Svara på ett komprometterat e-postkonto

• Gäller för:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

Åtkomst till Microsoft 365-postlådor, data och andra tjänster styrs av autentiseringsuppgifter (till exempel användarnamn och lösenord eller PIN-kod). När någon annan än den avsedda användaren stjäl dessa autentiseringsuppgifter anses det associerade kontot vara komprometterat.

När en angripare stjäl autentiseringsuppgifterna och får åtkomst till kontot kan de komma åt den associerade Microsoft 365-postlådan, SharePoint-mapparna eller filerna i användarens OneDrive. Angripare använder ofta den komprometterade postlådan för att skicka e-post som den ursprungliga användaren till mottagare inom och utanför organisationen. Angripare som använder e-post för att skicka data till externa mottagare kallas dataexfiltrering.

Den här artikeln beskriver symptomen på kontointrång och hur du återfår kontrollen över det komprometterade kontot.

Symptom på ett komprometterat Microsoft-e-postkonto

Användarna kan lägga märka till och rapportera ovanliga aktiviteter i sina Microsoft 365-postlådor. Till exempel:

• Misstänkt aktivitet, till exempel saknad eller borttagen e-post.
• Användare som får e-post från det komprometterade kontot utan motsvarande e-post i avsändarens mapp Skickat .
• Inkorgsregler som inte har skapats av användaren eller administratörerna. Dessa regler kan automatiskt vidarebefordra e-post till okända adresser eller flytta meddelanden till mapparna Anteckningar, Skräppost Email eller RSS-prenumerationer.
• Användarens visningsnamn ändras i den globala adresslistan.
• Användarens postlåda hindras från att skicka e-post.
• Mapparna Skickat ellerBorttaget objekt i Microsoft Outlook eller Outlook på webben (kallades tidigare Outlook Web App) innehåller vanliga meddelanden för komprometterade konton (till exempel "Jag har fastnat i London, skicka pengar").).
• Ovanliga profiländringar. Till exempel namn, telefonnummer eller postnummeruppdateringar.
• Flera och frekventa lösenordsändringar.
• Vidarebefordring av e-post har lagts till nyligen.
• Ovanliga signaturer har nyligen lagts till. Till exempel en falsk banksignatur eller en signatur för receptbelagda läkemedel.

Om en användare rapporterar dessa symtom eller andra ovanliga symtom bör du undersöka detta. Microsoft Defender-portalen och Azure Portal erbjuder följande verktyg som hjälper dig att undersöka misstänkt aktivitet på ett användarkonto.

• Enhetliga granskningsloggar i Microsoft Defender-portalen: Filtrera loggarna för aktivitet med ett datumintervall som startar omedelbart innan den misstänkta aktiviteten inträffade i dag. Filtrera inte på specifika aktiviteter under sökningen. Mer information finns i Search granskningsloggen.

• Microsoft Entra inloggningsloggar och andra riskrapporter i Microsoft Entra administrationscenter: Granska värdena i dessa kolumner:

  • Granska IP-adress
  • inloggningsplatser
  • inloggningstider
  • lyckad eller misslyckad inloggning

Viktigt

Med följande knapp kan du testa och identifiera misstänkt kontoaktivitet. Du kan använda den här informationen för att återställa ett komprometterat konto.

Kör tester: Komprometterade konton

Skydda och återställa e-postfunktionen till ett komprometterat Microsoft 365-konto och en postlåda

Även när användaren har återfått åtkomsten till sitt konto kan angriparen ha kvar poster i bakdörren som gör att angriparen kan återuppta kontrollen över kontot.

Utför alla följande steg för att återfå kontrollen över kontot. Gå igenom stegen så fort du misstänker ett problem och så snabbt som möjligt för att se till att angriparen inte återupptar kontrollen över kontot. De här stegen hjälper dig också att ta bort eventuella bakdörrsposter som angriparen kan ha lagt till i kontot. När du har gjort de här stegen rekommenderar vi att du kör en virusgenomsökning för att se till att klientdatorn inte komprometteras.

Steg 1: Återställa användarens lösenord

Följ anvisningarna i återställa ett företags lösen ord för någon.

Viktigt

• Skicka inte det nya lösenordet till användaren via e-post, eftersom angriparen fortfarande har åtkomst till postlådan just nu.

• Se till att använda ett starkt lösenord: versaler och gemener, minst ett tal och minst ett specialtecken.

• Även om kravet på lösenordshistorik tillåter det ska du inte återanvända något av de senaste fem lösenorden. Använd ett unikt lösenord som angriparen inte kan gissa sig till.

• Om den lokala identiteten federeras med Microsoft 365 måste du ändra lösenordet för det lokala kontot lokalt och sedan meddela administratören om kompromettering.

• Se till att uppdatera applösenord. Applösenord återkallas inte automatiskt när du återställer lösenordet. Användaren ska ta bort befintliga applösenord och skapa nya. Anvisningar finns i Hantera applösenord för tvåstegsverifiering.

• Vi rekommenderar starkt att du aktiverar multifaktorautentisering (MFA) för kontot. MFA är ett bra sätt att förhindra att konton komprometteras och är mycket viktigt för konton med administratörsbehörighet. Anvisningar finns i Konfigurera multifaktorautentisering.

Steg 2: Ta bort misstänkta e-postadresser för vidarebefordran av e-post

1. I Administrationscenter för Microsoft 365 på https://admin.microsoft.comgår du till Användare>Aktiva användare. Om du vill gå direkt till sidan Aktiva användare använder du https://admin.microsoft.com/Adminportal/Home#/users.

2. På sidan Aktiva användare letar du upp användarkontot och markerar det genom att klicka någon annanstans på raden än kryssrutan bredvid namnet.

3. I den utfällbara menyn information som öppnas väljer du fliken E-post .

4. Värdet som används i avsnittet Email vidarebefordring anger att vidarebefordran av e-post har konfigurerats för kontot.

   Välj Hantera vidarebefordran av e-post, avmarkera kryssrutan Vidarebefordra all e-post som skickas till den här postlådan i den utfällbara menyn Hantera vidarebefordran av e-post som öppnas och välj sedan Spara ändringar.

Steg 3: Inaktivera misstänkta inkorgsregler

1. Logga in i användarens postlåda med hjälp av Outlook på webben.

2. Välj Inställningar (kugghjulsikon), ange "regler" i rutan Search och välj sedan Inkorgsregler i resultatet.

3. På fliken Regler i den utfällbara menyn som öppnas granskar du de befintliga reglerna och inaktiverar eller tar bort eventuella misstänkta regler.

Steg 4: Avblockera användaren från att skicka e-post

Om kontot användes för att skicka skräppost eller en stor mängd e-post är det troligt att postlådan har blockerats från att skicka e-post.

Om du vill avblockera en postlåda från att skicka e-post följer du procedurerna i Ta bort blockerade användare från sidan Begränsade entiteter.

Steg 5 valfritt: Blockera inloggning på användarkontot

Viktigt

Du kan blockera kontot från att logga in tills du tror att det är säkert att återaktivera åtkomst.

1. Utför följande steg i Administrationscenter för Microsoft 365 på https://admin.microsoft.com:

   1. Gå till Användare>Aktiva användare. Om du vill gå direkt till sidan Aktiva användare använder du https://admin.microsoft.com/Adminportal/Home#/users.
   2. På sidan Aktiva användare letar du upp och väljer användarkontot i listan genom att utföra något av följande steg:
      • Markera användaren genom att klicka någonstans på raden förutom kryssrutan bredvid namnet. I den utfällbara menyn information som öppnas väljer du Blockera inloggning högst upp i den utfällbara menyn.
      • Markera användaren genom att markera kryssrutan bredvid namnet. Välj Fler åtgärder>Redigera inloggningsstatus.
   3. I den utfällbara menyn Blockera inloggning som öppnas läser du informationen, väljer Blockera den här användaren från att logga in, väljer Spara ändringar och väljer sedan Stäng överst i den utfällbara menyn.

2. Utför följande steg i Administrationscenter för Exchange (EAC) på https://admin.exchange.microsoft.com:

   1. Gå till Mottagares>postlådor. Om du vill gå direkt till sidan Postlådor använder du https://admin.exchange.microsoft.com/#/mailboxes.
   2. På sidan Postlådor letar du upp och väljer användaren i listan genom att utföra något av följande steg:
      • Markera användaren genom att klicka någon annanstans på raden än den runda kryssrutan som visas bredvid namnet.
      • Markera användaren genom att markera den runda kryssrutan som visas bredvid namnet och sedan välja åtgärden Redigera som visas på sidan.
   3. Gör följande i den utfällbara menyn med information:

      1. Kontrollera att fliken Allmänt är markerad och välj sedan Hantera inställningar för e-postappar i avsnittet Email appar & mobila enheter.

      2. I den utfällbara menyn Hantera inställningar för e-postappar som öppnas inaktiverar du alla tillgängliga inställningar genom att ändra växlingsknapparna till Inaktiverad:

         • Outlook-skrivbordsversion (MAPI)
         • Exchange-webbtjänster
         • Mobil (Exchange ActiveSync)
         • IMAP
         • POP3
         • Outlook på webben

         När du är klar med den utfällbara menyn Hantera inställningar för e-postappar väljer du Spara och sedan Stäng överst i den utfällbara menyn.

Steg 6 valfritt: Ta bort det misstänkt komprometterade kontot från alla administrativa rollgrupper

Obs!

Du kan återställa användarens medlemskap i administrativa rollgrupper när kontot har skyddats.

1. Gör följande steg i Administrationscenter för Microsoft 365 på https://admin.microsoft.com:

   1. Gå till Användare>Aktiva användare. Om du vill gå direkt till sidan Aktiva användare använder du https://admin.microsoft.com/Adminportal/Home#/users.

   2. På sidan Aktiva användare letar du upp och väljer användarkontot i listan genom att utföra något av följande steg:

      • Markera användaren genom att klicka någonstans på raden förutom kryssrutan bredvid namnet. I den utfällbara menyn med information som öppnas kontrollerar du att fliken Konto är markerad och väljer sedan Hantera roller i avsnittet Roller .
      • Markera användaren genom att markera kryssrutan bredvid namnet. Välj Fler åtgärder>Hantera roller.

   3. I den utfällbara menyn Hantera administratörsroller som öppnas gör du följande:

      • Registrera all information som du vill återställa senare.
      • Ta bort administratörsrollmedlemskap genom att välja Användare (ingen åtkomst till administrationscentret).

      När du är klar med den utfällbara menyn Hantera administratörsroller väljer du Spara ändringar.

2. Gör följande i Microsoft Defender-portalen påhttps://security.microsoft.com:

   1. Gå till Behörigheter>Email & samarbetsroller>Roller. Om du vill gå direkt till sidan Behörigheter använder du https://security.microsoft.com/emailandcollabpermissions.
   2. På sidan Behörigheter väljer du en rollgrupp i listan.
   3. Leta efter användarkontot i avsnittet Medlemmar i den utfällbara menyn med information som öppnas. Om rollgruppen innehåller användarkontot gör du följande steg:
      1. I avsnittet Medlemmar väljer du Redigera.
      2. På fliken Välj medlemmar i den utfällbara menyn som öppnas väljer du Redigera.
      3. I den utfällbara menyn Välj medlemmar som öppnas väljer du Ta bort.
      4. I avsnittet Medlemmar som visas markerar du användarkontot genom att markera kryssrutan bredvid namnet, välja Ta bort och sedan välja Klar.
      5. I den utfällbara menyn Redigera välj medlemmar väljer du Spara.
      6. I den utfällbara menyn med rollgruppsinformation väljer du Stäng.
   4. Upprepa föregående steg för varje rollgrupp i listan.

3. Gör följande i administrationscentret för Exchange på https://admin.exchange.microsoft.com/:

   1. Gå till Roller>Admin roller. Om du vill gå direkt till sidan Admin roller använder du https://admin.exchange.microsoft.com/#/adminRoles.

   2. På sidan Admin roller markerar du en rollgrupp i listan genom att klicka någon annanstans på raden än den runda kryssrutan som visas bredvid namnet.

   3. I den utfällbara menyn Information som öppnas väljer du fliken Tilldelad och letar sedan efter användarkontot. Om rollgruppen innehåller användarkontot gör du följande steg:

      1. Välj användarkontot.
      2. Välj åtgärden Ta bort som visas, välj Ja, ta bort i varningsdialogrutan och välj sedan Stäng överst i den utfällbara menyn.

   4. Upprepa föregående steg för varje rollgrupp i listan.

Steg 7 Valfritt: Ytterligare försiktighetsåtgärder

1. Kontrollera innehållet i mappen Skickat objekt för kontot i Outlook eller Outlook på webben.

   Du kan behöva informera personer i kontaktlistan om att ditt konto har komprometterats. Angriparen kan till exempel ha skickat meddelanden som ber dina kontakter om pengar, eller så kan angriparen ha skickat ett virus för att kapa sina datorer.

2. Kontona för andra tjänster som använder det här kontot som ett alternativt e-postkonto kan också ha komprometterats. När du har vidtagit stegen i den här artikeln för kontot i den här Microsoft 365-organisationen utför du de här stegen för dina andra konton.

3. Kontrollera kontaktuppgifterna (till exempel telefonnummer och adresser) för kontot.

Se även

• Identifiera och reparera Outlook-regler och inmatningsattacker i anpassade formulär i Microsoft 365
• Identifiera och åtgärda otillåtna medgivandebidrag
• Klagomålscenter för brottslighet på Internet
• Tillsynsmyndigheten för värdepapper – Bedrägerier genom nätfiske
• Om du vill rapportera skräppost direkt till Microsoft och din administratör använder du tillägget Rapportera meddelande