Toimi näin Microsoft 365 -tilin tietomurron sattuessa

Kun salasana on vaihdettu, tarkista kaikki voimassa olevat istunnot kaikilta laitteilta. Tällä toimenpiteellä voidaan tarkistaa missä kaikkialla tunnus on kirjautuneena sisään. Muista kirjautua ulos kaikista istunnoista, jotta saat uuden salasanan käyttöösi ja varmistat, että vanhaa salasanaa ei ole enää mahdollista käyttää.

Valitse “Oma profiili”-kohdan nimen alta “Kirjaudu ulos kaikkialta”.

Mikäli vaarantuneella tunnuksella on Microsoft 365-tilauksen pääkäyttäjän oikeudet, poista ne siltä viipymättä. Varmista kuitenkin, että on olemassa yksi pääkäyttäjätunnus, jotta rooleja ja oikeuksia pystytään hallinnoimaan. 

Hyökkääjä voi välittää joko kaikki viestisi omaan sähköpostiosoitteeseen tai tehdä sähköpostilaatikon sisällä käsittelysääntöjä, jolloin tietyt sähköpostiviestit voivat ohjautua toiseen kansioon.

Tarkista lokitiedot sen varalta, että hyökkääjä on onnistunut kirjautumaan Microsoft 365-tilillesi. Lokista näkee mistä IP-osoitteesta ja sijainnista kirjautuminen tapahtui sekä mitä sovelluksia hyökkääjä on yrittänyt käyttää.

Audit-lokeista on mahdollista nähdä esimerkiksi mitä dokumentteja hyökkääjä on avannut, muokannut tai kopioinut sekä palvelut, joita on käytetty.

M365-pääkäyttäjä voi hakea audit-lokeista tietoa esimerkiksi käyttäjän tai ajankohdan mukaan. 

Mikäli vaarantunut tunnus on ollut Microsoft 365-tilauksen pääkäyttäjätunnus tai tunnukselle on onnistuttu antamaan pääkäyttäjätason oikeudet, tarkista onko toimialueelle luotu uusia tunnuksia tai asennettu uusia sovelluksia.

Vaarantuneen tunnuksen ollessa pääkäyttäjätunnus, on tähän suhtauduttava erittäin vakavasti, sillä tunnuksella on pääsy kaikkialle organisaation Microsoft 365-tilauksessa.

Online Exchange -palvelusta voidaan tarkistaa, onko hyökkääjä lähettänyt haitallisia sähköpostiviestejä. Raportin voi ladata esimeriksi Exceliin, josta vastaanottajien sähköpostiosoitteet on helppo hakea.

Mikäli haitallisia sähköpostiviestejä on lähtenyt vaarantuneelta tunnukselta, on tärkeää informoida vastaanottajia mahdollisimman nopeasti asiasta. Alla on esimerkki varoitusviestistä.

Esimerkki varoitusviestistä

Hei!

Olette saaneet tietojemme mukaan osoitteesta _____ viestin otsikolla _____.

Kyseessä on käyttäjätunnuksia kalasteleva huijausviesti, joka on lähetetty murretulta käyttäjätunnukselta.

Mikäli olet syöttänyt linkin kautta avautuvalle sivustolle käyttäjätunnuksesi ja salasanasi, ota yhteys yrityksesi ICT-tukeen ja kerro tapahtuneesta. Jos yrityksessäsi ei ole ICT-tukea, toimi seuraavien ohjeiden mukaan:

1. Vaihda salasanasi heti. Salasanavaihdon jälkeen kannattaa katkaista kaikki voimassa olevat istunnot kaikilta laitteilta. Rikollinen on voinut jo kirjautua tunnuksellasi palveluihin. Esimerkiksi Microsoft 365 -palveluissa voit tehdä sen tämän ohjeen mukaan. Kun pakotat kaikki istunnot kirjautumaan uudelleen sisään uudella salasanalla, rikollinen ei enää pääse kirjautumaan tunnuksellasi palveluun.
2. Tarkista, onko rikollinen tehnyt sähköpostiisi sähköpostien uudelleenohjausta tai muuta sääntöjä sähköpostisi käsittelyyn.  (Ulkoinen linkki)
3. Selvitä hyökkäyksen laajuus henkilötietojen osalta.
   Selvitä vuotaneiden henkilötietojen määrä ja laatu.
4. Varoita kalasteluviestin saaneita organisaatioita ja henkilöitä viestistä.
5. Tee tietomurrosta ilmoitus:
   Kyberturvallisuuskeskukselle  (Ulkoinen linkki)
   Poliisille
   Tietosuojavaltuutetulle 

Terveisin,

• Kyberturvallisuuskeskukselle (Ulkoinen linkki)
  Tee ilmoitus Kyberturvallisuuskeskukselle mahdollisimman pian, niin voimme auttaa lisävahinkojen estämisessä. Voit tehdä ilmoituksen myös vajailla tiedoilla. Lisää ilmoitukseen mukaan saamasi kalasteluviesti. Kyberturvallisuuskeskus tutkii viestissä olevan linkin ja pyytää sivuston alasajoa, jolloin voimme vähentää uusien uhrien määrää.
• Poliisille
• Tietosuojavaltuutetulle