Tài khoản Email bị xâm nhập – cách nhận biết và xử lý
Bảo mật tài khoản Email đóng vai trò vô cùng quan trọng trong tổ chức. Nếu tài khoản Email bị hacker tấn công, nguy cơ rò rỉ thông tin trong doanh nghiệp là rất lớn. Do đó, nhân sự cần trang bị cách nhận biết cũng như cách xử lý kịp thời khi phát hiện Email bị xâm nhập.
By Nicole Herskowitz, Microsoft Teams General Manager
Email là công cụ trao đổi thông tin, tài liệu, hợp đồng… phổ biến trong doanh nghiệp. Do vậy, bảo mật tài khoản Email Microsoft đóng vai trò vô cùng quan trọng. Tham khảo ngay bài viết dưới đây để biết cách ứng phó kịp thời khi phát hiện tài khoản Email bị xâm nhập.
Mục lục
Tài khoản Email bị xâm nhập là như thế nào?
Người dùng thường sử dụng tên, mật khẩu và mã PIN để truy cập, sử dụng và kiểm soát Email, dữ liệu cùng nhiều dịch vụ khác trong Microsoft 365. Nếu thông tin đăng nhập bị đánh cắp, kẻ xấu có thể mạo danh người dùng ban đầu và truy cập vào Microsoft 365 để thực hiện các hành động bất hợp pháp.
Cụ thể hơn, hacker có thể sử dụng thông tin đăng nhập để truy cập vào Email Microsoft 365, SharePoint online và các tệp OneDrive của người dùng. Chúng cũng có thể gửi các Email giả mạo đến những người khác trong và ngoài tổ chức. Nguy hiểm hơn, kẻ xâm nhập sẽ đánh cắp dữ liệu cá nhân, thông tin công việc… quan trọng và dùng nó vào các mục đích xấu.
Kẻ xấu xâm nhập và đánh cắp dữ liệu từ Email Microsoft 365
Dấu hiệu nhận biết Email Microsoft đã bị tấn công
Dưới đây là một số dấu hiệu phổ biến giúp người dùng sớm phát hiện tài khoản Email đã bị tấn công:
Email bị mất hoặc bị xóa một cách bất thường.
Những người dùng khác nhận được Email từ tài khoản bị xâm nhập mà không có bản sao trong thư mục “Thư đã gửi” của người gửi.
Xuất hiện các quy tắc hộp thư đến đáng ngờ không được tạo bởi người dùng hoặc quản trị viên. Những quy tắc này có thể tự động chuyển tiếp Email đến các địa chỉ không xác định hoặc di chuyển chúng vào các thư mục như “Ghi chú”, “Email rác”, “Đăng ký RSS”…
Hướng dẫn nhận biết khi email người dùng bị tấn công
Tên hiển thị của người dùng có thể bị thay đổi.
Hộp thư của người dùng bị chặn tính năng gửi Email.
Các thư mục “Thư đã gửi” hoặc “Đã xóa”… trong Microsoft Outlook có chứa các thông báo phổ biến về tài khoản bị tấn công, chẳng hạn như “Tôi bị kẹt ở Luân Đôn, hãy gửi tiền…”
Những thay đổi bất thường về hồ sơ như: tên, số điện thoại hoặc mã bưu chính… đã được cập nhật.
Thông tin xác thực một cách bất thường, chẳng hạn như yêu cầu người dùng thay đổi nhiều mật khẩu.
Có nhiều email được chuyển tiếp gần đây.
Có một chữ ký bất thường đã được thêm vào gần đây.
Cách xử lý và bảo mật tài khoản có dấu hiệu bị xâm phạm
Nếu tài khoản Email có bất kỳ dấu hiệu nào ở trên, người dùng cần nhanh chóng lấy lại quyền truy cập tài khoản càng sớm càng tốt. Dưới đây là 7 bước xử lý và bảo mật Email khi phát hiện tài khoản đã bị xâm nhập.
Bước 1: Thiết lập lại mật khẩu cá nhân người dùng
Quy trình đặt lại mật khẩu gồm các bước:
Chọn biểu tượng tên người dùng ở góc trên bên phải rồi chọn My Account > Personal Info.
Kiểm tra lại địa chỉ Email thay thế và đảm bảo rằng đã cung cấp đúng số điện thoại di động chính chủ.
Để đăng xuất tài khoản: Chọn tên người dùng ở góc trên bên phải rồi chọn Sign out.
Để đăng nhập lại: Nhập đúng tên người dùng rồi nhấn chọn Next >Forgot password.
Làm theo các bước trong trình hướng dẫn để đặt lại mật khẩu mới cho tài khoản Email của mình.
Trường hợp người dùng quên mật khẩu và không thể đăng nhập, hãy thực hiện các bước sau:
Yêu cầu quản trị viên trong doanh nghiệp đặt lại mật khẩu cho tài khoản bị xâm nhập.
Cung cấp cho quản trị viên đầy đủ thông tin liên hệ thay thế bao gồm số điện thoại di động cá nhân.
Lưu ý khi thiết lập lại mật khẩu cho tài khoản Email Microsoft 365:
Không gửi mật khẩu mới qua email vì kẻ tấn công vẫn còn có quyền truy cập vào hộp thư tại thời điểm đó.
Sử dụng mật khẩu mạnh, phức tạp, bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt.
Không sử dụng lại bất kỳ mật khẩu cũ trước đó.
Nếu tài khoản người dùng liên kết với Microsoft 365, hãy thay đổi mật khẩu ngay lập tức và thông báo cho quản trị viên trong tổ chức về hành vi xâm nhập.
Cập nhật mật khẩu tài khoản Email Microsoft 365 thường xuyên.
Bật chế độ Xác thực đa yếu tố (MFA) để ngăn chặn sự xâm nhập trái phép, đặc biệt đối với các tài khoản quản trị viên.
Bước 2: Xóa các địa chỉ Email chuyển tiếp đáng ngờ
Khi thông tin chi tiết của tài khoản hiện ra, nhấn chọn tab Mail.
Nếu thấy trong mục Email Forwarding xuất hiện mục Applied, hãy nhấn chọn Manage Email Forwarding.
Tại giao diện thư mục Manage Email Forwarding, hủy chọn Forward all email sent to this mailbox rồi nhấn Save changes.
Bước 3: Vô hiệu hóa hộp thư đến đáng ngờ
Đăng nhập vào tài khoản người dùng bằng Outlook trên web.
Nhấn chọn biểu tượng có hình bánh răng rồi chọn Mail.
Nhấn chọn Inbox and Sweep Rules và kiểm tra lại các quy tắc.
Vô hiệu hóa hoặc xóa những quy tắc đáng ngờ.
Hãy vô hiệu hóa các quy tắc đáng ngờ khi tài khoản Email bị xâm nhập
Bước 4: Mở khóa người dùng để gửi thư
Khi bị xâm nhập, tài khoản Email của người dùng rất có thể sẽ bị chặn tính năng gửi thư. Do vậy, người dùng cần làm theo các bước sau để mở khóa hộp thư. Sau khi mở khóa, người dùng có thể gửi email bình thường trở lại.
Truy cập trang Restricted users (Người dùng bị hạn chế) trong Microsoft 365.
Tìm và chọn tài khoản người dùng cần mở khóa.
Đọc kỹ thông tin trong mục Unblock User để đảm bảo thực hiện đúng quá trình xử lý khi tài khoản bị xâm nhập. Sau khi đọc xong, bấm Next > Submit > Yes.
Bước 5: Khóa tài khoản người dùng
Người dùng có thể chọn khóa tài khoản cho đến khi tính an toàn của email được đảm bảo. Để chặn đăng nhập, người dùng cần thực hiện một loạt các thao tác tại Microsoft 365 và Exchange (EAC).
Tại giao diện chính, nhấp chọn Recipients > Mailboxes.
Trên trang Mailboxes, tìm và chọn người dùng bằng cách bấm vào bất kỳ nơi nào trên hàng (ngoại trừ hộp kiểm). Trong thanh thông tin chi tiết hộp thư, người dùng lần lượt thực hiện các bước sau đây:
Kích chọn General > Manage Email Apps Settings trong phần Email Apps & Mobile Devices.
Sau đó, tiến hành tắt các cài đặt gồm: Outlook trên web, Outlook trên máy tính (MAPI), Exchange Web Services, Exchange ActiveSync, IMAP, POP3.
Khi hoàn tất, nhấn chọn vào Save > Close.
Bước 6: Xóa quyền quản trị của các tài khoản nghi ngờ đã bị xâm phạm
Để xóa quyền quản trị của những tài khoản nghi ngờ bị tấn công, người dùng phải lần lượt thực hiện một loạt các thao tác sau.
Tại giao diện chính, nhấp chọn Permissions & Roles > Email & Collaboration Roles > Roles.
Trên trang Permissions, nhấn chọn từng nhóm vai trò và tìm kiếm thông tin người dùng trong mục Members. Tiếp tục thực hiện các bước sau nếu thấy có thông tin người dùng trong nhóm vai trò:
Trong phần Members, chọn Edit.
Khi mục Editing Choose Members hiện ra, tiếp tục chọn Edit.
Trên thanh Choose Members, nhấn chọn Remove.
Nhấp chọn tài khoản người dùng, rồi bấm vào Remove > Done > Save > Close.
Tại giao diện chính, kích chọn Roles > Admin Roles.
Trên trang Admin Roles, lần lượt chọn từng nhóm vai trò và trong phần thông tin chi tiết, chọn tab Assignedđể xác nhận tài khoản người dùng. Nếu nhóm vai trò chứa tài khoản người dùng, thực hiện các bước sau đây:
Nhấp chọn vào tài khoản cần xóa quyền quản trị.
Bấm vào biểu tượng xóa rồi chọn Save.
Bước 7: Một số bước phòng ngừa khác
Ngoài 6 bước chính ở trên, nhằm đảm bảo an toàn, tránh tình trạng tài khoản Email bị xâm nhập, người dùng cũng có thể bổ sung thêm một số biện pháp dự phòng dưới đây:
Nếu phát hiện tài khoản Email bị tấn công, hãy chủ động thông báo cho những người trong danh sách liên lạc. Bởi kẻ xấu có thể lừa tiền hoặc gửi cho họ đường dẫn liên kết chứa virus để xâm nhập và chiếm đoạt dữ liệu.
Đảm bảo rằng thông tin người dùng như số điện thoại, địa chỉ… là chính xác và chính chủ.
Lời kết
Doanh nghiệp nên sử dụng công cụ Microsoft 365 bản quyền để tổ chức và quản lý công việc một cách chuyên nghiệp và an toàn. Tổ chức có thể tham khảo và mua gói Microsoft 365 Business của FPT Smart Cloud để được hỗ trợ triển khai, đào tạo và nâng cao năng lực CNTT của tổ chức.
Liên hệ với chúng tôi ngay để biết thêm thông tin chi tiết về các dịch vụ của FPT Smart Cloud.
