Gör så här vid dataintrång i ett Microsoft 365-konto

När lösenordet har ändrats, kontrollera alla pågående sessioner på alla enheter. Genom den här åtgärden kan du kontrollera på vilka alla enheter du är inloggad med användarnamnet i fråga. Kom ihåg att logga ut från alla sessioner för att få tillgång till det nya lösenordet och säkerställa att det inte längre är möjligt att använda det gamla lösenordet.

Välj ditt namn i din profil och välj Logga ut överallt.

Om ett användarnamn som äventyrats har administratörsrättigheter för Microsoft 365-abonnemanget, ta bort dem omedelbart. Säkerställ dock att det finns en aktiv administratörskod, så att roller och rättigheter kan hanteras. 

Angriparen kan förmedla antingen alla dina meddelanden till sin egen e-postadress eller ställa in hanteringsregler inne i e-postlådan, varvid vissa e-postmeddelanden kan styras till en annan mapp.

Kontrollera i loggarna ifall angriparen har lyckats logga in på ditt Microsoft 365-konto. I loggarna kan du se från vilken IP-adress och plats som inloggningen har gjorts samt vilka applikationer angriparen har försökt använda.

I revisionsloggar är det möjligt att se till exempel vilka dokument angriparen har öppnat, redigerat eller kopierat samt vilka tjänster angriparen har använt.

I revisionsloggarna kan en M365-administratör söka information till exempel enligt användare eller tidpunkt. 

Om användarnamnet som äventyrats har varit en administratörskod för Microsoft 365-abonnemanget eller angriparen har lyckats ge användarnamnet rättigheter på administratörsnivå ska du kontrollera om nya användarnamn har skapats för domänen eller nya applikationer har installerats på den.

Om användarnamnet som äventyrats är en administratörskod ska det tas på mycket stort allvar, eftersom man med koden har tillträde överallt i organisationens Microsoft 365-abonnemang.

I tjänsten Online Exchange kan du kontrollera om angriparen har skickat skadliga e-postmeddelanden. Du kan ladda ner rapporten i till exempel Excel, där det är enkelt att söka på mottagarnas e-postadresser.

Om skadliga e-postmeddelanden har skickats med användarnamnet som äventyrats är det viktigt att informera mottagarna om det så fort som möjligt. Nedan ett exempel på ett varningsmeddelande.

Exempel på ett varningsmeddelande

Hej,

enligt våra uppgifter har ni fått ett meddelande med rubriken _____ från adressen _____.

Det är fråga om ett bluffmeddelande som används för att fiska efter användarnamn och som har skickats från ett kapat användarnamn.

Om du har angett ditt användarnamn och lösenord på webbplatsen som öppnas via länken ska du kontakta ditt företags IKT-stöd och berätta om vad som hänt. Om ditt företag inte har IKT-stöd, handla enligt dessa anvisningar:

1. Ändra ditt lösenord genast. Efter att du ändrat lösenordet är det bra att avbryta alla pågående sessioner på alla enheter. Det är möjligt att en brottsling redan har loggat in i tjänster med ditt användarnamn. Till exempel i Microsoft 365-tjänster kan du göra det enligt den här anvisningen (Extern länk). När du tvingar inloggning i alla sessioner med nytt lösenord kan brottslingen inte längre logga in i tjänsten med ditt användarnamn.
2. Kontrollera om brottslingen har aktiverat vidarebefordring av din e-post eller ändra reglerna för hanteringen av din e-post  (Extern länk). 
3. Utred hur omfattande angreppet är beträffande personuppgifterna.
   Utred hur mycket och vilket slag av personuppgifter som läckt ut.
4. Varna organisationer och personer som fått nätfiskemeddelandet (Extern länk).
5. Gör en anmälan om dataintrånget till
   Cybersäkerhetscentret
   Polisen
   Dataombudsmannen 

Hälsningar,

• Cybersäkerhetscentret 
  Gör en anmälan till Cybersäkerhetscentret så fort som möjligt, så att vi kan hjälpa till att förhindra ytterligare skador. Du kan göra en anmälan även med bristfälliga uppgifter. Bifoga nätfiskemeddelandet du fått till anmälan. Cybersäkerhetscentret undersöker länken i meddelandet och begär att webbplatsen stängs, varvid vi kan minska antalet nya offer.
• Polisen (Extern länk)
• Dataombudsmannen (Extern länk)