Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Toimi näin Microsoft 365 -tilin tietomurron sattuessa

Ohjeessa neuvotaan, miten saat tunnuksen takaisin käyttöösi ja varoitat muita. Käymme läpi myös tunnuksen eristämisen, hyökkääjän toimien kartoittamisen sekä ennaltaehkäisevät toimenpiteet.

Tämän kohdan toimenpiteet on suunnattu kaikille käyttäjille. Ilmoita asiasta myös oman organisaation IT:hen, joka voi jatkaa asian selvittämistä ohjeiden mukaisesti.

Tunnuksen eristäminen

2: Tarkista aktiiviset istunnot

Kun salasana on vaihdettu, tarkista kaikki voimassa olevat istunnot kaikilta laitteilta. Tällä toimenpiteellä voidaan tarkistaa missä kaikkialla tunnus on kirjautuneena sisään. Muista kirjautua ulos kaikista istunnoista, jotta saat uuden salasanan käyttöösi ja varmistat, että vanhaa salasanaa ei ole enää mahdollista käyttää.

Valitse “Oma profiili”-kohdan nimen alta “Kirjaudu ulos kaikkialta”.

Hyökkääjän toimien kartoittaminen

1: Tarkista, onko hyökkääjä tehnyt sähköpostin käsittelysääntöjä tai uudelleenohjauksia

Ohjeet sääntöjen tarkistamiseen (Ulkoinen linkki)

Hyökkääjä voi välittää joko kaikki viestisi omaan sähköpostiosoitteeseen tai tehdä sähköpostilaatikon sisällä käsittelysääntöjä, jolloin tietyt sähköpostiviestit voivat ohjautua toiseen kansioon.

2: Tarkista lokeista, mitä hyökkääjä on tehnyt

Tarkista lokitiedot sen varalta, että hyökkääjä on onnistunut kirjautumaan Microsoft 365-tilillesi. Lokista näkee mistä IP-osoitteesta ja sijainnista kirjautuminen tapahtui sekä mitä sovelluksia hyökkääjä on yrittänyt käyttää.

3: Selvitä audit-lokeista hyökkääjän toimintaa dokumenteilla ja sovelluksissa

Audit-lokeista on mahdollista nähdä esimerkiksi mitä dokumentteja hyökkääjä on avannut, muokannut tai kopioinut sekä palvelut, joita on käytetty.

M365-pääkäyttäjä voi hakea audit-lokeista tietoa esimerkiksi käyttäjän tai ajankohdan mukaan. 

4: Tarkista toimialueen tunnukset

Mikäli vaarantunut tunnus on ollut Microsoft 365-tilauksen pääkäyttäjätunnus tai tunnukselle on onnistuttu antamaan pääkäyttäjätason oikeudet, tarkista onko toimialueelle luotu uusia tunnuksia tai asennettu uusia sovelluksia.

Vaarantuneen tunnuksen ollessa pääkäyttäjätunnus, on tähän suhtauduttava erittäin vakavasti, sillä tunnuksella on pääsy kaikkialle organisaation Microsoft 365-tilauksessa.

5: Tarkista onko tunnukselta lähetetty haitallisia sähköpostiviestejä

Online Exchange -palvelusta voidaan tarkistaa, onko hyökkääjä lähettänyt haitallisia sähköpostiviestejä. Raportin voi ladata esimeriksi Exceliin, josta vastaanottajien sähköpostiosoitteet on helppo hakea.

Mikäli haitallisia sähköpostiviestejä on lähtenyt vaarantuneelta tunnukselta, on tärkeää informoida vastaanottajia mahdollisimman nopeasti asiasta. Alla on esimerkki varoitusviestistä.

Esimerkki varoitusviestistä

Hei!

Olette saaneet tietojemme mukaan _____ osoitteesta _____ otsikolla viestin.

Kyseessä on käyttäjätunnuksia kalasteleva huijausviesti, joka on lähetetty murretulta käyttäjätunnukselta.

Mikäli olet syöttänyt linkin kautta avautuvalle sivustolle käyttäjätunnuksesi ja salasanasi, ota yhteys yrityksesi ICT-tukeen ja kerro tapahtuneesta. Jos yrityksessäsi ei ole ICT-tukea, toimi seuraavien ohjeiden mukaan:

  1. Vaihda salasanasi heti. Salasanavaihdon jälkeen kannattaa katkaista kaikki voimassa olevat istunnot kaikilta laitteilta. Rikollinen on voinut jo kirjautua tunnuksellasi palveluihin. Esimerkiksi Microsoft 365 -palveluissa voit tehdä sen tämän ohjeen mukaan. Kun pakotat kaikki istunnot kirjautumaan uudelleen sisään uudella salasanalla, rikollinen ei enää pääse kirjautumaan tunnuksellasi palveluun.
  2. Tarkista, onko rikollinen tehnyt sähköpostiisi sähköpostien uudelleenohjausta tai muuta sääntöjä sähköpostisi käsittelyyn.  (Ulkoinen linkki)
  3. Selvitä hyökkäyksen laajuus henkilötietojen osalta.
    Selvitä vuotaneiden henkilötietojen määrä ja laatu.
  4. Varoita kalasteluviestin saaneita organisaatioita ja henkilöitä viestistä.
  5. Tee tietomurrosta ilmoitus:
    Kyberturvallisuuskeskukselle  (Ulkoinen linkki)
    Poliisille
    Tietosuojavaltuutetulle 

Terveisin,

6: Tee tietomurrosta ilmoitus

  • Kyberturvallisuuskeskukselle (Ulkoinen linkki)
    Tee ilmoitus Kyberturvallisuuskeskukselle mahdollisimman pian, niin voimme auttaa lisävahinkojen estämisessä. Voit tehdä ilmoituksen myös vajailla tiedoilla. Lisää ilmoitukseen mukaan saamasi kalasteluviesti. Kyberturvallisuuskeskus tutkii viestissä olevan linkin ja pyytää sivuston alasajoa, jolloin voimme vähentää uusien uhrien määrää.
  • Poliisille
  • Tietosuojavaltuutetulle

Ennaltaehkäisevät toimenpiteet

Mikäli seuraavat toiminnallisuudet ovat aktiivisena, niitä voi ottaa käyttöön seuraavien ohjeiden mukaisesti.

Päivitetty