Cont Microsoft 365 al firmei spart: verifică regulile ascunse de forwarding din Outlook

Un coleg de la contabilitate îți spune că un furnizor cu care lucrați de ani de zile nu și-a primit banii, deși plata a plecat. Vă uitați împreună pe email și totul pare în regulă: factura a venit de pe adresa lui reală, conversația e firul vostru obișnuit, doar IBAN-ul din ultima factură era altul. Abia atunci înțelegi că nu furnizorul a greșit, ci cineva v-a citit corespondența luni de zile și a intervenit exact la momentul potrivit. Iar punctul de intrare a fost contul de Microsoft 365 al cuiva din firmă.

Ghidul ăsta e pentru proprietarul de firmă mică sau pentru omul care ține emailurile, nu pentru un specialist IT. Îți arăt ce face de fapt un atacator după ce sparge un cont Microsoft 365 de business, de ce regulile ascunse de redirecționare sunt partea cea mai periculoasă, unde le găsești și cum le ștergi, în Outlook și în centrul de administrare, și cum închizi complet ușa: resetezi parola, închizi sesiunile, verifici aplicațiile conectate, activezi verificarea în doi pași și anunți partenerii.

Ce caută de fapt atacatorul în contul firmei tale

Surpriza pentru mulți proprietari e că atacatorul nu fură nimic vizibil. Nu șterge emailuri, nu trimite spam din contul tău, nu schimbă semnătura. Tocmai liniștea asta e periculoasă, fiindcă nu ai niciun semn că s-a întâmplat ceva. Un cont de email de firmă valorează mult mai mult ca instrument de fraudă decât ca pradă de moment.

Ce face, în schimb, este să se așeze comod și să citească. Vrea să afle cum vorbești cu furnizorii, cine semnează plățile, cât de des faci transferuri și, mai ales, când urmează o factură mare. Ca să primească în continuare copii ale corespondenței fără să stea logat permanent, lasă în urmă o regulă de redirecționare sau de mutare a mesajelor. Apoi așteaptă momentul potrivit și trimite, chiar de pe adresa ta reală sau de pe a unui partener, o factură identică cu cele obișnuite, dar cu un IBAN nou. Asta e pregătirea pentru o fraudă BEC cu factură falsă și IBAN schimbat, iar contul spart e doar prima piesă.

Unde se ascund regulile de redirecționare

Într-un cont Microsoft 365 sunt mai multe locuri în care o redirecționare automată poate fi pusă, iar un atacator priceput le combină ca să fie greu de prins. Le iei pe rând.

Regulile de inbox din Outlook pe web

Acesta e locul clasic. Intri în Outlook pe web, apeși pe roata dințată de setări din dreapta sus, mergi la Mail și apoi la secțiunea Rules. Citești fiecare regulă, nu doar numele ei. Atacatorii își dau reguli cu nume banale, gen „Regula 1" sau un singur caracter, ca să nu sară în ochi. Te uiți la ce face regula: dacă trimite mai departe mesajele către o adresă din afară, dacă mută în Coș sau în alt folder emailurile care conțin cuvinte ca „factură", „IBAN", „plată", „parolă" sau „securitate", și dacă le marchează ca citite. Combinația mută plus marchează citit plus redirecționează e semnătura tipică a unui cont compromis: tu nu mai vezi mesajul, dar atacatorul primește copia.

Redirecționarea de la nivel de căsuță

Separat de reguli, există o setare de Forwarding care trimite automat tot ce intră către o altă adresă. O găsești tot în setările Outlook, la Mail, la Forwarding. Verifică dacă e activă o redirecționare pe care nu ai pus-o tu și dezactiveaz-o. Verifică și răspunsurile automate, pentru că uneori atacatorul lasă acolo un mesaj sau o cale prin care îți deturnează corespondența.

Regulile cu adevărat ascunse

Aici e partea neplăcută. Există tehnici prin care o regulă poate fi făcută invizibilă în interfața normală din Outlook. Regula funcționează, dar nu apare în lista de Rules pe care o vede un utilizator obișnuit. Pe acestea nu le poți prinde din contul tău. Se văd doar de către administratorul firmei, fie din centrul de administrare, fie prin PowerShell, cu comanda Get-InboxRule rulată cu parametrul IncludeHidden pe căsuța respectivă. Dacă bănuiala de compromitere e serioasă și ai pierdut deja bani, merită ca un om priceput să verifice și aici, nu doar în interfață.

Pașii de curățare, în ordine

Ordinea contează. Dacă schimbi parola înainte să cureți restul, atacatorul poate avea încă sesiunea deschisă și apucă să refacă regulile. De aceea închizi totul aproape simultan, dar într-o secvență logică.

De ce contează închiderea sesiunilor

E pasul pe care îl uită cel mai des chiar și firmele care își iau treaba în serios. Când cineva se loghează, primește un token de sesiune care îl ține autentificat o vreme, fără să mai introducă parola. Dacă atacatorul are un astfel de token, schimbarea parolei nu îl dă afară imediat. De aceea, în centrul de administrare Microsoft 365, pe utilizatorul afectat, alegi opțiunea de deconectare din toate sesiunile. Asta invalidează accesul existent și îl obligă pe oricine să se logheze din nou, ceea ce el nu mai poate face fără parola nouă și fără codul de la verificarea în doi pași. Mai multe despre ce înseamnă asta și de ce un atacator revine după schimbarea parolei am explicat în ghidul despre contul de email al firmei spart.

Aplicațiile OAuth, ușa din spate uitată

Multe atacuri de azi nici nu mai au nevoie de parola ta. Atacatorul te păcălește, prin phishing, să aprobi o aplicație care cere acces la emailul tău. Odată aprobată, aplicația citește căsuța prin OAuth, fără parolă, iar schimbarea parolei nu o oprește. Verifică ce aplicații au acces la cont, din pagina utilizatorului în centrul de administrare sau în Microsoft Entra, la aplicațiile conectate, și revocă orice nu recunoști. E un pas de care mulți nici nu au auzit, dar poate fi exact canalul prin care atacatorul rămâne înăuntru.

Anunță partenerii, înainte să cadă ei

Aici e diferența dintre un cont spart și o pagubă reală. Dacă atacatorul ți-a citit corespondența, scopul lui aproape sigur este să trimită cuiva o factură falsă, fie din contul tău către un client, fie spre tine de pe contul unui partener pe care l-a spart la fel. De aceea, după ce ai curățat contul, dă un semn rapid celor cu care lucrezi des: spune-le că ai avut un incident și că orice cerere de schimbare a unui IBAN sau orice plată neașteptată din ultima perioadă trebuie verificată telefonic, pe un număr cunoscut, nu prin reply la email.

Regula asta, verificarea pe alt canal, e cea mai ieftină măsură de securitate și oprește frauda chiar și atunci când emailul pare perfect autentic. Am detaliat-o, cu scenarii reale, în ghidul despre frauda cu factură falsă și IBAN schimbat.

Cum eviți să se repete

Un cont de email de firmă spart o dată e o țintă marcată. Atacatorii revin, fiindcă știu deja ce e de furat. Trei lucruri fac cea mai mare diferență, în ordinea importanței.

• Verificarea în doi pași pe tot tenantul. Nu doar pe contul afectat, ci pe toate conturile firmei. E cea mai eficientă barieră în calea parolelor furate. Vezi cum o activezi în ghidul despre autentificarea în doi pași.
• Oameni instruiți să recunoască phishingul. Aproape orice cont de Microsoft 365 spart începe cu un email fals care cere parola sau aprobarea unei aplicații. Învață echipa cum recunoaște un email de phishing.
• O verificare periodică a regulilor și a aplicațiilor conectate. O dată la câteva luni, cineva se uită peste regulile de inbox, redirecționări și aplicațiile cu acces. E o verificare de cinci minute care prinde o problemă înainte să devină o factură pierdută.

Dacă te-ai trezit că, deși ai schimbat parola, cineva tot îți intră în cont, problema e aproape sigur una dintre cele de mai sus: o regulă rămasă, o sesiune neînchisă sau o aplicație OAuth. Le iei pe toate, una câte una.