Hantera ett komprometterat e-postkonto
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för
- Exchange Online Protection
- Microsoft Defender för Office 365 Abonnemang 1 och Abonnemang 2
- Microsoft 365 Defender
Sammanfattning Lär dig hur du känner igen och hanterar ett komprometterat e-postkonto i Microsoft 365.
Vad är ett komprometterat e-postkonto i Microsoft 365?
Åtkomst till Microsoft 365-postlådor, data och andra tjänster styrs genom användningen av autentiseringsuppgifter, t.ex. ett användarnamn och lösenord eller en PIN-kod. När någon annan än den avsedda användaren stjäl de här autentiseringsuppgifterna anses de stulna uppgifterna ha komprometterats. Angriparen kan använda dem för att logga in som den ursprungliga användaren och utföra illegala åtgärder.
Med hjälp av de stulna autentiseringsuppgifterna kan angriparen komma åt användarens Microsoft 365-postlåda, SharePoint-mappar eller filer i användarens OneDrive. En vanligt förekommande åtgärd är att angriparen skickar e-postmeddelanden i den ursprungliga användarens namn till mottagare både inom och utanför organisationen. När angriparen skickar data via e-post till externa mottagare kallas det för dataexfiltrering.
Symptom hos ett komprometterat Microsoft-e-postkonto
Användarna kan lägga märka till och rapportera ovanliga aktiviteter i sina Microsoft 365-postlådor. Här är några vanliga tecken:
- Misstänkt aktivitet, t.ex. saknade eller borttagna e-postmeddelanden.
- Andra användare kan få e-postmeddelanden från det skadade kontot utan att motsvarande e-postmeddelanden finns i mappen Skickat hos avsändaren.
- Förekomsten av inkorgsregler som inte har skapats av den avsedda användaren eller administratören. Reglerna kan automatiskt vidarebefordra e-postmeddelanden till okända adresser eller flytta dem till någon av mapparna Anteckningar, Skräppost eller RSS-prenumerationer.
- Användarens visningsnamn kan ändras i den globala adresslistan.
- Användarens postlåda hindras från att skicka e-post.
- Mapparna Skickat och Borttaget i Microsoft Outlook eller Outlook på webben (tidigare Outlook Web App) innehåller vanliga meddelanden för hackade konton, t. ex. ”Jag är fast i London, skicka pengar”.
- Ovanliga profiländringar av t.ex. namn eller telefonnummer, eller uppdatering av postnumret.
- Ovanliga ändringar av autentiseringsuppgifter, till exempel flera ändringar av lösenordet krävs.
- Vidarebefordring av e-post har lagts till nyligen.
- En ovanlig signatur har nyligen lagts till, t.ex. en förfalskad banksignatur eller en signatur för ett receptbelagt läkemedel.
Om en användare rapporterar något av ovanstående symptom bör du utföra ytterligare utredningar. På Microsoft 365 Defender-portalen och Azure Portal finns verktyg som hjälper dig att undersöka aktiviteten för ett användarkonto som du misstänker kan ha komprometterats.
Enhetliga granskningsloggar i Microsoft 365 Defender-portalen: Granska alla aktiviteter för det misstänkta kontot genom att filtrera resultaten för datumintervallet från före den misstänkta aktiviteten till dagens datum. Filtrera inte på aktiviteterna under sökningen. Mer information finns i Sök i granskningsloggen i efterlevnadscentret.
Inloggningsloggar för Azure AD och andra riskrapporter på Azure AD-portalen: Granska värdena i följande kolumner:
- Granska IP-adress
- inloggningsplatser
- inloggningstider
- lyckad eller misslyckad inloggning
Så kan du skydda och återställa e-postfunktionen till ett konto eller en postlåda i Microsoft 365 som misstänks ha komprometterats
Även efter att du har återskapat åtkomsten till ditt konto kan angriparen ha lagt till bakdörrsposter som gör det möjligt för angripare att återta kontrollen av kontot.
Du måste utföra alla följande steg för att återta åtkomsten till ditt konto så snabbt som möjligt, för att se till att kaparen inte återtar kontrollen av ditt konto. De här åtgärderna hjälper dig att ta bort alla eventuella bakdörrsposter som kaparen kan ha lagt till på ditt konto. När du har utfört de här stegen rekommenderar vi att du kör en viruskontroll för att se till att datorn inte är komprometterad.
Steg 1 Återställ användarens lösenord
Följ anvisningarna i återställa ett företags lösen ord för någon.
Viktigt
Skicka inte det nya lösen ordet till den avsedda användaren via e-post, eftersom angriparen fortfarande har tillgång till postlådan.
Kontrollera att lösenordet är starkt och att det innehåller gemener, versaler, minst en siffra och minst ett specialtecken.
Återanvänd aldrig något av ditt senaste fem lösenord. Även om kravet för lösenordshistorik gör att du kan återanvända ett lösenord du använt nyligen bör du välja något som angriparen inte kan gissa.
Om din lokala identitet är federerad med Microsoft 365 måste du ändra ditt lösenord lokalt och därefter informera administratören om skadan.
Se till att uppdatera applösenord. Applösenord återkallas inte automatiskt när ett lösenord för ett användarkonto återställs. Användaren ska ta bort befintliga applösenord och skapa nya. För instruktioner, se Skapa och ta bort applösenord från sidan Ytterligare säkerhetsverifiering.
Vi rekommenderar att du aktiverar multifaktorautentisering (MFA) för att förhindra kompromettering, i synnerhet för konton med administratörsbehörigheter. Mer information om MFA finns i Konfigurera multifaktorautentisering.
Steg 2 Ta bort misstänkta adresser för vidarebefordran av e-post
I administrationscentret för Microsoft 365 på https://admin.microsoft.com går du till Användare > Aktiva användare. Om du vill gå direkt till sidan Aktiva användare använder du https://admin.microsoft.com/Adminportal/Home#/users.
Hitta det aktuella användarkontot på sidan Aktiva användare och markera användaren (raden) utan att markera kryssrutan.
I den information som visas, väljer du fliken e-post.
Om värdet i avsnittet vidarebefordra e-post tillämpas klickar du på hantera e-postvidarebefordran. I Hantera e vidarebefordran flyout som visas klart vidarebefordra all e-post som skickas till denna brevlåda, och klicka sedan på Spara ändringar.
Steg 3 Inaktivera alla misstänkta inkorgsregler
Logga in i användarens postlåda med hjälp av Outlook på webben.
Klicka på kugghjulsikonen och klicka på E-post.
Klicka på Regler för inkorgen och rensning och granska reglerna.
Inaktivera eller ta bort misstänkta regler.
Steg 4 Tillåt att användaren skickar e-post
Om den misstänkt komprometterade postlådan har använts på ett otillåtet sätt för att skicka skräppost, är det sannolikt att postlådan har hindrats från att skicka e-post.
Om du vill tillåta att en postlåda skickar e-post igen följer du procedurerna i Ta bort en användare från portalen med åtkomstbegränsade användare efter att användaren har skickat skräppost.
Steg 5 valfritt: Blockera inloggning på användarkontot
Viktigt
Du kan blockera inloggning på det misstänkt komprometterade kontot tills du anser att det är säkert att aktivera åtkomst igen.
I administrationscentret för Microsoft 365 på https://admin.microsoft.com går du till Användare > Aktiva användare. Om du vill gå direkt till sidan Aktiva användare använder du https://admin.microsoft.com/Adminportal/Home#/users.
Hitta och välj användarkontot på sidan Aktiva användare, klicka på
och välj sedan Redigera inloggningsstatus.I fönstret Blockera inloggning väljer du Blockera användaren från att logga in, och klickar sedan på Spara ändringar.
Öppna Administrationscentret för Exchange (EAC) på https://admin.exchange.microsoft.com och gå till Mottagare > Postlådor. För att direkt gå till sidan Postlådor använder du https://admin.exchange.microsoft.com/#/mailboxes.
Leta upp och välj användaren på sidan Postlådor. Gör följande i den utfällbara menyn med postlådeinformation som öppnas:
- I avsnittet E-postappar väljer du Hantera inställningar för e-postappar. Blockera alla tillgängliga inställningar i den utfällbara menyn Hantera inställningar för e-postappar som visas genom att flytta växlingsknappen till höger
:
- Outlook på webben
- Outlook-skrivbordsversion (MAPI)
- Exchange-webbtjänster
- Mobil (Exchange ActiveSync)
- IMAP
- POP3
När du är klar klickar du på Spara och sedan på Stäng.
- I avsnittet E-postappar väljer du Hantera inställningar för e-postappar. Blockera alla tillgängliga inställningar i den utfällbara menyn Hantera inställningar för e-postappar som visas genom att flytta växlingsknappen till höger
Steg 6 valfritt: Ta bort det misstänkt komprometterade kontot från alla administrativa rollgrupper
Anteckning
Medlemskap i administratörsgruppen kan återställas när kontot har skyddats.
Gör följande steg i Administrationscenter för Microsoft 365 på https://admin.microsoft.com:
- Gå till användare > aktiva användare. Om du vill gå direkt till sidan Aktiva användare använder du https://admin.microsoft.com/Adminportal/Home#/users.
- Hitta och välj användarkontot på sidan Aktiva användare, klicka på
och välj sedan Hantera roller. - Ta bort alla administrativa roller som tilldelas kontot. När du är klar klickar du på Spara ändringar.
Öppna portalen Microsoft 365 Defender på https://security.microsoft.com och utför följande steg:
- Gå till behörigheter och roller > E-post- och samarbetsroller > Roller. Om du vill gå direkt till sidan Behörigheter använder du https://security.microsoft.com/emailandcollabpermissions.
- På sidan Behörigheter väljer du varje rollgrupp i listan och letar efter användarkontot i avsnittet Medlemmar i den information som visas. Om rollgruppen innehåller användarkontot gör du följande:
I avsnittet Medlemmar klickar du på Redigera.
På den utfällbara menyn Redigera Välj medlemmar som visas klickar du på Redigera.
På den utfällbara menyn Välj medlemmar som visas, klicka på Ta bort.
På den utfällbara menyn som visas väljer du användarkonto och klickar sedan på Ta bort.
När du är klar klickar du på klar Spara och sedan stänga.
Gör följande i administrationscentret för Exchange på https://admin.exchange.microsoft.com/:
- Välj Roller > Administratörsroller. Om du vill gå direkt till sidan Administratörsroller använder du https://admin.exchange.microsoft.com/#/adminRoles.
- På sidan Administratörsroller väljer du varje rollgrupp manuellt och i informationsfönstret väljer du fliken Tilldelad för att verifiera användarkontona. Om rollgruppen innehåller användarkontot gör du följande steg:
Välj användarkontot.
Klicka på
.Klicka på Spara när du är klar.
Steg 7 Valfritt: Ytterligare försiktighetsåtgärder
Var noga med att verifiera dina skickade meddelanden. Du kanske måste meddela personer i din kontaktlista att ditt konto har komprometterats. Angriparen kan ha bett om att få pengar genom så kallad förfalskning, t.ex. att du var fast i ett annat land och behövde pengar, eller så kan angriparen ha skickat ett virus för att kapa deras datorer.
Andra tjänster som har använt Exchange-kontot som ett alternativt e-postkonto kan ha komprometterats. Utför först de här stegen för din Microsoft 365-prenumeration och därefter för dina övriga konton.
Kontrollera att din kontaktinformation, t. ex. telefonnummer och adresser, är korrekt.
Skydda Microsoft 365 som en expert på cybersäkerhet
Din Microsoft 365-prenumeration innehåller kraftfulla säkerhetsfunktioner som du kan använda för att skydda dina data och dina användare. Använd Säkerhetsöversikt för Microsoft 365 – de vanligaste prioriteringarna för de första 30 dagarna, 90 dagarna och bortom för att implementera Microsofts metodtips för att skydda din Microsoft 365-klientorganisation.
- Uppgifter som ska utföras under de första 30 dagarna. De har omedelbar effekt och påverkar inte användarna i någon större utsträckning.
- Uppgifter som ska utföras inom 90 dagar. De tar lite längre tid att planera och implementera men förbättrar din säkerhet avsevärt.
- Mer än 90 dagar. De här förbättringarna uppnås under de första 90 dagarna.
Se även
- Identifiera och reparera Outlook-regler och inmatningsattacker i anpassade formulär i Microsoft 365
- Klagomålscenter för brottslighet på Internet
- Tillsynsmyndigheten för värdepapper – Bedrägerier genom nätfiske
- Om du vill rapportera skräppost direkt till Microsoft och din administratör använder du tillägget Rapportera meddelande