Svara på ett komprometterat e-postkonto

• Gäller för:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 Abonnemang 2 kostnadsfritt? Använd den 90 dagar långa utvärderingsversionen av Defender för Office 365 på utvärderingshubben för Microsoft Defender-portalen. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

Autentiseringsuppgifter styr åtkomsten till Microsoft 365-postlådor, data och andra tjänster. När någon stjäl dessa autentiseringsuppgifter anses det associerade kontot vara komprometterat.

När en angripare stjäl autentiseringsuppgifterna och får åtkomst till kontot kan de komma åt den associerade Microsoft 365-postlådan, SharePoint-mapparna eller filerna i användarens OneDrive. Angripare använder ofta den komprometterade postlådan för att skicka e-post som den ursprungliga användaren till mottagare inom och utanför organisationen. Angripare som använder e-post för att skicka data till externa mottagare kallas dataexfiltrering.

Den här artikeln beskriver symptomen på kontointrång och hur du återfår kontrollen över det komprometterade kontot.

Symptom på ett komprometterat Microsoft-e-postkonto

Användarna kan lägga märka till och rapportera ovanliga aktiviteter i sina Microsoft 365-postlådor. Till exempel:

• Misstänkt aktivitet, till exempel saknad eller borttagen e-post.
• Användare som får e-post från det komprometterade kontot utan motsvarande e-post i avsändarens mapp Skickat .
• Misstänkta inkorgsregler. Dessa regler kan automatiskt vidarebefordra e-post till okända adresser eller flytta meddelanden till mapparna Anteckningar, Skräppost eller RSS-prenumerationer .
• Användarens visningsnamn ändras i den globala adresslistan.
• Användarens postlåda hindras från att skicka e-post.
• Mapparna Skickade objekt eller Borttagna objekt i Microsoft Outlook eller Outlook på webben (kallades tidigare Outlook Web App) innehåller vanliga meddelanden för komprometterade konton (till exempel "Jag har fastnat i London, skicka pengar").).
• Ovanliga profiländringar. Till exempel namn, telefonnummer eller postnummeruppdateringar.
• Flera och frekventa lösenordsändringar.
• Vidarebefordran av extern e-post har nyligen lagts till.
• Ovanliga e-postsignaturer. Till exempel en falsk banksignatur eller en signatur för receptbelagda läkemedel.

Du måste omedelbart undersöka om en användare rapporterar dessa eller andra ovanliga symtom. Microsoft Defender-portalen och Azure-portalen innehåller följande verktyg som hjälper dig att undersöka misstänkt aktivitet på ett användarkonto:

• Enhetliga granskningsloggar i Microsoft Defender-portalen: Filtrera loggarna för aktivitet med ett datumintervall som startar omedelbart innan den misstänkta aktiviteten inträffade i dag. Filtrera inte på specifika aktiviteter under sökningen. Mer information finns i Sök i granskningsloggen.

• Microsoft Entra-inloggningsloggar och andra riskrapporter i administrationscentret för Microsoft Entra: Granska värdena i följande kolumner:

  • Granska IP-adress
  • inloggningsplatser
  • inloggningstider
  • lyckad eller misslyckad inloggning

Viktigt

Med följande knapp kan du testa och identifiera misstänkt kontoaktivitet. Du kan använda den här informationen för att återställa ett komprometterat konto.

Kör tester: Komprometterade konton

Skydda och återställa e-postfunktionen till ett komprometterat Microsoft 365-konto och en postlåda

Även när användaren har återfått åtkomsten till sitt konto kan angriparen lämna poster som kan återfå kontrollen över kontot.

Utför alla följande steg för att återfå kontrollen över kontot. Gå igenom stegen så snart du misstänker ett problem och så snabbt som möjligt för att se till att angriparen inte återfår kontrollen över kontot. De här stegen hjälper dig också att ta bort alla poster i bakdörren som angriparen har lagt till i kontot. När du har gjort de här stegen rekommenderar vi att du kör en virusgenomsökning för att se till att klientdatorn inte komprometteras.

Steg 1: Återställa användarens lösenord

Följ anvisningarna i återställa ett företags lösen ord för någon.

Viktigt

• Skicka inte det nya lösenordet till användaren via e-post, eftersom angriparen fortfarande har åtkomst till postlådan just nu.

• Se till att använda ett starkt lösenord: versaler och gemener, minst ett tal och minst ett specialtecken.

• Även om kravet på lösenordshistorik tillåter det ska du inte återanvända något av de senaste fem lösenorden. Använd ett unikt lösenord som angriparen inte kan gissa sig till.

• Om användarens identitet är federerad med Microsoft 365 måste du ändra kontolösenordet i den lokala miljön och sedan meddela administratören om kompromettering.

• Se till att uppdatera applösenord. Applösenord återkallas inte automatiskt när du återställer lösenordet. Användaren ska ta bort befintliga applösenord och skapa nya. Anvisningar finns i Hantera applösenord för tvåstegsverifiering.

• Vi rekommenderar starkt att du aktiverar multifaktorautentisering (MFA) för kontot. MFA är ett bra sätt att förhindra att konton komprometteras och är mycket viktigt för konton med administratörsbehörighet. Anvisningar finns i Konfigurera multifaktorautentisering.

Steg 2: Ta bort misstänkta e-postadresser för vidarebefordran av e-post

1. I administrationscentret för Microsoft 365 på https://admin.microsoft.comgår du till Användare>Aktiva användare. Om du vill gå direkt till sidan Aktiva användare använder du https://admin.microsoft.com/Adminportal/Home#/users.

2. På sidan Aktiva användare letar du upp användarkontot och markerar det genom att klicka någon annanstans på raden än kryssrutan bredvid namnet.

3. I den utfällbara menyn information som öppnas väljer du fliken E-post .

4. På fliken E-post anger värdet Tillämpad i avsnittet Vidarebefordran av e-post att vidarebefordran av e-post har konfigurerats för kontot. Gör följande för att ta bort den:

   • Välj Hantera vidarebefordran av e-post.
   • I den utfällbara menyn Hantera vidarebefordran av e-post som öppnas avmarkerar du kryssrutan Vidarebefordra alla e-postmeddelanden som skickas till den här postlådan och väljer sedan Spara ändringar.

Steg 3: Inaktivera misstänkta inkorgsregler

1. Logga in i användarens postlåda med hjälp av Outlook på webben.

2. Välj Inställningar (kugghjulsikon), ange "regler" i rutan Sökinställningar och välj sedan Inkorgsregler i resultatet.

3. I den utfällbara menyn Regler som öppnas granskar du de befintliga reglerna och inaktiverar eller tar bort eventuella misstänkta regler.

Steg 4: Avblockera användaren från att skicka e-post

Om kontot användes för att skicka skräppost eller en stor mängd e-post är det troligt att postlådan blockeras från att skicka e-post.

Om du vill avblockera en postlåda från att skicka e-post följer du procedurerna i Ta bort blockerade användare från sidan Begränsade entiteter.

Steg 5 valfritt: Blockera inloggning på användarkontot

Viktigt

Du kan blockera kontot från att logga in tills du tror att det är säkert att återaktivera åtkomst.

1. Utför följande steg i administrationscentret för Microsoft 365 på https://admin.microsoft.com:

   1. Gå till Användare>Aktiva användare. Om du vill gå direkt till sidan Aktiva användare använder du https://admin.microsoft.com/Adminportal/Home#/users.
   2. På sidan Aktiva användare letar du upp och väljer användarkontot i listan genom att utföra något av följande steg:
      • Markera användaren genom att klicka någonstans på raden förutom kryssrutan bredvid namnet. I den utfällbara menyn information som öppnas väljer du Blockera inloggning högst upp i den utfällbara menyn.
      • Markera användaren genom att markera kryssrutan bredvid namnet. Välj Fler åtgärder>Redigera inloggningsstatus.
   3. I den utfällbara menyn Blockera inloggning som öppnas läser du informationen, väljer Blockera den här användaren från att logga in, väljer Spara ändringar och väljer sedan Stäng överst i den utfällbara menyn.

2. Utför följande steg i Administrationscenter för Exchange (EAC) på https://admin.exchange.microsoft.com:

   1. Gå till Mottagares>postlådor. Om du vill gå direkt till sidan Postlådor använder du https://admin.exchange.microsoft.com/#/mailboxes.

   2. På sidan Hantera postlådor letar du upp och väljer användaren i listan genom att klicka någonstans på raden förutom den runda kryssrutan som visas bredvid namnet.

   3. Gör följande i den utfällbara menyn med information:

      1. Kontrollera att fliken Allmänt är markerad och välj sedan Hantera inställningar för e-postappar i avsnittet E-postappar & mobila enheter .
      2. I den utfällbara menyn Hantera inställningar för e-postappar som öppnas inaktiverar du alla tillgängliga inställningar genom att ändra växlingsknapparna till Inaktiverad:
         • Outlook-skrivbordsversion (MAPI)
         • Exchange-webbtjänster
         • Mobil (Exchange ActiveSync)
         • IMAP
         • POP3
         • Outlook på webben

      När du är klar med den utfällbara menyn Hantera inställningar för e-postappar väljer du Spara och sedan Stäng överst i den utfällbara menyn.

Steg 6 Valfritt: Ta bort det misstänkt komprometterade kontot från alla administrativa roller

Obs!

Du kan återställa användarens medlemskap i administrativa roller när kontot har skyddats.

1. Gör följande steg i Administrationscenter för Microsoft 365 på https://admin.microsoft.com:

   1. Gå till Användare>Aktiva användare. Om du vill gå direkt till sidan Aktiva användare använder du https://admin.microsoft.com/Adminportal/Home#/users.

   2. På sidan Aktiva användare letar du upp och väljer användarkontot i listan genom att utföra något av följande steg:

      • Markera användaren genom att klicka någonstans på raden förutom kryssrutan bredvid namnet. I den utfällbara menyn med information som öppnas kontrollerar du att fliken Konto är markerad och väljer sedan Hantera roller i avsnittet Roller .
      • Markera användaren genom att markera kryssrutan bredvid namnet. Välj Fler åtgärder>Hantera roller.

   3. I den utfällbara menyn Hantera administratörsroller som öppnas gör du följande:

      • Registrera all information som du vill återställa senare.
      • Ta bort administratörsrollmedlemskap genom att välja Användare (ingen åtkomst till administrationscentret).

      När du är klar med den utfällbara menyn Hantera administratörsroller väljer du Spara ändringar.

2. Gör följande i Microsoft Defender-portalen på https://security.microsoft.com:

   1. Gå till Behörigheter>E-post & samarbetsroller>Roller. Om du vill gå direkt till sidan Behörigheter använder du https://security.microsoft.com/emailandcollabpermissions.

   2. På sidan Behörigheter väljer du en rollgrupp i listan genom att markera kryssrutan bredvid namnet (till exempel Organisationshantering) och sedan välja Redigera åtgärd som visas.

   3. Granska listan över medlemmar på sidan Redigera medlemmar i rollgruppen som öppnas. Om rollgruppen innehåller användarkontot tar du bort användaren genom att markera kryssrutan bredvid namnet och sedan välja Ta bort medlemmar.

      När du är klar på sidan Redigera medlemmar i rollgruppen väljer du Nästa

   4. Granska informationen på sidan Granska rollgruppen och slutför och välj sedan Spara.

   5. Upprepa föregående steg för varje rollgrupp i listan.

3. Gör följande i administrationscentret för Exchange på https://admin.exchange.microsoft.com/:

   1. Gå till Roller Administratörsroller>. Om du vill gå direkt till sidan Administratörsroller använder du https://admin.exchange.microsoft.com/#/adminRoles.

   2. På sidan Administratörsroller markerar du en rollgrupp i listan genom att klicka var som helst på den andra raden än den runda kryssrutan som visas bredvid namnet.

   3. I den utfällbara menyn Information som öppnas väljer du fliken Tilldelad och letar sedan efter användarkontot. Om rollgruppen innehåller användarkontot gör du följande steg:

      1. Markera användarkontot genom att markera den runda kryssrutan som visas bredvid namnet.
      2. Välj åtgärden Ta bort som visas, välj Ja, ta bort i varningsdialogrutan och välj sedan Stäng överst i den utfällbara menyn.

   4. Upprepa föregående steg för varje rollgrupp i listan.

Steg 7 Valfritt: Ytterligare försiktighetsåtgärder

1. Kontrollera innehållet i mappen Skickat objekt för kontot i Outlook eller Outlook på webben.

   Du kan behöva informera användarens kontakter om att kontot har komprometterats. Angriparen kan till exempel ha skickat meddelanden som bad kontakter om pengar, eller så kan angriparen ha skickat ett virus för att kapa sina datorer.

2. Andra tjänster som använder det här kontot som en alternativ e-postadress kan också komprometteras. När du har vidtagit stegen i den här artikeln för kontot i den här Microsoft 365-organisationen utför du motsvarande steg i de andra tjänsterna.

3. Kontrollera kontaktuppgifterna (till exempel telefonnummer och adresser) för kontot.

Se även

• Identifiera och reparera Outlook-regler och inmatningsattacker i anpassade formulär i Microsoft 365
• Identifiera och åtgärda otillåtna medgivandebidrag
• Klagomålscenter för brottslighet på Internet
• Tillsynsmyndigheten för värdepapper – Bedrägerier genom nätfiske
• Använd tillägget Rapportmeddelande för att rapportera skräppost direkt till Microsoft och/eller administratörer (beroende på hur användarrapporterade inställningar konfigureras).