Microsoft 365-konton kapas – se upp för nätfiske

Cybersäkerhetscentret har under år 2025 tagit emot 330 anmälningar om fall som gäller M365-kontointrång eller nätfiske. Det handlar om samma fenomen som vi varnade för även hösten 2023 (Extern länk). Med hjälp av dataintrång har angriparen fått tillgång till konton och e-postmeddelanden i dem. Med hjälp av e-postmeddelanden kan angriparna till exempel genomföra faktureringsbedrägerier. Cybersäkerhetscentret känner inte till några fall där den som kapat ett konto skulle ha lyckats utöka sina behörigheter eller stärka sitt fotfäste i den drabbade organisationens miljö genom att använda det kapade kontot. Kontointrång möjliggör dock obehörig åtkomst till e-post och dokument, vilket utsätter konfidentiell information för missbruk. I värsta fall kan kapade konton leda till störningar i affärsverksamheten, skada organisationens anseende och fungera som en inkörsport för mer omfattande angrepp. Utifrån de anmälningar som tas emot granskar Cybersäkerhetscentret skadliga webbplatser och vidarebefordrar som myndighet information om dessa till tjänsteleverantörer runt om i världen, med uppmaning att ta bort sidorna från internet.

Så här går ett M365-dataintrång till

• Angriparen får tag på användarens användarnamn och lösenord genom ett nätfiskemeddelande eller en nätfiskesida. Användaren, alltså offret, matar in sina uppgifter i nätfisket. Om multifaktorautentisering inte är i bruk får angriparen omedelbart tillgång till kontot.
• Brottslingen loggar in i M365-miljön med det kapade kontot. Hen granskar e-postmeddelanden, kontakter och filer för att få en bild av användarens eller organisationens verksamhet.
• Angriparen skickar nätfiskemeddelanden från de kapade användarkontona till kontaktuppgifterna i användarkontot i syfte att kapa ännu fler konton.
• I många fall har angriparen använt offrets SharePoint- eller OneNote-tjänst för att dela filer som i slutändan leder till nätfiskesidor.
• Angriparen kan även ändra e-postkontots inställningar. Brottslingar kan till exempel skapa e-postregler (t.ex. vidarebefordran av meddelanden) eller installera skadliga applikationer för att behålla åtkomsten. Målet är att förbli oupptäckt så länge som möjligt. Angriparen kan även cirkulera e-postmeddelanden som offret tidigare skickat och foga en länk till nätfiskesidor.

Upptäckt

• För närvarande är en stor del av bluffmeddelandena maskerade som avtal eller fakturor som kräver att mottagaren vidtar åtgärder. Meddelandet kan till exempel innehålla en länk till en fil med namnet faktura.pdf, där användaren ombeds logga in för att öppna filen. I själva verket är det en blufflänk, och de inmatade uppgifterna dirigeras via en nätfiskesida till brottslingen.
• Bluffmeddelandena kan också vara riktiga delningsmeddelanden som skickats via en fildelningstjänst som SharePoint, men filen som delas i tjänsten leder i sin tur offret vidare till en nätfiskesida som kontrolleras av brottslingar. Därför kan bluffmeddelanden vara särskilt svåra att identifiera.
• Brottslingar använder dessutom tekniken adversary-in-the-middle (AiTM), som kringgår multifaktorautentisering och har blivit vanligare i nätfiske mot Microsoft 365-användarkonton. Mer information om hur AiTM-automatik används för att kringgå MFA hittar du här. (Extern länk)
• I några fall har observerats att när mottagaren av ett nätfiskemeddelande har svarat på nätfiskemeddelandet per e-post på finska har angriparen svarat på finska och uppmanat mottagaren att öppna länken i nätfiskemeddelandet.
• Det har också observerats fall där angriparen försökt lägga till en regel i e-postlådan som gör att offret inte ser svar på nätfiskemeddelandet utan svaren styrs i stället till en separat mapp. Från den här egenhändigt skapade mappen har angriparen fört en dialog med mottagarna och försökt övertyga dem samt få dem att agera enligt angriparens avsikt.
• Om man misstänker att meddelandet inte är äkta bör meddelandets ärende kontrolleras via en annan kommunikationskanal. E-postmeddelandets äkthet kan kontrolleras till exempel genom att ringa upp avsändaren. 

Beakta även

• Att bara byta lösenord räcker inte om angriparen har stulit en så kallad session cookie.
• Multifaktorautentisering (MFA) förhindrar inte ensam brottslingarnas verksamhet. 
• Geografiska begränsningar för inloggningar (Geoblock) är inte alltid tillräckliga, eftersom angreppstrafiken också kan dirigeras via Finland.

Företag och andra organisationer samt deras anställda och användare som använder Microsoft 365-produkter.

• Om du misstänker att ett meddelande inte är äkta, svara inte på det. Kontrollera saken på annat sätt, till exempel genom att ringa eller använda snabbmeddelanden.
• Om du misstänker att e-postkontot har kapats, kontrollera reglerna för vidaresändning både i administratörens och i användarens vy.
• Utbilda och informera personalen regelbundet om riskerna med nätfiske och kontokapningar.
• Se också till att angriparen inte har lagt till sin egen enhet för multifaktorautentisering (MFA) på kontot. 
• Stäng av alla användarbehörigheter tillfälligt så att pågående sessioner avslutas. Anvisning  (Extern länk)
• Att införa villkorlig åtkomst (Conditional Access) kan vara ett effektivt sätt att förbättra skyddet.
• På Microsofts webbplats finns en bra anvisning för hur man blockerar applikationer  (Extern länk)

Diagrammet nedan illustrerar de fall av M365-kontointrång som har anmälts till Cybersäkerhetscentret under 2025. M365-kontointrång förekommer inom alla sektorer. I diagrammet lyfts även fram tre sektorer som oftare varit föremål för angrepp.