Ett intrång i ett M365-e-postkonto innebär att ett konto inom Microsofts M365-ekosystem har tagits över genom obehörig användning av inloggningsuppgifter. Det vanligaste sättet att kapa e-postkonton är genom att användarens uppgifter stjäls via nätfiske. Det är mycket vanligt att det kapade kontot sedan används för att skicka nätfiskemeddelanden till personer i kontots kontaktlista. Intrång i M365-konton förekommer i alla sektorer och i organisationer av alla storlekar. Gör en polisanmälan om dataintrånget.

Intrång i M365-e-postkonto

Organisationen eller en av dess anställda upptäcker att kontrollen över ett konto har övertagits av en utomstående aktör. Det är möjligt att kontot redan har använts för att skicka nätfiskemeddelanden vidare, vilket gör att det utöver att återfå kontroll över kontot är avgörande att varna mottagarna så snabbt som möjligt. 

  • Vilka åtgärder har angriparen vidtagit via det kapade kontot? Har nätfiskemeddelanden skickats till mottagare utanför organisationen? 
  • Hur lyckades angriparen kapa kontot? Hur kunde användaren ha undvikit att förlora kontrollen över kontot?
  • Stals det organisationsrelaterad information i samband med intrånget?
  • Åtgärder
    • Intern kommunikation: Informera personalen om vad som har inträffat,
      vilken typ av meddelanden de bör vara vaksamma på samt övriga rekommenderade åtgärder. Det är dessutom viktigt att berätta vilka motåtgärder och eventuella förbättringar av skyddet som redan har genomförts eller planeras.
    • Extern kommunikation: Om det har skickats nätfiskemeddelanden från ett kapat konto bör ni snarast identifiera mottagarna och skicka ett varningsmeddelande till samtliga.
    • Gör en polisanmälan om händelsen och följ polisens anvisningar även i kommunikationen.

Om bluffmeddelanden har skickats i organisationens namn eller från ett kapat konto är det bra att informera om detta även på organisationens webbplats från fall till fall. Det är också viktigt att kommunicera vilka åtgärder som har vidtagits efter händelsen och hur man arbetar för att förhindra liknande incidenter i framtiden.

Cybersäkerhetscentrets CERT-verksamhet förebygger informationssäkerhetsincidenter bland annat genom samarbete med tjänsteleverantörer för att ta bort skadligt innehåll från internet.

Exempelmeddelande

Hej!

Enligt våra uppgifter har du mottagit ett meddelande från adressen _____ med rubriken _____.

Det rör sig om ett nätfiskemeddelande som försöker lura till sig användaruppgifter och som har skickats från ett kapat användarkonto inom vår organisation namn@domain.fi. Kontrollen över kontot har återställts och inga fler bluffmeddelanden borde längre skickas från det.

Länken i meddelandet leder till en nätfiskesida som kontrolleras av kriminella aktörer. Om du har angett ditt användarnamn och lösenord på sidan som öppnades via länken, kontakta omedelbart din organisations IT-stöd och informera om det inträffade. Om din organisation inte har eget IT-stöd, följ dessa anvisningar (Extern länk).

Läs mer: (Extern länk) Gör så här vid dataintrång i ett Microsoft 365-konto  (Extern länk)

Uppdaterad