IT Partner

Золотой партнер Microsoft с 2006 года

Ваша учетная запись Office 365 была скомпрометирована или взломана хакерами. Что дальше?

 , ,

Один из самых распространенных запросов с службу поддержки безопасности со стороны наших клиентов – помощь в случае взлома учетной записи. Самая распространенная ситуация – это когда один из сотрудников компании стал жертвой фишинг-атаки, а злоумышленник получил пароль к его учетной записи.

Итак, это уже случилось… Так или иначе, произошла утечка ваших учетных данных за пределы компании и так называемый хакер Bad Actor1 получил доступ к вашей учетной записи. Возможно, вы нажали на ссылку в фишинговом электронном письме и ввели свой логин и пароль на фишинговом сайте, который выглядит как официальный оригинальный источник. Либо кто-то украл ваш ноутбук, который не был защищен паролем и шифрованием Bitlocker. Либо случилось еще что-то…

Теперь будьте готовы к худшему: Bad Actor мог загрузить копию вашего почтового ящика со всеми вашими электронными письмами, контактами, вложениями, элементами календаря, задачами и т. д. Кроме того, у него есть все ваши документы OneDrive for Business и документы, которыми другие пользователи делитесь с вами. Под угрозой также документы и информация в инфраструктуре вашей компании, к которой хакеры могут получить доступ с разрешения вашей учетной записи. Эту раздобытую информацию они могут хранить у себя неограниченное время, и использовать ее против вас в самый неподходящий момент.

Bad Actor рассматривает целесообразность взлома вашей учетной записи в зависимости от того, что ему видно в вашем почтовом ящике, внутри ваших документов и в системах вашей организации. Лучший для вас вариант – это когда хакеры не видят никаких потенциальных возможности украсть деньги или информацию и использовать ваш аккаунт для латерального движения2 ВНУТРИ и ВНЕ вашей организации. Они начинают отправлять сотни фишинговых писем с указанием вашего имени как контактного лица. Ваша учетная запись блокируется механизмами защиты Office 365 и на этом все. Гораздо хуже, когда Bad Actor видит потенциальную возможность что-то украсть, может притаится и ждать удобного случая, месяцами наблюдая за вашей работой и работой компании в целом. В течение этого времени хакеры не вносят каких-либо очевидных и заметных изменений и не делают явных действий, а лишь собирают информацию и пытаются выполнять латеральное продвижение ВНУТРИ вашей компании, чтобы получить доступ к учетным записям других пользователей, к системам и службам, которые помогут им в достижении их коварных целей.

Итак, что делать дальше?

  1. Block the user from signing in.
  2. Contact your CSP and let them know about what happened. We at IT Partner provide a free 24/7 Security Incident Response service for all our clients who purchase Office 365 subscriptions through us. If you are not our client – please call anyway, we would be happy to help.
  3. Try to understand the intentions of the Bad Actor(s).
    1. Study your Office 365 sign-in logs and security reports. What services they accessed? For how long? Using what devices? From what locations? Start with AAD sign-ins log.
    2. Did they send any emails? To whom? How many? Go to the Exchange Online Admin Panel, click “Message flow”, then select “Message Trace” tab. While in EXO Admin Center, also check Transport Rules and Connectors tabs.
    3. Did they create any personal email rules?
    4. Did they set up an email forwarding outside your organization?
    5. Did they manage to install anything on your devices?
    6. If you have CAS subscription you would be able to see each and every action of the user, every single accessed file for up to 6 months after the incident.
  4. Delete the Inbox email rules not created by the user. Criminals often create rules to delete all or portion of the incoming email to slow down the incident response actions.
  5. Inform your colleagues inside or outside of your organization about what happened if Bad Actor(s) sent a phishing email to them.
  6. Remove a user from the Restricted Users portal, if needed.
  7. Install all the updates for Windows OS and Office Suite.
  8. Make sure you have Windows OS Firewall feature enabled and properly configured.
  9. Check the recovery email address and phone number associated with the user account
  10. Enable and Enforce MFA (Multi-Factor Authentication) for this user. MFA is a single most-efficient protection from all the attacks based on phishing techniques. It must be enabled at all times for all the users in your organization. We recommend setting up a Baseline Security Policy OR enabling the Security Defaults for your AAD tenant.
  11. Отключите протокол IMAP для всех ваших почтовых ящиков. IMAP часто используется для атак на пароли Password Spray3, которые практически невозможно обнаружить.
  12. Сбросьте пароль пользователя и разблокируйте учетную запись.
  13. Обучите своих пользователей
  14. ДОПОЛНИТЕЛЬНО ПО ЖЕЛАНИЮ: рассмотрите возможность подписки на Cloud App Security для всех или некоторых ваших пользователей.
  15. ДОПОЛНИТЕЛЬНО ПО ЖЕЛАНИЮ: рассмотрите возможность подписки всех или некоторых своих пользователей на Расширенный план защиты от угроз 1 в Office 365.
  16. ДОПОЛНИТЕЛЬНО ПО ЖЕЛАНИЮ: подумайте о ваших старых электронных письмах и документах, которые сейчас находятся в распоряжении Bad Actor. Что они могут там найти? Можете ли вы предпринять какие-либо активные шаги, чтобы помешать им использовать эту информацию?

Опять же, мы настоятельно рекомендуем установить аутентификацию MFA для всех пользователей и следовать всем другим приоритетным рекомендациям безопасности от Microsoft Secure Score – бесплатной службы Microsoft в рамках вашей подписки на Office 365.

Приведенные выше инструкции помогут вам немедленно предпринять соответствующие меры для восстановления после инцидента. К сожалению, вы не сможете удалить и отозвать сообщения, отправленные из вашей учетной записи под вашим именем, или запретить Bad Actor использовать украденную информацию. Но при правильном балансе обучения пользователей, установки внутренних правил защиты от фишинга, MFA и защиты от спама вы можете легко предотвратить подобные взломы аккаунтов в будущем.

Компания IT Partner всегда готова помочь вам в создании безопасной и надежной среды и защитить ваши конфиденциальные данные.

.

Примечания:

1 Bad Actor – нарушитель кибербезопасности, заинтересованный в атаке на системы информационных технологий.

2 Латеральное движение относится к методам, которыми пользуются кибер-хакеры для постепенного перемещения по сети, поиска целевых ключевых данных и ресурсов.

3 Password spraying – это метод атаки, который принимает большое количество имен пользователей (миллионы) и зацикливает их с помощью одного пароля. Хакеры Bad Actors могут использовать несколько итераций с несколькими разными паролями, но количество попыток ввода пароля обычно невелико по сравнению с количеством вводимых пользователей. Этот метод позволяет избежать блокировки паролей, и он часто более эффективен для обнаружения слабых паролей, чем преследование целью конкретных пользователей с несколькими паролями.