Svar på en kompromitteret mailkonto

• Gælder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.

Legitimationsoplysninger styrer adgangen til Microsoft 365-postkasser, -data og andre tjenester. Når nogen stjæler disse legitimationsoplysninger, anses den tilknyttede konto for at være kompromitteret.

Når en hacker stjæler legitimationsoplysningerne og får adgang til kontoen, kan vedkommende få adgang til den tilknyttede Microsoft 365-postkasse, SharePoint-mapper eller -filer i brugerens OneDrive. Personer med ondsindede hensigter bruger ofte den kompromitterede postkasse til at sende mail som den oprindelige bruger til modtagere i og uden for organisationen. Personer med ondsindede hensigter, der bruger mail til at sende data til eksterne modtagere, kaldes dataudfiltrering.

I denne artikel forklares symptomerne på kompromitteret konto, og hvordan du får kontrol over den kompromitterede konto igen.

Symptomer på en kompromitteret Microsoft-mailkonto

Brugerne bemærker og rapporterer muligvis usædvanlig aktivitet i deres Microsoft 365-postkasser. Det kan f.eks. være:

• Mistænkelig aktivitet, f.eks. manglende eller slettet mail.
• Brugere, der modtager mail fra den kompromitterede konto uden den tilsvarende mail i afsenderens mappe Sendt post .
• Mistænkelige indbakkeregler. Disse regler kan automatisk videresende mails til ukendte adresser eller flytte meddelelser til mapperne Noter, Uønsket mail eller RSS-abonnementer .
• Brugerens viste navn ændres på den globale adresseliste.
• Brugerens postkasse er blokeret, så den ikke kan sende mail.
• Mapperne Sendt post eller Slettet post i Microsoft Outlook eller Outlook på internettet (tidligere kaldet Outlook Web App) indeholder typiske meddelelser om kompromitterede konti (f.eks. "Jeg sidder fast i London, sender penge.").
• Usædvanlige profilændringer. Det kan f.eks. være opdateringer af navn, telefonnummer eller postnummer.
• Flere og hyppige adgangskodeændringer.
• Videresendelse af eksterne mails for nylig.
• Usædvanlige mailsignaturer. For eksempel en falsk banksignatur eller en recept medikamentsignatur.

Du skal straks undersøge, om en bruger rapporterer disse eller andre usædvanlige symptomer. Portalen Microsoft Defender og Azure Portal indeholder følgende værktøjer, der kan hjælpe dig med at undersøge mistænkelig aktivitet på en brugerkonto:

• Samlede overvågningslogge på Microsoft Defender portalen: Filtrer loggene for aktivitet ved hjælp af et datointerval, der starter umiddelbart før den mistænkelige aktivitet indtraf i dag. Filtrer ikke på bestemte aktiviteter under søgningen. Du kan finde flere oplysninger i Søg i overvågningsloggen.

• Microsoft Entra logonlogge og andre risikorapporter i Microsoft Entra-administrationscenter: Undersøg værdierne i disse kolonner:

  • Gennemse IP-adresse
  • logonplaceringer
  • logontider
  • Logon lykkedes eller mislykkedes

Vigtigt!

Med følgende knap kan du teste og identificere mistænkelig kontoaktivitet. Du kan bruge disse oplysninger til at gendanne en kompromitteret konto.

Kør test: Kompromitterede konti

Sikker og gendan mailfunktion til en kompromitteret Microsoft 365-konto og -postkasse

Selv efter at brugeren har fået adgang til sin konto igen, kan hackeren efterlade back-door-poster, der kan få kontrol over kontoen igen.

Gør alle følgende trin for at få kontrol over kontoen igen. Gennemgå trinnene, så snart du har mistanke om et problem, og så hurtigt som muligt for at sikre, at hackeren ikke får kontrol over kontoen igen. Disse trin hjælper dig også med at fjerne alle bagdørsposter, som hackeren har føjet til kontoen. Når du har udført disse trin, anbefaler vi, at du kører en virusscanning for at sikre, at klientcomputeren ikke kompromitteres.

Trin 1: Nulstil brugerens adgangskode

Følg procedurerne i Nulstil en virksomhedsadgangskode for en person.

Vigtigt!

• Send ikke den nye adgangskode til brugeren via mail, fordi hackeren stadig har adgang til postkassen på nuværende tidspunkt.

• Sørg for at bruge en stærk adgangskode: store og små bogstaver, mindst ét tal og mindst ét specialtegn.

• Selvom kravet om adgangskodehistorik tillader det, skal du ikke genbruge nogen af de sidste fem adgangskoder. Brug en entydig adgangskode, som hackeren ikke kan gætte.

• Hvis brugerens identitet er sammenkædet med Microsoft 365, skal du ændre kontoens adgangskode i det lokale miljø og derefter underrette administratoren om kompromiset.

• Sørg for at opdatere appadgangskoder. Appadgangskoder tilbagekaldes ikke automatisk, når du nulstiller adgangskoden. Brugeren skal slette eksisterende appadgangskoder og oprette nye. Du kan finde instruktioner under Administrer appadgangskoder for at få bekræftet to trin.

• Vi anbefaler på det kraftigste, at du aktiverer multifaktorgodkendelse for kontoen. MFA er en god måde at hjælpe med at forhindre, at kontoen kompromitteres, og det er meget vigtigt for konti med administrative rettigheder. Du kan finde instruktioner under Konfigurer multifaktorgodkendelse.

Trin 2: Fjern mistænkelige mailadresser til videresendelse af mail

1. I Microsoft 365 Administration på https://admin.microsoft.comskal du gå til Brugere>Aktive brugere. Du kan også gå direkte til siden Aktive brugere ved at bruge https://admin.microsoft.com/Adminportal/Home#/users.

2. Find brugerkontoen på siden Aktive brugere , og vælg den ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for navnet.

3. I det pop op-vindue med detaljer, der åbnes, skal du vælge fanen Mail .

4. Under fanen Mail angiver værdien Anvendt i afsnittet Videresendelse af mail , at videresendelse af mail er konfigureret på kontoen. Benyt følgende fremgangsmåde for at fjerne den:

   • Vælg Administrer videresendelse af mail.
   • I pop op-vinduet Administrer videresendelse af mail , der åbnes, skal du fjerne markeringen i afkrydsningsfeltet Videresend alle mails, der er sendt til denne postkasse , og derefter vælge Gem ændringer.

Trin 3: Deaktiver mistænkelige indbakkeregler

1. Log på brugerens postkasse ved hjælp af Outlook på internettet.

2. Vælg Indstillinger (tandhjulsikon), angiv 'regler' i feltet Søgeindstillinger , og vælg derefter Indbakkeregler i resultaterne.

3. I pop op-vinduet Regler , der åbnes, skal du gennemse de eksisterende regler og deaktivere eller slette eventuelle mistænkelige regler.

Trin 4: Fjern blokeringen af brugeren fra at sende mail

Hvis kontoen blev brugt til at sende spam eller en stor mængde mail, er det sandsynligt, at postkassen er blokeret, så den ikke kan sende mails.

Hvis du vil fjerne blokeringen af en postkasse fra at sende mail, skal du følge procedurerne i Fjern blokerede brugere fra siden Begrænsede enheder.

Trin 5 Valgfrit: Bloker brugerkontoen fra at logge på

Vigtigt!

Du kan blokere kontoen fra at logge på, indtil du mener, at det er sikkert at aktivere adgangen igen.

1. Benyt følgende fremgangsmåde i Microsoft 365 Administration på https://admin.microsoft.com:

   1. Gå til Brugere>Aktive brugere. Du kan også gå direkte til siden Aktive brugere ved at bruge https://admin.microsoft.com/Adminportal/Home#/users.
   2. På siden Aktive brugere skal du finde og vælge brugerkontoen på listen ved at gøre et af følgende trin:
      • Markér brugeren ved at klikke et vilkårligt sted i rækken ud for navnet. I pop op-vinduet med detaljer, der åbnes, skal du vælge Bloker logon øverst i pop op-vinduet.
      • Vælg brugeren ved at markere afkrydsningsfeltet ud for navnet. Vælg Flere handlinger>Rediger logonstatus.
   3. I pop op-vinduet Bloker logon , der åbnes, skal du læse oplysningerne, vælge Bloker denne bruger fra at logge på, vælge Gem ændringer og derefter vælge Luk øverst i pop op-vinduet.

2. Benyt følgende fremgangsmåde i Exchange Administration (EAC) på https://admin.exchange.microsoft.com:

   1. Gå til Modtageres>postkasser. Du kan også gå direkte til siden Postkasser ved at bruge https://admin.exchange.microsoft.com/#/mailboxes.

   2. På siden Administrer postkasser skal du søge efter og vælge brugeren på listen ved at klikke et vilkårligt sted i rækken ud for det runde afkrydsningsfelt, der vises ud for navnet.

   3. I pop op-vinduet med detaljer, der åbnes, skal du gøre følgende:

      1. Kontrollér, at fanen Generelt er valgt, og vælg derefter Administrer indstillinger for mailapps i afsnittet Mailapps & mobilenheder .
      2. I pop op-vinduet Administrer indstillinger for mailapps , der åbnes, skal du deaktivere alle de tilgængelige indstillinger ved at ændre til/fra-knappen til Deaktiveret:
         • Outlook Desktop (MAPI)
         • Exchange-webtjenester
         • Mobil (Exchange ActiveSync)
         • IMAP
         • POP3
         • Outlook på internettet

      Når du er færdig i pop op-vinduet Administrer indstillinger for mailapps , skal du vælge Gem og derefter vælge Luk øverst i pop op-vinduet.

Trin 6 Valgfrit: Fjern den formodede kompromitterede konto fra alle administrative roller

Bemærk!

Du kan gendanne brugerens medlemskab i administrative roller, når kontoen er blevet beskyttet.

1. Benyt følgende fremgangsmåde i Microsoft 365 Administration på https://admin.microsoft.com:

   1. Gå til Brugere>Aktive brugere. Du kan også gå direkte til siden Aktive brugere ved at bruge https://admin.microsoft.com/Adminportal/Home#/users.

   2. På siden Aktive brugere skal du finde og vælge brugerkontoen på listen ved at gøre et af følgende trin:

      • Markér brugeren ved at klikke et vilkårligt sted i rækken ud for navnet. I pop op-vinduet med detaljer, der åbnes, skal du kontrollere, at fanen Konto er valgt, og derefter vælge Administrer roller i afsnittet Roller .
      • Vælg brugeren ved at markere afkrydsningsfeltet ud for navnet. Vælg Flere handlinger>Administrer roller.

   3. I pop op-vinduet Administrer administratorroller , der åbnes, skal du gøre følgende:

      • Registrer de oplysninger, du vil gendanne senere.
      • Fjern medlemskab af administrativ rolle ved at vælge Bruger (ingen adgang til Administration).

      Når du er færdig i pop op-vinduet Administrer administratorroller , skal du vælge Gem ændringer.

2. Benyt følgende fremgangsmåde i Microsoft Defender-portalen på https://security.microsoft.com:

   1. Gå til Mail med tilladelser>& samarbejdsroller>. Du kan også gå direkte til siden Tilladelser ved at bruge https://security.microsoft.com/emailandcollabpermissions.

   2. På siden Tilladelser skal du vælge en rollegruppe på listen ved at markere afkrydsningsfeltet ud for navnet (f.eks . Organisationsadministration) og derefter vælge Rediger handling, der vises.

   3. Gennemse listen over medlemmer på siden Rediger medlemmer af rollegruppen , der åbnes. Hvis rollegruppen indeholder brugerkontoen, skal du fjerne brugeren ved at markere afkrydsningsfeltet ud for navnet og derefter vælge Fjern medlemmer.

      Når du er færdig på siden Rediger medlemmer af rollegruppen , skal du vælge Næste

   4. Gennemse oplysningerne på siden Gennemse rollegruppen og afslut , og vælg derefter Gem.

   5. Gentag de forrige trin for hver rollegruppe på listen.

3. Gør følgende i Exchange Administration på https://admin.exchange.microsoft.com/:

   1. Gå til Roller>Administration roller. Du kan også gå direkte til siden med Administration roller ved at bruge https://admin.exchange.microsoft.com/#/adminRoles.

   2. På siden Administration roller skal du vælge en rollegruppe på listen ved at klikke et andet sted i rækken end det runde afkrydsningsfelt, der vises ud for navnet.

   3. I pop op-vinduet med detaljer, der åbnes, skal du vælge fanen Tildelt og derefter søge efter brugerkontoen. Hvis rollegruppen indeholder brugerkontoen, skal du gøre følgende:

      1. Vælg brugerkontoen ved at markere afkrydsningsfeltet afrundet ud for navnet.
      2. Vælg handlingen Slet, der vises, vælg Ja, fjern i advarselsdialogboksen, og vælg derefter Luk øverst i pop op-vinduet.

   4. Gentag de forrige trin for hver rollegruppe på listen.

Trin 7 Valgfrit: Yderligere forholdsregler

1. Kontrollér indholdet af mappen Sendt post for kontoen i Outlook eller Outlook på internettet.

   Du skal muligvis informere brugerens kontakter om, at kontoen er blevet kompromitteret. Hackeren kan f.eks. have sendt meddelelser, der beder kontakter om penge, eller hackeren kan have sendt en virus for at kapre deres computere.

2. Andre tjenester, der bruger denne konto som en alternativ mailadresse, kan også blive kompromitteret. Når du har gjort trinnene i denne artikel for kontoen i denne Microsoft 365-organisation, skal du udføre de tilsvarende trin i de andre tjenester.

3. Kontrollér kontaktoplysningerne (f.eks. telefonnumre og adresser) for kontoen.

Se også

• Registrer og afhjælp Outlook-regler og brugerdefinerede Forms injektionsangreb i Microsoft 365
• Tilskuddet til registrering og afhjælpning af ulovligt samtykke
• Internet Crime Complaint Center
• Securities and Exchange Commission – "Phishing" Fraud
• Brug tilføjelsesprogrammet Rapportmeddelelse til at rapportere spammail direkte til Microsoft og/eller administratorer (afhængigt af hvordan brugerrapporterede indstillinger er konfigureret).