FAQ
Hvis du har modtaget en mail fra os om, at en e-mailadresse eller adgangskode er fundet på Dark Web, er det helt naturligt at blive bekymret. Men i mange tilfælde betyder en Dark Web-advarsel ikke, at jeres virksomhed lige nu er blevet hacket, eller at der nødvendigvis findes en aktiv mailkonto med den nævnte adresse.
ⓘ Vi anbefaler altid, at I tager advarslen seriøst, men det er ikke nødvendigvis tegn på et aktuelt sikkerhedsbrud hos jer.
Så er der som regel ikke behov for handling. Du må gerne gemme advarslen til dokumentation, men den er typisk ikke et tegn på et aktuelt problem.
Skift adgangskoden med det samme også på andre tjenester, hvor den samme adgangskode kan være brugt.
Kontakt ITGuy, så hjælper vi med at vurdere fundet.
Det betyder, at vores overvågning har registreret en e-mailadresse, IP-adresse eller anden information, som kan forbindes med jeres domæne, i data der tidligere er blevet lækket, delt eller solgt online.
Det kan f.eks. være oplysninger fra:
Det betyder ikke nødvendigvis, at jeres nuværende mailkonto eller Microsoft 365-miljø er kompromitteret.
Ikke nødvendigvis.
Et Dark Web-fund betyder, at oplysninger med relation til jeres domæne er blevet fundet et sted, hvor kompromitterede data deles eller samles. Det kan stamme fra en helt anden tjeneste, som en medarbejder tidligere har brugt med sin arbejdsmail.
Eksempel:
En medarbejder kan tidligere have brugt sin arbejdsmail til at oprette en konto på en ekstern hjemmeside. Hvis den hjemmeside senere bliver ramt af et datalæk, kan e-mailadressen og eventuelt en adgangskode ende i en lækket database — uden at jeres Microsoft 365-konto er blevet kompromitteret.
Det sker ret ofte.
Vores Dark Web-overvågning giver besked, hvis en e-mailadresse med jeres domæne dukker op i lækkede data, combolists eller lignende. Det betyder ikke nødvendigvis, at der findes en aktiv mailkonto hos jer med den adresse.
Det kan f.eks. være:
Hvis e-mailadressen ikke findes i jeres Microsoft 365-miljø, og der ikke er tegn på misbrug, er der som regel ikke behov for yderligere handling.
Hvis brugeren er nedlagt korrekt, og kontoen ikke længere er aktiv, er det normalt ikke et akut problem.
Vi anbefaler dog stadig, at I er opmærksomme på:
Hvis kontoen er lukket, licensen fjernet, og adgangen er nedlagt, er risikoen typisk begrænset.
Så er det som udgangspunkt et tegn på, at adressen enten er genereret, opsamlet eller indgået i en liste uden at være en reel aktiv konto.
Det kan ske, fordi lister med kompromitterede data ofte indeholder blandede oplysninger. Nogle data er reelle, andre er gamle, dubletter, fejlstavede, automatiske gæt eller adresser fra tidligere systemer.
Hvis adressen ikke findes hos jer, og vi heller ikke kan finde tegn på aktivitet i Microsoft 365, er alt som udgangspunkt fint.
En kombinationsliste — ofte kaldet en combolist — er en liste med brugernavne/e-mailadresser og adgangskoder, som typisk er samlet fra forskellige datalæk, forums, paste sites eller tidligere kompromitterede datasæt.
Det betyder, at listen ikke nødvendigvis stammer fra ét bestemt angreb mod jeres virksomhed.
Nogle gange kan kilden til et fund ikke oplyses.
Det kan skyldes, at:
I advarslen kan der typisk stå to forskellige datoer:
Dette er datoen for, hvornår oplysningerne ser ud til at være fundet eller registreret i en lækket kilde.
Dette er datoen for, hvornår fundet er blevet tilføjet i overvågningsplatformen og dermed gjort synligt for os.
Det betyder, at et fund godt kan være gammelt, selvom advarslen først sendes nu.
Hvis adgangskoden, der nævnes i advarslen, stadig bruges nogen steder, bør den skiftes med det samme.
Det gælder både:
Brug aldrig den samme adgangskode flere steder.
Vi anbefaler også, at multifaktor-godkendelse er slået til, hvor det er muligt.
Hvis adgangskoden ikke længere bruges nogen steder, er der som udgangspunkt ikke behov for akut handling.
Vi anbefaler dog stadig, at I:
Gamle adgangskoder kan stadig bruges af angribere til at gætte mønstre eller forsøge adgang til andre tjenester.
I behøver ikke nødvendigvis svare, hvis:
Hvis I er i tvivl, er I selvfølgelig altid velkomne til at kontakte os.
Det er især relevant at skrive til os, hvis:
Ja.
Hvis I kontakter os, kan vi hjælpe med at kontrollere, om den nævnte adresse findes i jeres Microsoft 365-miljø, og om der er tegn på noget mistænkeligt.
Vi kan blandt andet tjekke:
Vi sender advarslerne for at hjælpe jer med at reagere hurtigt, hvis oplysninger med relation til jeres domæne dukker op i lækkede datasæt.
Formålet er ikke at skabe unødig bekymring, men at give jer mulighed for at handle, hvis oplysningerne stadig er relevante.
I mange tilfælde er alt fint. især hvis adressen er gammel, kontoen er lukket, eller adgangskoden ikke længere bruges. Men hvis oplysningerne stadig er aktive, kan en hurtig reaktion gøre en stor forskel.
Vi anbefaler som minimum:
Cybersikkerhed handler sjældent om én enkelt løsning. Det handler om at reducere risikoen løbende og reagere hurtigt, når noget kræver opmærksomhed.
Alle henvendelser er velkomne, vi glæder os til at høre fra dig.
For at give dig den bedste oplevelse bruger vi teknologier som cookies til at lagre og/eller få adgang til oplysninger på din enhed. Ved at give samtykke til disse teknologier kan vi behandle data såsom din browsingadfærd eller unikke ID’er på dette website.
Hvis du ikke giver samtykke eller trækker dit samtykke tilbage, kan det påvirke visse funktioner og muligheder på sitet.