I anvisningen ger vi råd för hur du får tillbaka ditt användarnamn och varnar andra. Vi går också igenom isolering av användarnamn, kartläggning av angriparens aktivitet och förebyggande åtgärder.

Åtgärderna i denna punkt riktar sig till alla användare. Meddela också din organisations IT-avdelning om saken, så att den kan fortsätta att utreda händelsen i enlighet med anvisningarna.

Isolera användarnamn

2

Kontrollera aktiva sessioner

När lösenordet har ändrats, kontrollera alla pågående sessioner på alla enheter. Genom den här åtgärden kan du kontrollera på vilka alla enheter du är inloggad med användarnamnet i fråga. Kom ihåg att logga ut från alla sessioner för att få tillgång till det nya lösenordet och säkerställa att det inte längre är möjligt att använda det gamla lösenordet.

Välj ditt namn i din profil och välj Logga ut överallt.

Kartlägga angriparens aktivitet

1

Kontrollera om angriparen har ställt in hanteringsregler eller vidarebefordring för e-postadressen

Angriparen kan förmedla antingen alla dina meddelanden till sin egen e-postadress eller ställa in hanteringsregler inne i e-postlådan, varvid vissa e-postmeddelanden kan styras till en annan mapp.

2

Kontrollera i loggarna vad angriparen har gjort

Kontrollera i loggarna ifall angriparen har lyckats logga in på ditt Microsoft 365-konto. I loggarna kan du se från vilken IP-adress och plats som inloggningen har gjorts samt vilka applikationer angriparen har försökt använda.

3

Utred angriparens aktivitet i dokument och applikationer med hjälp av revisionsloggar

I revisionsloggar är det möjligt att se till exempel vilka dokument angriparen har öppnat, redigerat eller kopierat samt vilka tjänster angriparen har använt.

I revisionsloggarna kan en M365-administratör söka information till exempel enligt användare eller tidpunkt. 

4

Kontrollera domänens användarnamn

Om användarnamnet som äventyrats har varit en administratörskod för Microsoft 365-abonnemanget eller angriparen har lyckats ge användarnamnet rättigheter på administratörsnivå ska du kontrollera om nya användarnamn har skapats för domänen eller nya applikationer har installerats på den.

Om användarnamnet som äventyrats är en administratörskod ska det tas på mycket stort allvar, eftersom man med koden har tillträde överallt i organisationens Microsoft 365-abonnemang.

5

Kontrollera om skadliga e-postmeddelanden har skickats med användarnamnet

I tjänsten Online Exchange kan du kontrollera om angriparen har skickat skadliga e-postmeddelanden. Du kan ladda ner rapporten i till exempel Excel, där det är enkelt att söka på mottagarnas e-postadresser.

Om skadliga e-postmeddelanden har skickats med användarnamnet som äventyrats är det viktigt att informera mottagarna om det så fort som möjligt. Nedan ett exempel på ett varningsmeddelande.

Exempel på ett varningsmeddelande

Hej,

enligt våra uppgifter har ni fått ett meddelande med rubriken _____ från adressen _____.

Det är fråga om ett bluffmeddelande som används för att fiska efter användarnamn och som har skickats från ett kapat användarnamn.

Om du har angett ditt användarnamn och lösenord på webbplatsen som öppnas via länken ska du kontakta ditt företags IKT-stöd och berätta om vad som hänt. Om ditt företag inte har IKT-stöd, handla enligt dessa anvisningar:

  1. Ändra ditt lösenord genast. Efter att du ändrat lösenordet är det bra att avbryta alla pågående sessioner på alla enheter. Det är möjligt att en brottsling redan har loggat in i tjänster med ditt användarnamn. Till exempel i Microsoft 365-tjänster kan du göra det enligt den här anvisningen (Extern länk). När du tvingar inloggning i alla sessioner med nytt lösenord kan brottslingen inte längre logga in i tjänsten med ditt användarnamn.
  2. Kontrollera om brottslingen har aktiverat vidarebefordring av din e-post eller ändra reglerna för hanteringen av din e-post  (Extern länk)
  3. Utred hur omfattande angreppet är beträffande personuppgifterna.
    Utred hur mycket och vilket slag av personuppgifter som läckt ut.
  4. Varna organisationer och personer som fått nätfiskemeddelandet (Extern länk).
  5. Gör en anmälan om dataintrånget till
    Cybersäkerhetscentret
    Polisen
    Dataombudsmannen 

Hälsningar,

6

Gör en anmälan om dataintrånget till

  • Cybersäkerhetscentret 
    Gör en anmälan till Cybersäkerhetscentret så fort som möjligt, så att vi kan hjälpa till att förhindra ytterligare skador. Du kan göra en anmälan även med bristfälliga uppgifter. Bifoga nätfiskemeddelandet du fått till anmälan. Cybersäkerhetscentret undersöker länken i meddelandet och begär att webbplatsen stängs, varvid vi kan minska antalet nya offer.
  • Polisen (Extern länk)
  • Dataombudsmannen (Extern länk)

Förebyggande åtgärder

Om följande funktioner är aktiverade kan du börja använda dem enligt följande anvisningar.

Uppdaterad