Phishing via ekte SharePoint-lenker: slik blir bedrifter lurt nå

Phishing med ekte SharePoint- og OneDrive-lenker er vanskelig å oppdage. Se tegnene på kompromittert konto og hva bedriften bør gjøre raskt.

Ingen beskrivelse tilgjengelig
Publisert: 25 jun. 2026

Når phishing kommer fra en kollega

Phishing er ikke alltid dårlig norsk, rare avsendere og mistenkelige domener. Vi ser nå flere angrep der e-posten kommer fra en ekte kollega, med riktig navn, korrekt signatur og en ekte Microsoft-lenke til SharePoint eller OneDrive.

I ett tilfelle hos en lokal bedrift ble en ansattkonto misbrukt til å sende ut over 800 e-poster. Meldingen var kort og troverdig: emnefeltet var «faktura», teksten var «Se dokument», og lenken gikk til en ekte Microsoft-adresse.

Det er nettopp derfor mange klikker. Alt ser riktig ut.

Når e-posten kommer fra en ekte konto, kan både avsender, signatur og Microsoft-lenke se troverdig ut.
Når e-posten kommer fra en ekte konto, kan både avsender, signatur og Microsoft-lenke se troverdig ut.

Hva angriperen gjør etterpå

Når angriperen først har tilgang til kontoen, prøver de å spre seg raskt og skjule sporene. Typisk ser vi at angriperen sender samme e-post til hundrevis av kontakter og oppretter skjulte ,mapper og Outlook-regler.

En Outlook-regel kan for eksempel markere innkommende e-post som lest, flytte den til papirkurven og stoppe andre regler. Da ser ikke brukeren svarene fra kolleger som spør om meldingen er ekte.

Dette gjør angrepet ekstra vanskelig å oppdage. Bedriften kan være kompromittert uten at den ansatte merker det med en gang.

Når én konto er kompromittert, kan angrepet raskt sendes videre til kolleger, kunder og leverandører.
Når én konto er kompromittert, kan angrepet raskt sendes videre til kolleger, kunder og leverandører.

Tegn på hacket konto

Dette bør dere reagere på

  • Kolleger sier de har fått en rar lenke fra deg
  • E-poster du ikke kjenner igjen ligger i Sendt-mappen
  • Mange videresendinger du ikke har gjort
  • Innkommende e-post forsvinner eller er markert som lest
  • Uforklarlige regler i Outlook
  • Uvanlige innlogginger i Microsoft 365

Hvis ett eller flere av disse tegnene dukker opp, bør dere handle med en gang.

Hva dere bør gjøre når uhellet er ute

Start med å bytte passord, logge ut alle enheter og slette ukjente regler i Outlook. Sjekk også videresendinger, delegeringer og nylige innlogginger i Microsoft 365.

Varsle IT-ansvarlig eller IT-leverandør raskt. Informer internt, spesielt hvis e-poster allerede er sendt ut fra kontoen. Angrepene sprer seg fort, og tidlig varsling kan hindre at flere klikker.

Vil dere redusere risikoen for phishing, spoofing og misbruk av e-postdomenet deres?

Les mer om Sikring av e-postdomene Beskytt bedriftens domene mot phishing, spoofing og uautoriserte avsendere med PowerDMARC levert av Harddisk Bedrift / Mobit.

Slik reduserer dere risikoen

Det viktigste er å ha flerfaktor-innlogging på alle brukere.

Vi ville i tillegg satt opp varsling og automatisk blokkering ved mistenkelig aktivitet, jevnlig kursing av ansatte og en enkel rutine for hva ansatte skal gjøre når de er usikre på en lenke.

For mange små og mellomstore bedrifter er hullene enkle å tette når noen først går gjennom Microsoft 365-oppsettet.

Usikker på om bedriften er utsatt?

Mobit Øygarden hjelper bedrifter i Øygarden, Bergen og Askøy med Microsoft 365-sikkerhet, phishing, e-postoppsett og opprydding etter kompromitterte kontoer.

Telefon
90 98 62 50
E-post
salg.oygarden@mobit.no
Adresse
Skjenet 11, 5354 Straume

Harddisk Bedrift er nå Mobit Øygarden

Mobit Øygarden leverer IT-tjenester og mobilløsninger til bedrifter

mobit.no/forhandlere/bergen/oygarden

Harddisk Datapartner AS

Sartor Storsenter, Pb 244
5342 Straume, Norway

Org.nr: 892 700 362

Åpningstider

Man - Fre: 10:00 - 21:00
Lørdag: 10:00 - 21:00
Søndag: Stengt

Åpne Google Maps

Ta kontakt

Telefon: +47 535 00 532 Kontaktskjema kontakt@harddisk.no

© 2026 Harddisk Datapartner AS Personvern
© Utvikler: Absoluttweb AS