מה לעשות אם יש חשד שחשבון המייל שלך ב G Suite נפרץ
מדריך בשלבים לטיפול בחשבון G Suite שפרצו אליו
השבוע פנה אלינו לתמיכה לקוח, נקרא לו ישראל, ואמר שאנשי קשר שלו מקבלים מכתובת המייל שלו מייל מוזר ובו אדם כלשהו, נקרא לו מקס, טוען שהשתלט על החשבון של ישראל. המייל נראה כאילו הגיע מכתובת המייל של ישראל, אך כאמור מזדהה בו אדם חשוד בשם מקס.
במייל, מקס טוען כי השתלט על חשבון ה G Suite של ישראל וכי על איש הקשר של ישראל כעת לעדכן את ישראל כי עליו לשלם למקס 45,000 שח אחרת ימחק את החשבון של ישראל וכל המידע העסקי יקר הערך שמאוחסן בו.
מייל זה נשלח לרבים מאנשי הקשר של ישראל שלנו, ונראה כאילו הגיע ממנו.
אז מה יש לעשות כאשר למרות כל אמצעי האבטחה שישראל נקט, עולה חשד שגורם זר השתלט לו על חשבון ה G Suite? בצעדים הבאים נפרט כיצד חקרנו ביעילות ובמהירות את הנושא עבור הלקוח שלנו ונקטנו צעדים להגן עליו ולשמור על המידע הרגיש והגישה המאובטחת שלו לחשבון ולמידע שלו.
חשוב לציין לפני הכל שבמידה וכן מחקו את החשבון או מיילים מסויימים ממנו ניתן לשחזר את המידע המחוק ובלבד שלא עברו 25 ימים מאז המחיקה, ככה שגוגל מגינה על המידע שלנו במשך זמן זה! מידע מפורט כאן: https://support.google.com/a/answer/6052340
1. בדיקת הLog של הכניסות לחשבון, בעזרת ה Admin Console-Reports-Audit logs:
זה דוח של החודש האחרון לאותו משתמש מסויים שהתלונן, עם שעות וכתובות IP. מצאנו שלא באמת פרצו לו לחשבון, מה שעשו זה Email Spoofing - התחזו לחשבון שלו. בהמשך נראה איך אפשר להתגונן גם מזה.
2. אם נראה שאכן החשבון נפרץ כדאי לבצע Suspend (השעית החשבון- לא יהיה ניתן להשתמש בחשבון אבל תוכנו ישמר) מיידי לחשבון עד לבירור העניין ככה שהפורץ לא יוכל למחוק או לגנוב מידע מרגע ה Suspend. פעולה זו מבוצעת גם כן דרך ה Admin Console.
3. איפוס והחלפת הסיסמה לסיסמה מורכבת וכן שימוש באימות דו שלבי (נאמר עם SMS למספר הטלפון של המשתמש בכל כניסה ממכשיר חדש ככה מי שיודע את הסיסמה - זה לא יספיק לו לפרוץ לחשבון) מדריך מפורט של אימות דו שלבי (2FA)
4. למניעת ה Spoofing יש להגדיר רשומת SPF ב DNS שם מנוהל הדומיין של הלקוח, רשומה זו מגדירה אילו שרתי אימייל מורשים לשלוח אימיילים מטעם הדומיין, מטרתה היא לגלות ולחסום ספאמרים לשלוח מיילים מ (From) הדומיין שלכם.
הנה מדריך מפורט של גוגל: https://support.google.com/a/answer/33786
5. הוספת DKIM, זוהי למעשה חתימה מוצפנת מיוחדת שמצורפת לכל מייל שיוצא מגוגל וככה מאמתת שהוא באמת מגוגל ולא משרת מייל חיצוני כלשהו שמשמש לספאם, הודעות כופר, הונאות כאלה ואחרות. כדי להגדיר זאת, ראשית יש לאפשר את השירות בAdmin Console:
ליצור במסך זה רשומת DNS TXT ואז לעדכן את הרשומה בDNS בה מנוהל הדומיין.
מרגע ההגדרה לוקח לשירות 48 עד 72 שעות להיות פעיל.
6. הוספת DMARC, זהו אמצעי הגנה נוסף לאימות הדומיין ממנו נשלח המייל. ה DMARC ראשית מוודא שימוש גם בDKIM וגם SPF (צעדים 4 +5 בפוסט זה). מוודא דומיין ב From:Header ואם הבדיקות הללו לא עברו אזי ניתן להחליט מה לעשות עם המייל: 1. לא לעשות כלום. 2. להעביר לספאם. 3. לדחות את המייל ולדווח לשרת השולח עליו כספאם. (הרבה שרתים לגיטימיים נפרצים ומשמשים לשילוח ספאם, זו אחת הדרכים לדווח על כך כדי שינקטו צעדים בהתאם)
חשוב לציין שבמידה והדומיין שלכם משמש ספאמרים לשלוח הודעות ספאם אז הוא יכול להכנס לרשימה שחורה של דומיינים חסומים ואז גם מיילים לגיטימיים של המשתמשים שלכם ידחו/יכנסו לספאם, לכן חשוב מאוד למנוע Spoofing מהדומיין שלכם.
על מנת להשתמש בשירות זה יש להוסיף רשומת TXT ל DNS, הנה מדריך מפורט: https://support.google.com/a/answer/2466563
אנו באוקטופוס מעניקים שירות הגנה מפני Spoofing והגנה ושחזור מידע שנמחק ללקוחותינו כחלק מחבילת שירות תמיכה חודשי, לפרטים נוספים על השירות אנא השאירו פרטים ונציג יחזור אליכם.
אוקטופוס פתרונות מחשוב - המומחים שלך לענן
במייל, מקס טוען כי השתלט על חשבון ה G Suite של ישראל וכי על איש הקשר של ישראל כעת לעדכן את ישראל כי עליו לשלם למקס 45,000 שח אחרת ימחק את החשבון של ישראל וכל המידע העסקי יקר הערך שמאוחסן בו.
מייל זה נשלח לרבים מאנשי הקשר של ישראל שלנו, ונראה כאילו הגיע ממנו.
אז מה יש לעשות כאשר למרות כל אמצעי האבטחה שישראל נקט, עולה חשד שגורם זר השתלט לו על חשבון ה G Suite? בצעדים הבאים נפרט כיצד חקרנו ביעילות ובמהירות את הנושא עבור הלקוח שלנו ונקטנו צעדים להגן עליו ולשמור על המידע הרגיש והגישה המאובטחת שלו לחשבון ולמידע שלו.
חשוב לציין לפני הכל שבמידה וכן מחקו את החשבון או מיילים מסויימים ממנו ניתן לשחזר את המידע המחוק ובלבד שלא עברו 25 ימים מאז המחיקה, ככה שגוגל מגינה על המידע שלנו במשך זמן זה! מידע מפורט כאן: https://support.google.com/a/answer/6052340
1. בדיקת הLog של הכניסות לחשבון, בעזרת ה Admin Console-Reports-Audit logs:
זה דוח של החודש האחרון לאותו משתמש מסויים שהתלונן, עם שעות וכתובות IP. מצאנו שלא באמת פרצו לו לחשבון, מה שעשו זה Email Spoofing - התחזו לחשבון שלו. בהמשך נראה איך אפשר להתגונן גם מזה.
2. אם נראה שאכן החשבון נפרץ כדאי לבצע Suspend (השעית החשבון- לא יהיה ניתן להשתמש בחשבון אבל תוכנו ישמר) מיידי לחשבון עד לבירור העניין ככה שהפורץ לא יוכל למחוק או לגנוב מידע מרגע ה Suspend. פעולה זו מבוצעת גם כן דרך ה Admin Console.
3. איפוס והחלפת הסיסמה לסיסמה מורכבת וכן שימוש באימות דו שלבי (נאמר עם SMS למספר הטלפון של המשתמש בכל כניסה ממכשיר חדש ככה מי שיודע את הסיסמה - זה לא יספיק לו לפרוץ לחשבון) מדריך מפורט של אימות דו שלבי (2FA)
4. למניעת ה Spoofing יש להגדיר רשומת SPF ב DNS שם מנוהל הדומיין של הלקוח, רשומה זו מגדירה אילו שרתי אימייל מורשים לשלוח אימיילים מטעם הדומיין, מטרתה היא לגלות ולחסום ספאמרים לשלוח מיילים מ (From) הדומיין שלכם.
הנה מדריך מפורט של גוגל: https://support.google.com/a/answer/33786
5. הוספת DKIM, זוהי למעשה חתימה מוצפנת מיוחדת שמצורפת לכל מייל שיוצא מגוגל וככה מאמתת שהוא באמת מגוגל ולא משרת מייל חיצוני כלשהו שמשמש לספאם, הודעות כופר, הונאות כאלה ואחרות. כדי להגדיר זאת, ראשית יש לאפשר את השירות בAdmin Console:
ליצור במסך זה רשומת DNS TXT ואז לעדכן את הרשומה בDNS בה מנוהל הדומיין.
מרגע ההגדרה לוקח לשירות 48 עד 72 שעות להיות פעיל.
6. הוספת DMARC, זהו אמצעי הגנה נוסף לאימות הדומיין ממנו נשלח המייל. ה DMARC ראשית מוודא שימוש גם בDKIM וגם SPF (צעדים 4 +5 בפוסט זה). מוודא דומיין ב From:Header ואם הבדיקות הללו לא עברו אזי ניתן להחליט מה לעשות עם המייל: 1. לא לעשות כלום. 2. להעביר לספאם. 3. לדחות את המייל ולדווח לשרת השולח עליו כספאם. (הרבה שרתים לגיטימיים נפרצים ומשמשים לשילוח ספאם, זו אחת הדרכים לדווח על כך כדי שינקטו צעדים בהתאם)
חשוב לציין שבמידה והדומיין שלכם משמש ספאמרים לשלוח הודעות ספאם אז הוא יכול להכנס לרשימה שחורה של דומיינים חסומים ואז גם מיילים לגיטימיים של המשתמשים שלכם ידחו/יכנסו לספאם, לכן חשוב מאוד למנוע Spoofing מהדומיין שלכם.
על מנת להשתמש בשירות זה יש להוסיף רשומת TXT ל DNS, הנה מדריך מפורט: https://support.google.com/a/answer/2466563
אנו באוקטופוס מעניקים שירות הגנה מפני Spoofing והגנה ושחזור מידע שנמחק ללקוחותינו כחלק מחבילת שירות תמיכה חודשי, לפרטים נוספים על השירות אנא השאירו פרטים ונציג יחזור אליכם.
אוקטופוס פתרונות מחשוב - המומחים שלך לענן
