.securityweek.com e per la guida il sito ufficiale di Microsoft

Informatica in Azienda diretta dal Dott. Emanuel Celano