Phishing |
Phishingmail verwijderen – organisatiebreed verwijderen van phishingmails
Een collega heeft een phishingmail ontvangen en dit doorgestuurd naar de IT-afdeling. De IT-afdeling ziet vervolgens dat iedereen binnen de organisatie dezelfde phishingmail heeft ontvangen. Om de schade zoveel mogelijk te beperken moet de phishingmail uit de mailbox van iedereen worden verwijderd. Hoe moet dit?
In deze blogpost leggen we technisch en gedetailleerd uit hoe je een phishingmail verwijdert uit iedereens mailbox.
Hoe verwijder je een phishingmail uit meerdere mailboxen?
Het verwijderen van een phishingmail uit meerdere mailboxen kan op een aantal manieren. In deze blogpost leggen we uit hoe dit kan zonder additionele 365 abonnementen. Het is een vrij technisch stappenplan, maar met een beetje Powershell-ervaring moet het lukken.
Open PowerShell en installeer de modules MSOnline en ExchangeOnline als deze nog niet geïnstalleerd zijn.
Install-Module MSOnline
Install-Module -Name ExchangeOnlineManagementVraag het huidige Execution Policy op voor dit systeem. Deze moet worden aangepast naar RemoteSigned, wat als onveilig kan worden beschouwd. Zet na het doorlopen van alle stappen de Execution Policy weer terug op wat er hier getoond wordt (waarschijnlijk is dit Restricted).
Get-ExecutionPolicy
Set-ExecutionPolicy RemoteSignedLog in bij Office 365. Verander de gebruikersnaam en het wachtwoord.
$UserName = "[email protected]"
$Password = Read-Host -AsSecureString
$credential = New-Object System.Management.Automation.PsCredential($UserName,$Password)Importeer de eerder geïnstalleerde module MSOnline en maak een verbinding.
Import-Module MSOnline
Connect-MsolService -Credential $CredentialImporteer de eerder geïnstalleerde module ExchangeOnline.
Import-Module ExchangeOnlineManagementLog in bij Exchange Online. Dit is ook gewoon mogelijk als MFA is ingeschakeld.
Connect-ExchangeOnline -UserPrincipalName $UserName -ShowProgress $trueConnect-IPPSSession -UserPrincipalName $UserNameEr zijn een aantal rechten nodig om de mails te kunnen zoeken en verwijderen. Geef deze additionele rechten aan de gewenste admin gebruiker.
Add-RoleGroupMember "eDiscoveryManager" -member [email protected]
Add-RoleGroupMember "ComplianceAdministrator" -member [email protected]$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:5/13/2022) AND (Subject:"Deze wordt verwijderd!")'Start-ComplianceSearch -Identity $Search.IdentityGet-ComplianceSearch "Remove Phishing Message" | Select Name, ContentMatchQuery, Items, SuccessResultsNew-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDeleteSet-ExecutionPolicy RestrictedHoe kunnen wij u helpen?
QR Codes: Het onverwachte wapen in Device Code Phishing
Device code phishing, net als aanvallen via Adversary-in-the-middle (AiTM), vertegenwoordigt een geavanceerde vorm van cyberdreiging die zich onderscheidt van traditionele phishing. Device code phishing exploiteert de ‘OAuth2 Device Authorization Grant flow‘ van Microsoft Azure, die gebruikers in staat stelt zich aan te melden bij apparaten met beperkte invoermogelijkheden.
AiTM: De geavanceerde phishing techniek die MFA te slim af is
Adversary in the Middle ook wel bekend als AiTM phishing is een geavanceerde techniek die zich onderscheidt van traditionele phishing door het vermogen om multifactorauthenticatie (MFA) te omzeilen.
De beste manier om uw bedrijf te beschermen tegen phishing
Als bedrijf wilt u uw organisatie beschermen tegen phishing. Het is vooral belangrijk om de menselijke component aan te pakken. Maar hoe kunt u als bedrijf uw medewerkers het beste trainen in het herkennen en rapporteren van phishing?