Как применить защитные меры к потенциально взломанным аккаунтам

1. Заблокируйте аккаунт пользователя, чтобы предотвратить несанкционированный доступ к нему.

   Примечание. При блокировке файлы cookie для входа и токены OAuth сбрасываются.

2. Проанализируйте подозрительные действия и восстановите аккаунт. Рассмотрите возможность включить в домене двухэтапную аутентификацию.
3. Попросите пользователя аккаунта с подозрением на взлом проверить указанный им адрес для восстановления и пройти проверку безопасности Gmail.

1. Если вы подозреваете взлом аккаунта администратора, проверьте в журналах аудита администрирования, не вносил ли этот пользователь недавно какие-либо изменения в настройки. Пропустите этот шаг, если это не относится к вашей ситуации.
2. Изучите список мобильных устройств, связанных с этим аккаунтом, и удалите данные со всех подозрительных устройств.
3. Проанализируйте подозрительные действия:
   1. С помощью журнала событий пользователя в консоли администратора проверьте все попытки входа из веб-интерфейса в домене за последние шесть месяцев. Подозрительные попытки отмечаются специальным значком. Кроме того, вы можете получить данные о входе в аккаунты домена с помощью Reports API.
   2. С помощью поиска по журналу электронной почты найдите записи о доставке для своих доменов и проанализируйте почтовый трафик в подозрительных аккаунтах. Если аккаунт подключен к Сейфу, эту функцию также можно использовать для анализа действий с почтой.
      Примечание. Пользователи смогут восстанавливать удаленные письма и документы, если перейдут на версию, в которой доступен Сейф.
   3. Воспользуйтесь отчетом о безопасности, чтобы оценить, насколько уязвимы данные в домене. Изучите следующие отчеты:
      • Журнал событий OAuth
      • Журнал событий Групп
      • Журнал событий Диска

        Эта функция доступна в версиях Frontline Starter и Frontline Standard, Business Starter, Business Standard, Business Plus, Enterprise Standard и Enterprise Plus, Education Fundamentals, Education Standard, Teaching and Learning Upgrade и Education Plus, Essentials Starter, Essentials, Enterprise Essentials и Enterprise Essentials Plus, G Suite Business. Сравнение версий

      • Журнал событий Календаря
   4. Проверьте, не заданы ли вредоносные настройки. Вы можете запросить параметры аккаунта (например, настройки переадресации) с помощью Gmail API. Если вы подозреваете, что пользовательский аккаунт Google (polzovatel@gmail.com) использовался для взлома, сообщите об этом нам.

1. Следуйте инструкциям, описанным в статье Как сбросить пароль пользователя.
2. Отзовите токены OAuth 2.0 этого пользователя.
3. Некоторые приложения, использующие метод аутентификации OAuth 2.0 для доступа к данным, блокируются при сбросе пароля пользователя. Пользователь должен войти с новым паролем, чтобы получить новый токен OAuth 2.0.
4. Удалите пароли приложений, созданные пользователем.

1. Разблокируйте аккаунт.
2. Сообщите пользователю его новый временный пароль и попросите задать собственный уникальный пароль (он не должен использоваться на других веб-сайтах и в приложениях).
3. Включите двухэтапную аутентификацию для домена и добавьте электронные ключи в аккаунты пользователей (этот вариант предпочтительнее двухэтапной аутентификации с помощью кодов подтверждения).
4. Попросите пользователя пройти проверку безопасности Gmail. Так, у конечных пользователей должны быть правильно заданы фильтры и настройки переадресации.
   1. Обновите параметры восстановления аккаунта.
   2. Проверьте аккаунт на необычную активность.
   3. Проверьте пропавшие или подозрительные сообщения.
   4. Проверьте контакты на наличие ошибок.
   5. Проверьте настройки Gmail. 

Двухэтапная аутентификация повышает безопасность пользовательских аккаунтов, поскольку наряду с именем и паролем пользователи должны указывать код подтверждения. Подробнее о добавлении двухэтапной аутентификации… Мы рекомендуем использовать электронные ключи, поскольку при двухэтапной аутентификации они лучше защищают от фишинга, чем защитные коды.

Инструкции по добавлению дополнительных адресов электронной почты и номеров телефона для восстановления пароля можно найти в этой статье. Обезопасьте дополнительные адреса электронной почты, сменив их пароли, или укажите вместо них новые адреса.

Как администратор, вы можете включить оповещения о действиях в аккаунте, которые будут отправляться, например, при подозрительных попытках входа или изменении настроек другими администраторами.

Общие рекомендации по защите аккаунта можно найти в Центре безопасности Google.