FAQ

Har du modtaget en Dark Web-advarsel?

Hvis du har modtaget en mail fra os om, at en e-mailadresse eller adgangskode er fundet på Dark Web, er det helt naturligt at blive bekymret. Men i mange tilfælde betyder en Dark Web-advarsel ikke, at jeres virksomhed lige nu er blevet hacket, eller at der nødvendigvis findes en aktiv mailkonto med den nævnte adresse.

Din sikkerhed er vigtig – lad os støtte dig!

Advarslen betyder, at vores overvågning har fundet oplysninger, som er knyttet til jeres domæne, i et datalæk, en kombinationsliste, et forum, en datadump eller lignende kilde. Det kan være nyere oplysninger — men det kan også være gamle data, tidligere brugte adresser eller oplysninger, der er samlet fra flere forskellige læk over tid. Dark Web ID klassificerer blandt andet fund som f.eks. Combolist, hvor e-mail/adgangskoder kan være samlet fra hjemmesider, fora eller tidligere kompromitterede datasæt, og hvor kilden ikke altid kan knyttes til ét bestemt datalæk.

En Dark Web-advarsel betyder typisk, at:

Hvad skal du gøre nu?

Hvis adgangskoden er oplyst i advarslen, skal du sørge for at skifte den, alle de steder den benyttes.

Så er der som regel ikke behov for handling. Du må gerne gemme advarslen til dokumentation, men den er typisk ikke et tegn på et aktuelt problem.

Skift adgangskoden med det samme også på andre tjenester, hvor den samme adgangskode kan være brugt.

Kontakt ITGuy, så hjælper vi med at vurdere fundet.

FAQ: Dark Web-advarsler fra ITGuy

Hvad betyder det, at min e-mailadresse er fundet på Dark Web?

Det betyder, at vores overvågning har registreret en e-mailadresse, IP-adresse eller anden information, som kan forbindes med jeres domæne, i data der tidligere er blevet lækket, delt eller solgt online.

Det kan f.eks. være oplysninger fra:

  • et datalæk hos en ekstern tjeneste
  • en kombinationsliste med e-mailadresser og adgangskoder
  • et forum eller en datadump
  • gamle databaser med tidligere kompromitterede oplysninger
  • automatiske lister, hvor adresser er opsamlet eller genereret

Det betyder ikke nødvendigvis, at jeres nuværende mailkonto eller Microsoft 365-miljø er kompromitteret.

Betyder det, at vi er blevet hacket?

Ikke nødvendigvis.

Et Dark Web-fund betyder, at oplysninger med relation til jeres domæne er blevet fundet et sted, hvor kompromitterede data deles eller samles. Det kan stamme fra en helt anden tjeneste, som en medarbejder tidligere har brugt med sin arbejdsmail.

Eksempel:

En medarbejder kan tidligere have brugt sin arbejdsmail til at oprette en konto på en ekstern hjemmeside. Hvis den hjemmeside senere bliver ramt af et datalæk, kan e-mailadressen og eventuelt en adgangskode ende i en lækket database — uden at jeres Microsoft 365-konto er blevet kompromitteret.

Hvorfor får vi en advarsel på en e-mailadresse, der ikke findes?

Det sker ret ofte.

Vores Dark Web-overvågning giver besked, hvis en e-mailadresse med jeres domæne dukker op i lækkede data, combolists eller lignende. Det betyder ikke nødvendigvis, at der findes en aktiv mailkonto hos jer med den adresse.

Det kan f.eks. være:

  • en tidligere medarbejders e-mailadresse
  • en gammel alias-adresse
  • en adresse, der har eksisteret i et tidligere mailsystem
  • en adresse brugt til test eller tilmeldinger
  • en adresse, der er blevet gættet eller genereret automatisk
  • en adresse, der aldrig har været aktiv, men alligevel er havnet på en liste

Hvis e-mailadressen ikke findes i jeres Microsoft 365-miljø, og der ikke er tegn på misbrug, er der som regel ikke behov for yderligere handling.

Hvad hvis medarbejderen ikke længere arbejder hos os?

Hvis brugeren er nedlagt korrekt, og kontoen ikke længere er aktiv, er det normalt ikke et akut problem.

Vi anbefaler dog stadig, at I er opmærksomme på:

  • om adressen stadig findes som alias
  • om den videresender mails
  • om brugeren stadig har adgang til eksterne systemer
  • om adgangskoden er brugt andre steder

Hvis kontoen er lukket, licensen fjernet, og adgangen er nedlagt, er risikoen typisk begrænset.

Hvad hvis brugeren aldrig har eksisteret?

Så er det som udgangspunkt et tegn på, at adressen enten er genereret, opsamlet eller indgået i en liste uden at være en reel aktiv konto.

Det kan ske, fordi lister med kompromitterede data ofte indeholder blandede oplysninger. Nogle data er reelle, andre er gamle, dubletter, fejlstavede, automatiske gæt eller adresser fra tidligere systemer.

Hvis adressen ikke findes hos jer, og vi heller ikke kan finde tegn på aktivitet i Microsoft 365, er alt som udgangspunkt fint.

Hvad er en “kombinationsliste” eller “combolist”?

En kombinationsliste — ofte kaldet en combolist — er en liste med brugernavne/e-mailadresser og adgangskoder, som typisk er samlet fra forskellige datalæk, forums, paste sites eller tidligere kompromitterede datasæt.

Det betyder, at listen ikke nødvendigvis stammer fra ét bestemt angreb mod jeres virksomhed.

Hvorfor står der “Kilde til læk: Ikke oplyst”?

Nogle gange kan kilden til et fund ikke oplyses.

Det kan skyldes, at:

  • oprindelsen ikke er kendt
  • data er samlet fra flere læk
  • lækket ikke offentligt kan knyttes til én bestemt tjeneste
  • den berørte organisation endnu ikke har bekræftet hændelsen
  • metadata ikke er tilstrækkelige til at fastslå kilden
Hvad betyder datoerne i advarslen?

I advarslen kan der typisk stå to forskellige datoer:

“Fundet på Dark Web”

Dette er datoen for, hvornår oplysningerne ser ud til at være fundet eller registreret i en lækket kilde.

“Tilføjet til DWID-platformen”

Dette er datoen for, hvornår fundet er blevet tilføjet i overvågningsplatformen og dermed gjort synligt for os.

Det betyder, at et fund godt kan være gammelt, selvom advarslen først sendes nu.

Hvad skal jeg gøre, hvis adgangskoden stadig bruges?

Hvis adgangskoden, der nævnes i advarslen, stadig bruges nogen steder, bør den skiftes med det samme.

Det gælder både:

  • Microsoft 365
  • private tjenester
  • sociale medier
  • webshops
  • brancheportaler
  • interne systemer
  • andre konti, hvor samme adgangskode er brugt

Brug aldrig den samme adgangskode flere steder.

Vi anbefaler også, at multifaktor-godkendelse er slået til, hvor det er muligt.

Hvad hvis adgangskoden er gammel og ikke længere bruges?

Hvis adgangskoden ikke længere bruges nogen steder, er der som udgangspunkt ikke behov for akut handling.

Vi anbefaler dog stadig, at I:

  • holder øje med mistænkelige loginforsøg
  • er ekstra opmærksomme på phishing-mails
  • undgår genbrug af gamle adgangskoder
  • bruger stærke og unikke adgangskoder
  • aktiverer multifaktor-godkendelse på vigtige konti

Gamle adgangskoder kan stadig bruges af angribere til at gætte mønstre eller forsøge adgang til andre tjenester.

Skal vi svare på Dark Web-advarslen?

I behøver ikke nødvendigvis svare, hvis:

  • den nævnte e-mailadresse ikke findes
  • kontoen er nedlagt
  • adgangskoden ikke længere bruges
  • I ikke ser tegn på mistænkelig aktivitet

Hvis I er i tvivl, er I selvfølgelig altid velkomne til at kontakte os.

Det er især relevant at skrive til os, hvis:

  • adressen stadig er aktiv
  • adgangskoden stadig bruges
  • I ser mistænkelige loginforsøg
  • brugeren modtager usædvanlige mails
  • der er tegn på videresendelse eller ændringer i kontoen
  • I ikke kan vurdere, om kontoen stadig findes
Kan ITGuy tjekke, om kontoen findes i Microsoft 365?

Ja.

Hvis I kontakter os, kan vi hjælpe med at kontrollere, om den nævnte adresse findes i jeres Microsoft 365-miljø, og om der er tegn på noget mistænkeligt.

Vi kan blandt andet tjekke:

  • om kontoen findes
  • om den er aktiv eller deaktiveret
  • om der findes aliaser
  • om der er usædvanlige loginforsøg
  • om der er mistænkelige videresendelser
  • om multifaktor-godkendelse er aktiv
  • om brugeren har rettigheder, der bør gennemgås
Hvorfor sender ITGuy disse advarsler?

Vi sender advarslerne for at hjælpe jer med at reagere hurtigt, hvis oplysninger med relation til jeres domæne dukker op i lækkede datasæt.

Formålet er ikke at skabe unødig bekymring, men at give jer mulighed for at handle, hvis oplysningerne stadig er relevante.

I mange tilfælde er alt fint. især hvis adressen er gammel, kontoen er lukket, eller adgangskoden ikke længere bruges. Men hvis oplysningerne stadig er aktive, kan en hurtig reaktion gøre en stor forskel.

Hvad kan vi gøre for at mindske risikoen fremover?

Vi anbefaler som minimum:

  • brug unikke adgangskoder til alle tjenester
  • brug en adgangskodeadministrator
  • slå multifaktor-godkendelse til
  • fjern gamle brugere og aliaser
  • gennemgå adgangsrettigheder løbende
  • vær opmærksom på phishing-mails
  • undgå at bruge arbejdsmail til private eller irrelevante tjenester
  • kontakt ITGuy, hvis I er i tvivl om et fund

Cybersikkerhed handler sjældent om én enkelt løsning. Det handler om at reducere risikoen løbende og reagere hurtigt, når noget kræver opmærksomhed.

Kontakt os i dag

Alle henvendelser er velkomne, vi glæder os til at høre fra dig.