Svare på en kompromittert e-postkonto

• Gjelder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

Tilgang til Microsoft 365-postbokser, data og andre tjenester kontrolleres av legitimasjon (for eksempel et brukernavn og et passord eller en PIN-kode). Når noen andre enn den tiltenkte brukeren stjeler denne legitimasjonen, anses den tilknyttede kontoen å være kompromittert.

Når en angriper stjeler legitimasjonen og får tilgang til kontoen, får vedkommende tilgang til den tilknyttede Microsoft 365-postboksen, SharePoint-mapper eller filer i brukerens OneDrive. Angripere bruker ofte den kompromitterte postboksen til å sende e-post som den opprinnelige brukeren til mottakere i og utenfor organisasjonen. Angripere som bruker e-post til å sende data til eksterne mottakere, kalles dataeksfiltrering.

Denne artikkelen forklarer symptomene på kontokompromisser og hvordan du kan gjenvinne kontrollen over den kompromitterte kontoen.

Symptomer på en kompromittert Microsoft-e-postkonto

Brukere legger kanskje merke til og rapporterer uvanlig aktivitet i Microsoft 365-postboksene sine. Eksempel:

• Mistenkelig aktivitet, for eksempel manglende eller slettet e-post.
• Brukere som mottar e-post fra den kompromitterte kontoen uten tilsvarende e-post i avsenderens Sendte elementer-mappe .
• Innboksregler som ikke ble opprettet av brukeren eller administratorene. Disse reglene kan automatisk videresende e-post til ukjente adresser eller flytte meldinger til mappene Notater, Søppelpost eller RSS-abonnementer .
• Brukerens visningsnavn endres i den globale adresselisten.
• Brukerens postboks er blokkert fra å sende e-post.
• Mappene Sendte elementer eller Slettede elementer i Microsoft Outlook eller Outlook på nettet (tidligere kjent som Outlook Web App) inneholder vanlige meldinger for kompromitterte kontoer (for eksempel «Jeg sitter fast i London, send penger»).
• Uvanlige profilendringer. Eksempel: navn, telefonnummer eller postnummeroppdateringer.
• Flere og hyppige passordendringer.
• Videresending av e-post ble nylig lagt til.
• Uvanlige signaturer ble nylig lagt til. For eksempel, en falsk bank signatur eller en reseptbelagte narkotika signatur.

Hvis en bruker rapporterer disse symptomene eller andre uvanlige symptomer, bør du undersøke. Portalen Microsoft Defender og Azure Portal tilbyr følgende verktøy for å hjelpe deg med å undersøke mistenkelig aktivitet på en brukerkonto.

• Enhetlige overvåkingslogger i Microsoft Defender-portalen: Filtrer loggene for aktivitet ved hjelp av et datoområde som starter umiddelbart før den mistenkelige aktiviteten skjedde i dag. Ikke filtrer etter bestemte aktiviteter under søket. Hvis du vil ha mer informasjon, kan du se Søk overvåkingsloggen.

• Microsoft Entra påloggingslogger og andre risikorapporter i Microsoft Entra administrasjonssenter: Undersøk verdiene i disse kolonnene:

  • Se gjennom IP-adresse
  • påloggingsplasseringer
  • påloggingstider
  • vellykket eller mislykket pålogging

Viktig

Med følgende knapp kan du teste og identifisere mistenkelig kontoaktivitet. Du kan bruke denne informasjonen til å gjenopprette en kompromittert konto.

Kjør tester: Kompromitterte kontoer

Funksjonen Sikre og gjenopprette e-post til en kompromittert Microsoft 365-konto og -postboks

Selv etter at brukeren har fått tilgang til kontoen sin igjen, kan angriperen ha forlatt bakdøroppføringer som gjør at angriperen kan gjenoppta kontrollen over kontoen.

Gjør alle følgende trinn for å få tilbake kontrollen over kontoen. Gå gjennom trinnene så snart du mistenker et problem, og så raskt som mulig for å sikre at angriperen ikke gjenopptar kontrollen over kontoen. Disse trinnene hjelper deg også med å fjerne eventuelle bakdøroppføringer som angriperen kan ha lagt til kontoen. Når du har gjort disse trinnene, anbefaler vi at du kjører en virusskanning for å sikre at klientdatamaskinen ikke er kompromittert.

Trinn 1: Tilbakestille brukerens passord

Følg fremgangsmåtene i Tilbakestill et bedriftspassord for noen.

Viktig

• Ikke send det nye passordet til brukeren via e-post, fordi angriperen fremdeles har tilgang til postboksen på dette tidspunktet.

• Pass på at du bruker et sterkt passord: store og små bokstaver, minst ett tall og minst ett spesialtegn.

• Selv om passordloggkravet tillater det, må du ikke bruke noen av de siste fem passordene på nytt. Bruk et unikt passord som angriperen ikke kan gjette.

• Hvis den lokale identiteten er i forbund med Microsoft 365, må du endre det lokale kontopassordet lokalt og deretter varsle administratoren om kompromisset.

• Pass på å oppdatere app-passord. App-passord tilbakekalles ikke automatisk når du tilbakestiller passordet. Brukeren bør slette eksisterende app-passord og opprette nye. Hvis du vil ha instruksjoner, kan du se Administrere app-passord for totrinnskontroll.

• Vi anbefaler på det sterkeste at du aktiverer godkjenning med flere faktorer (MFA) for kontoen. MFA er en god måte å forhindre kontokompromisse på, og er svært viktig for kontoer med administrative rettigheter. Hvis du vil ha instruksjoner, kan du se Konfigurere godkjenning med flere faktorer.

Trinn 2: Fjerne mistenkelige adresser for videresending av e-post

1. Gå til Aktive brukere for brukere> i Administrasjonssenter for Microsoft 365 på .https://admin.microsoft.com Du kan også gå direkte til siden Aktive brukere ved å bruke https://admin.microsoft.com/Adminportal/Home#/users.

2. Finn brukerkontoen på Aktive brukere-siden , og velg den ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet.

3. Velg E-post-fanen i undermenyen for detaljer som åpnes.

4. Verdien som brukes i videresendingsdelen for e-post angir at videresending av e-post er konfigurert på kontoen.

   Velg Behandle videresending av e-post, fjern merket for Videresend all e-post som sendes til denne postboksen , i undermenyen Behandle videresending av e-post som åpnes, og velg deretter Lagre endringer.

Trinn 3: Deaktiver mistenkelige innboksregler

1. Logg på brukerens postboks ved hjelp av Outlook på nettet.

2. Velg Innstillinger (tannhjulikon), skriv inn «regler» i Søk-boksen, og velg deretter Innboksregler fra resultatene.

3. Se gjennom eksisterende regler på Regler-fanen i undermenyen som åpnes, og deaktiver eller slett eventuelle mistenkelige regler.

Trinn 4: Oppheve blokkeringen av brukeren fra å sende e-post

Hvis kontoen ble brukt til å sende søppelpost eller et stort volum av e-post, er det sannsynlig at postboksen er blokkert fra å sende e-post.

Hvis du vil oppheve blokkeringen av en postboks fra å sende e-post, følger du fremgangsmåten i Fjern blokkerte brukere fra siden Begrensede enheter.

Trinn 5 Valgfritt: Blokkere brukerkontoen fra å logge på

Viktig

Du kan blokkere kontoen fra å logge på til du mener det er trygt å aktivere tilgang på nytt.

1. Gjør følgende i Administrasjonssenter for Microsoft 365 på https://admin.microsoft.com:

   1. Gå til Aktive brukere>. Du kan også gå direkte til siden Aktive brukere ved å bruke https://admin.microsoft.com/Adminportal/Home#/users.
   2. Finn og velg brukerkontoen fra listen på Aktive brukere-siden ved å gjøre ett av følgende trinn:
      • Velg brukeren ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet. Velg Blokker pålogging øverst i undermenyen for detaljer som åpnes.
      • Velg brukeren ved å merke av i avmerkingsboksen ved siden av navnet. Velg Flere handlinger>Rediger påloggingsstatus.
   3. Les informasjonen i undermenyen Blokker pålogging som åpnes, og velg Blokker denne brukeren fra å logge på, velg Lagre endringer, og velg deretter Lukk øverst i undermenyen.

2. Gjør følgende i administrasjonssenteret for Exchange (EAC) på https://admin.exchange.microsoft.com:

   1. Gå til mottakeres>postbokser. Hvis du vil gå direkte til Postbokser-siden , kan du bruke https://admin.exchange.microsoft.com/#/mailboxes.
   2. Finn og velg brukeren fra listen på Postbokser-siden ved å gjøre ett av følgende trinn:
      • Merk brukeren ved å klikke hvor som helst i raden bortsett fra den runde avmerkingsboksen som vises ved siden av navnet.
      • Velg brukeren ved å merke av for den runde boksen som vises ved siden av navnet, og velg deretter Rediger-handlingen som vises på siden.
   3. Gjør følgende i undermenyen for detaljer som åpnes:

      1. Kontroller at Generelt-fanen er valgt, og velg deretter Behandle innstillinger for e-postapper i delen E-postapper & mobile enheter .

      2. Deaktiver alle tilgjengelige innstillinger i undermenyen Behandle innstillinger for e-postapper som åpnes, ved å endre vekslene til Deaktivert:

         • Skrivebordsversjonen av Outlook (MAPI)
         • Exchange Nettjenester
         • Mobil (Exchange ActiveSync)
         • IMAP
         • POP3
         • Outlook på nettet

         Når du er ferdig i undermenyen Behandle innstillinger for e-postapper , velger du Lagre og deretter Lukk øverst i undermenyen.

Trinn 6 Valgfritt: Fjern den mistenkte kompromitterte kontoen fra alle administrative rollegrupper

Obs!

Du kan gjenopprette brukerens medlemskap i administrative rollegrupper etter at kontoen er sikret.

1. Gjør følgende i Administrasjonssenter for Microsoft 365 at https://admin.microsoft.com:

   1. Gå til Aktive brukere>. Du kan også gå direkte til siden Aktive brukere ved å bruke https://admin.microsoft.com/Adminportal/Home#/users.

   2. Finn og velg brukerkontoen fra listen på Aktive brukere-siden ved å gjøre ett av følgende trinn:

      • Velg brukeren ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet. Kontroller kontofanen i undermenyen for detaljer som åpnes, og velg deretter Behandle roller i Roller-delen .
      • Velg brukeren ved å merke av i avmerkingsboksen ved siden av navnet. Velg Flere handlinger>Behandle roller.

   3. Gjør følgende i undermenyen Behandle administratorroller som åpnes:

      • Registrer all informasjon du vil gjenopprette senere.
      • Fjern medlemskap i administrative roller ved å velge Bruker (ingen tilgang til administrasjonssenteret).

      Når du er ferdig med undermenyen Behandle administratorroller , velger du Lagre endringer.

2. Gjør følgende i Microsoft Defender-portalen på https://security.microsoft.com:

   1. Gå tilE-& samarbeidsroller> for tillatelser>. Hvis du vil gå direkte til siden Tillatelser, kan du bruke https://security.microsoft.com/emailandcollabpermissions.
   2. Velg en rollegruppe fra listen på Tillatelser-siden .
   3. Se etter brukerkontoen i Medlemmer-delen av undermenyen for detaljer som åpnes. Hvis rollegruppen inneholder brukerkontoen, gjør du følgende:
      1. Velg Rediger i Medlemmer-delen.
      2. Velg Rediger på Velg medlemmer-fanen i undermenyen som åpnes.
      3. Velg Fjern i undermenyen Velg medlemmer som åpnes.
      4. Merk brukerkontoen i Medlemmer-delen som vises, ved å merke av i avmerkingsboksen ved siden av navnet, velge Fjern og deretter Velge Ferdig.
      5. Velg Lagre i undermenyen Rediger velg medlemmer.
      6. Velg Lukk i undermenyen for rollegruppedetaljer.
   4. Gjenta de forrige trinnene for hver rollegruppe i listen.

3. Gjør følgende i administrasjonssenteret for Exchange på https://admin.exchange.microsoft.com/:

   1. Gå til roller>Admin roller. Eller hvis du vil gå direkte til siden Admin roller, kan du bruke https://admin.exchange.microsoft.com/#/adminRoles.

   2. Velg en rollegruppe fra listen på siden Admin roller ved å klikke hvor som helst i raden annet enn den runde avmerkingsboksen som vises ved siden av navnet.

   3. Velg Tilordnet-fanen i undermenyen for detaljer som åpnes, og se deretter etter brukerkontoen. Hvis rollegruppen inneholder brukerkontoen, gjør du følgende:

      1. Velg brukerkontoen.
      2. Velg Slett-handlingen som vises, velg Ja, fjern i advarselsdialogboksen, og velg deretter Lukk øverst på undermenyen.

   4. Gjenta de forrige trinnene for hver rollegruppe i listen.

Trinn 7 Valgfritt: Flere forholdsregler

1. Kontroller innholdet i sendte elementer-mappen for kontoen i Outlook eller Outlook på nettet.

   Du må kanskje informere personer i kontaktlisten om at kontoen din ble kompromittert. Angriperen kan for eksempel ha sendt meldinger som ber kontaktene om penger, eller angriperen kan ha sendt et virus for å kapre datamaskinene sine.

2. Kontoene for andre tjenester som bruker denne kontoen som en alternativ e-postkonto, kan også ha blitt kompromittert. Når du har gjort trinnene i denne artikkelen for kontoen i denne Microsoft 365-organisasjonen, gjør du disse trinnene for de andre kontoene.

3. Kontroller kontaktinformasjonen (for eksempel telefonnumre og adresser) for kontoen.

Se også

• Oppdage og utbedre Outlook-regler og egendefinerte Forms injeksjonsangrep i Microsoft 365
• Oppdage og utbedre ulovlige samtykketilskudd
• Klagesenter for Internett-kriminalitet
• Securities and Exchange Commission – «Phishing»-svindel
• Hvis du vil rapportere søppelpost direkte til Microsoft og administratoren, bruker du rapportmeldingstillegget