Phishing |

Phishingmail verwijderen – organisatiebreed verwijderen van phishingmails

Een collega heeft een phishingmail ontvangen en dit doorgestuurd naar de IT-afdeling. De IT-afdeling ziet vervolgens dat iedereen binnen de organisatie dezelfde phishingmail heeft ontvangen. Om de schade zoveel mogelijk te beperken moet de phishingmail uit de mailbox van iedereen worden verwijderd. Hoe moet dit?

In deze blogpost leggen we technisch en gedetailleerd uit hoe je een phishingmail verwijdert uit iedereens mailbox.

Hoe verwijder je een phishingmail uit meerdere mailboxen?

Het verwijderen van een phishingmail uit meerdere mailboxen kan op een aantal manieren. In deze blogpost leggen we uit hoe dit kan zonder additionele 365 abonnementen. Het is een vrij technisch stappenplan, maar met een beetje Powershell-ervaring moet het lukken.

Open PowerShell en installeer de modules MSOnline en ExchangeOnline als deze nog niet geïnstalleerd zijn.

Install-Module MSOnline
Install-Module -Name ExchangeOnlineManagement

Vraag het huidige Execution Policy op voor dit systeem. Deze moet worden aangepast naar RemoteSigned, wat als onveilig kan worden beschouwd. Zet na het doorlopen van alle stappen de Execution Policy weer terug op wat er hier getoond wordt (waarschijnlijk is dit Restricted).

Get-ExecutionPolicy
Set-ExecutionPolicy RemoteSigned

Log in bij Office 365. Verander de gebruikersnaam en het wachtwoord.

$UserName = "[email protected]"
$Password = Read-Host -AsSecureString
$credential = New-Object System.Management.Automation.PsCredential($UserName,$Password)

Importeer de eerder geïnstalleerde module MSOnline en maak een verbinding.

Import-Module MSOnline
Connect-MsolService -Credential $Credential

Importeer de eerder geïnstalleerde module ExchangeOnline.

Import-Module ExchangeOnlineManagement

Log in bij Exchange Online. Dit is ook gewoon mogelijk als MFA is ingeschakeld.

Connect-ExchangeOnline -UserPrincipalName $UserName -ShowProgress $true
Verbind met het Security & Compliance Center.
Connect-IPPSSession -UserPrincipalName $UserName

Er zijn een aantal rechten nodig om de mails te kunnen zoeken en verwijderen. Geef deze additionele rechten aan de gewenste admin gebruiker.

Add-RoleGroupMember "eDiscoveryManager" -member [email protected]
Add-RoleGroupMember "ComplianceAdministrator" -member [email protected]
Maak een nieuwe search. Geef het een gewenste naam en bouw een query waaraan de phishingmail voldoet. In onderstaand voorbeeld worden alle mails gevonden die op 13 mei 2022 zijn ontvangen met het onderwerp Deze wordt verwijderd!.
$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:5/13/2022) AND (Subject:"Deze wordt verwijderd!")'
Voer de zojuist gemaakte zoekopdracht uit.
Start-ComplianceSearch -Identity $Search.Identity
Controleer of onderstaand commando de juiste phishingmails vindt.
Get-ComplianceSearch "Remove Phishing Message" | Select Name, ContentMatchQuery, Items, SuccessResults
Verwijder alle gevonden mails middels het volgende commando. Gebruik hier de gekozen naam van de zoekopdracht van zojuist. In dit geval is dat Remove Phishing Message.
New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete
De phishingmail wordt nu verwijderd uit iedere mailbox waar het gevonden wordt. Zet als laatst de Execution Policy weer terug op restricted (of de waarde waar hij eerst op stond).
Set-ExecutionPolicy Restricted

Hoe kunnen wij u helpen?

CEO fraude voorkomen – waarschuwing bij afzenders

CEO fraude is steeds vaker in het nieuws. Wat kan je doen tegen CEO fraude? Er zijn een aantal maatregelen die kunnen bijdragen aan het voorkomen van CEO fraude. Een hiervan is een waarschuwingsbericht zetten bij e-mails die afkomstig zijn van buiten de organisatie, maar waarbij de naam van een collega wordt gebruikt.

read more

Phishingmail melden – Outlook plugin

Als medewerkers een vermoeden hebben dat ze een phishingmail hebben ontvangen weten ze vaak niet wat ze ermee moeten. Verwijderen is een logische keuze, maar dan is de IT-afdeling niet op de hoogte, en juist dat is belangrijk. De IT-afdeling kan de phishingmail namelijk meteen verwijderen uit de mailbox van iedereen. Outlook heeft hier een knop voor gemaakt, maar hoe stel je dit in?

read more