Identifiera och skydda konton som utsatts för intrång

Om du misstänker att ett konto har utsatts för intrång försäkrar du dig om att användarnas konton (konton som utsatts för intrång eller kapats) är säkra genom att använda den här checklistan. Gå igenom checklistan för säkerhet i Gmail tillsammans med de berörda användarna.

Följ de här säkerhetsstegen

Steg 1. Stäng tillfälligt av användarkontot som misstänks ha utsatts för intrång
  1. Förhindra obehörig åtkomst genom att stänga av användaren.

    Obs! Om du stänger av en användare återställs användarens cookies för inloggning och OAuth-token.

  2. Undersök den eventuellt otillåtna aktiviteten och återställ kontot. Du kan även överväga att registrera domänen med tvåstegsverfiering.
  3. Be den drabbade användaren att kolla sin återställningsadress och följa checklistan för säkerhet i Gmail.
Steg 2. Leta efter obehörig aktivitet på kontot
  1. Om användaren som har drabbats av intrång är G Suite-administratör går du igenom administratörens granskningsloggar och söker efter konfigurationsändringar som användaren nyligen gjort. Hoppa över det här steget om det inte är tillämpligt:
  2. Gå igenom alla mobila enheter som är kopplade till det drabbade kontot och rensa alla som verkar misstänkta.
  3. Undersök all potentiellt obehörig aktivitet:
    1. Använd granskningsloggen för inloggning på administratörskonsolen och visa en fullständig lista över slutförda och ej slutförda webbaserade inloggningar på domänen i upp till sex månader. Misstänkta inloggningar flaggas med en varningsikon. Du kan även hämta inloggningar för domänkonton via G Suite Reports API.
    2. Med hjälp av e-postloggsökningen kan du granska domänernas leveransloggar och kontrollera meddelandeöverföringen till och från de konton som kan ha drabbats. Om kontot hanteras via Arkiv kan du använda funktionen för att söka i e-postloggar för att granska e-postaktiviteten.
      Obs! Om användarna uppgraderar till G Suite Business eller G Suite Enterprise som innehåller Arkiv, kan de återställa permanent raderade e-postmeddelanden eller dokument.
    3. Med hjälp av säkerhetsrapporten kan du bedöma om domänen är utsatt för datasäkerhetsrisker. Du ska granska de här rapporterna:
    4. Kontrollera om skadliga inställningar har skapats. Du kan hämta inställningarna för användarkontot (exempelvis inställningar och filter för vidarebefordran) via Gmail API. Om du misstänker att ett konsumentkonto på @gmail.com användes vid intrånget anmäler du kontot.
Steg 3. Återkalla åtkomst till det drabbade kontot
  1. Följ stegen i Återställa en användares lösenord.
  2. Återkalla OAuth-token för användaren. 
  3. En del appar som använder OAuth2-autentisering får inte längre tillgång till data när användarens lösenord har återställts. Användaren måste logga in med sitt kontonamn och det nya lösenordet för att få en ny OAuth2-token.
  4. Ta bort applösenord som har skapats av användaren.
Steg 4. Ge användare tillgång igen
  1. Häv avstängningen av kontot.
  2. Informera användarna om deras nya tillfälliga lösenord och be dem att välja nya, unika lösenord (inga lösenord som används på andra webbplatser eller appar).
  3. Aktivera tvåstegsverifiering för domänen och registrera användare med U2F-säkerhetsnycklar (rekommenderas i stället för 2SV-koder).
  4. Gå igenom checklistan för säkerhet i Gmail för slutanvändare tillsammans med de berörda användarna. Kontrollera exempelvis att slutanvändarnas filter och alternativ för vidarebefordran är korrekt konfigurerade.
    1. Uppdatera återställningsalternativen för kontot.
    2. Leta efter ovanlig aktivitet på kontot.
    3. Leta efter saknade eller misstänkta meddelanden.
    4. Leta efter fel bland kontakterna.
    5. Kontrollera inställningarna för Gmail.  

Utför fler säkerhetssteg 

Du utföra de här ytterligare stegen för att garantera säkerheten för användarnas G Suite-konton.

Steg 1. Aktivera tvåstegsverifiering med säkerhetsnycklar

Med tvåstegsverifiering läggs en extra säkerhetsnivå till för användarnas G Suite-konton. Förutom användarnamn och lösenord måste användarna också ange en verifieringskod när de loggar in på sina konton. Mer information finns i Lägg till tvåstegsverifiering. Vi rekommenderar att du använder säkerhetsnycklar i stället för 2SV-säkerhetskoder eftersom det ger bättre skydd mot nätfiske.

Steg 2. Lägga till, skydda, eller uppdatera återställningsalternativ

Mer information om hur du lägger till sekundära e-postadresser och telefonnummer finns i Lägg till återställningsalternativ på administratörskontot. Vi rekommenderar att du skyddar de sekundära e-postadresserna genom att ändra lösenorden eller uppdatera den sekundära e-posten till en ny adress.

Steg 3. Aktivera varningar för kontoaktivitet

Administratörer kan välja att ta emot varningar om kontoaktivitet när viktiga händelser sker, t.ex. potentiellt misstänkta inloggningar eller ändringar av tjänstinställningar som gjorts av andra administratörer.

Besök Googles säkerhetscenter där du hittar allmänna rekommendationer om hur du skyddar kontot.

Var det här till hjälp?
Hur kan vi förbättra den?