Wykrywanie i zabezpieczanie przejętych kont

Jeśli jako administrator podejrzewasz, że konto zostało przejęte, możesz wykonać czynności z poniższej listy kontrolnej, aby upewnić się, że konta użytkowników (na przykład przejęte/przechwycone konta) są bezpieczne. Razem z użytkownikami, u których wystąpił problem, wykonaj czynności z listy kontrolnej zabezpieczeń Gmaila użytkownika końcowego.

Wykonaj te czynności zapewniające bezpieczeństwo:

Krok 1. Tymczasowo zawieś prawdopodobnie przejęte konto użytkownika.

Zawieś konto użytkownika, aby zapobiec nieautoryzowanemu dostępowi.
Uwaga: zawieszenie konta użytkownika powoduje zresetowanie jego plików cookie logowania i tokenów OAuth.
Zbadaj potencjalnie nieautoryzowane działanie, a następnie przywróć konto. Możesz też włączyć weryfikację dwuetapową w domenie.
Poproś użytkownika, u którego wystąpił problem, o sprawdzenie swojego adresu odzyskiwania i wykonanie czynności opisanych na liście kontrolnej zabezpieczeń Gmaila.

Krok 2. Sprawdzanie, czy na koncie były wykonywane nieautoryzowane działania

Jeśli użytkownik, którego konto zostało przejęte, jest administratorem, poszukaj zmian w konfiguracji wprowadzonych ostatnio przez tego użytkownika w dzienniku kontrolnym administratora. W przeciwnym wypadku pomiń ten krok.
Sprawdź urządzenia mobilne powiązane z potencjalnie przejętym kontem i usuń podejrzane urządzenia.
Zbadaj potencjalnie nieautoryzowane działania:
1. Zdarzenia w dzienniku użytkownika w konsoli administracyjnej zawierają pełną listę udanych i nieudanych logowań przez internet w domenie (maksymalnie sprzed 6 miesięcy). Podejrzane próby logowania są oznaczane ikoną ostrzeżenia. Możesz też pobierać informacje związane z logowaniem na kontach w domenie za pomocą interfejsu API do raportowania.
2. Przeszukiwanie dzienników poczty e-mail pozwala przeglądać dzienniki dostarczania w domenach i analizować przesyłanie wiadomości z i do prawdopodobnie przejętych kont. Jeśli konto jest zarządzane przez usługę Vault, możesz skorzystać z przeszukiwania dzienników poczty e-mail, by przeglądać aktywność związaną z e-mailami.
  Uwaga: jeśli użytkownicy przejdą na wersję obejmującą Vault, będą mogli przywracać trwale usunięte e-maile i dokumenty.
3. Raport zabezpieczeń pozwala ocenić ryzyko ujawnienia danych domeny. Przejrzyj te raporty:
  - Zdarzenia z dziennika OAuth
  - Zdarzenia z dziennika Grup dyskusyjnych
  - Zdarzenia z dziennika Dysku
    Ta funkcja jest dostępna w tych wersjach: Frontline Starter, Frontline Standard i Frontline Plus; Business Starter, Business Standard i Business Plus; Enterprise Standard i Enterprise Plus; Education Fundamentals, Education Standard i Education Plus; Essentials Starter, Essentials, Enterprise Essentials i Enterprise Essentials Plus; G Suite Business. Porównanie wersji
  - Zdarzenia z dziennika Kalendarza
4. Sprawdź, czy nie wprowadzono szkodliwych ustawień. Możesz pobrać ustawienia konta użytkownika (na przykład ustawienia przekazywania dalej) za pomocą interfejsu Gmail API. Jeśli podejrzewasz, że do przejęcia zostało użyte konto klient@gmail.com dla klientów indywidualnych, zgłoś nam to.

Krok 3. Unieważnij dostęp do przejętego konta

Wykonaj kroki opisane w artykule na temat resetowania hasła użytkownika.
Unieważnij tokeny OAuth 2.0 użytkownika.
Niektóre aplikacje korzystające z uwierzytelniania OAuth 2.0 utracą dostęp do danych po zresetowaniu hasła użytkownika. W takiej sytuacji użytkownik musi zalogować się, korzystając ze swojej nazwy i nowego hasła, aby otrzymać nowy token OAuth 2.0.
Usuń hasła do aplikacji utworzone przez użytkownika.

Krok 4. Przywracanie dostępu użytkownikowi

Cofnij zawieszenie konta.
Przekaż użytkownikom nowe hasła tymczasowe i poproś ich o ustawienie nowych unikatowych haseł (które nie są używane do logowania się w innych witrynach lub aplikacjach).
Włącz weryfikację dwuetapową w domenie i zarejestruj dla użytkowników klucze bezpieczeństwa (bardziej polecane niż kody weryfikacji dwuetapowej).
Razem z użytkownikami wykonaj czynności opisane na przeznaczonej dla nich liście kontrolnej zabezpieczeń Gmaila. Sprawdź na przykład, czy mają oni poprawnie skonfigurowane filtry i opcje przekazywania dalej.
1. Zaktualizuj opcje odzyskiwania konta.
2. Sprawdź, czy na koncie nie wykonano żadnych podejrzanych działań.
3. Sprawdź, czy nie brakuje żadnych wiadomości lub nie ma żadnych podejrzanych wiadomości.
4. Sprawdź, czy nie ma żadnych błędów w kontaktach.
5. Sprawdź ustawienia Gmaila.

Wykonaj dodatkowe czynności zapewniające bezpieczeństwo

Zalecamy podjęcie wymienionych poniżej czynności dodatkowych, aby upewnić się, że konta użytkowników są bezpieczne.

Krok 1. Włączanie weryfikacji dwuetapowej z kluczami bezpieczeństwa

Weryfikacja dwuetapowa stanowi dodatkową warstwę zabezpieczeń kont Twoich użytkowników. Podczas logowania się na konta oprócz nazwy użytkownika i hasła muszą oni wpisywać kod weryfikacyjny. Szczegółowe informacje znajdziesz w artykule Dodawanie weryfikacji dwuetapowej. Zalecamy używanie kluczy bezpieczeństwa (a nie kodów bezpieczeństwa weryfikacji dwuetapowej), ponieważ lepiej chronią przed wyłudzaniem informacji.

Krok 2. Dodawanie, zabezpieczanie i aktualizowanie opcji odzyskiwania

Artykuł Dodawanie opcji odzyskiwania na koncie administratora zawiera instrukcje określania dodatkowych adresów e-mail i numerów telefonów. Zabezpiecz dodatkowe adresy e-mail, zmieniając ich hasła, lub ustaw nowy dodatkowy adres e-mail.

Krok 3. Włączanie alertów o aktywności na koncie

Jako administrator możesz włączyć otrzymywanie alertów o aktywności na koncie związanych z ważnymi wydarzeniami, takimi jak potencjalnie podejrzane logowania lub zmiany ustawień usługi przez innych administratorów.

Zapoznaj się z ogólnymi wskazówkami związanymi z bezpieczeństwem konta w Centrum bezpieczeństwa Google.

Wykrywanie i zabezpieczanie przejętych kont Zadbaj o dobrą organizację dzięki kolekcji Zapisuj i kategoryzuj treści zgodnie ze swoimi preferencjami.