Naar inhoud
lightbulb Welkom op de nieuwe kennisbank | We hebben de docs volledig vernieuwd met meer dan 160 features. Bekijk wat nieuw isarrow_forward

Wat te doen bij een suspicious login melding in Google Workspace

Bij een suspicious login melding controleer je de aanmeldactiviteit, reset je wachtwoord en 2SV als de aanmelding niet legitiem is, log je alle sessies uit, trek je app-toegang in en verwijder je verdachte Gmail-regels.

schedule4 min lezen event1 Jun 2026 updateBijgewerkt 17 wkn open_in_new data_object

Een melding over een verdachte aanmelding is geen moment om af te wachten. Google signaleert een ongebruikelijke locatie, een onbekend apparaat of een afwijkend patroon. Handel snel om een mogelijke inbraak te stoppen voordat er schade ontstaat.

Beoordeel of de aanmelding legitiem is

Niet elke verdachte aanmelding is een inbraak. Een gebruiker op reis, een nieuw apparaat of een VPN kan de melding triggeren. Stel daarom eerst vast of de gebruiker de aanmelding herkent voordat je iets reset.

Aanmelding beoordelen

  1. Open admin.google.com en ga naar Beveiliging > Beveiligingscentrum > Onderzoekstool (Security center > Investigation tool).
  2. Filter op de betreffende gebruiker en op het tijdstip van de melding.
  3. Bekijk de locatie, het IP-adres en het apparaat van de aanmelding.
  4. Vraag de gebruiker of die op dat moment, vanaf die plek, daadwerkelijk heeft ingelogd.
  5. Herkent de gebruiker het niet, behandel het dan meteen als een inbraak.
info

Wat een melding triggert

Een verdachte aanmelding ontstaat door een ongebruikelijke locatie, een onbekend apparaat, een aanmelding kort na een eerdere op een andere plek (onmogelijke reis) of een bekend kwaadaardig IP-adres. Google biedt de gebruiker vaak eerst een extra beveiligingsuitdaging aan; pas als die mislukt of wordt afgebroken, stuurt Google de admin-melding.

Direct ingrijpen bij een echte inbraak

Herkent de gebruiker de aanmelding niet, dan telt elke minuut. Hoe langer de aanvaller toegang houdt, hoe groter de schade. Volg een vaste volgorde zodat je niets overslaat.

dangerous

Reset bij een bevestigde inbraak onmiddellijk het wachtwoord, herstel of reset 2SV, log alle sessies geforceerd uit (reset de aanmeldcookies) en trek alle app-wachtwoorden in. Wacht hier niet mee; een actieve aanvaller kan anders data stelen of doorsturen.

Account dichten in de juiste volgorde

  1. Open de gebruiker in Directory > Gebruikers en klik op de naam.
  2. Kies Wachtwoord opnieuw instellen en zet een uniek, sterk wachtwoord. Vink aan dat de gebruiker het bij de volgende aanmelding moet wijzigen.
  3. Ga naar Beveiliging bij de gebruiker en kies Aanmeldcookies opnieuw instellen om alle actieve sessies geforceerd uit te loggen. Dit kan tot een uur duren.
  4. Trek onder Beveiliging alle app-specifieke wachtwoorden in.
  5. Controleer en herstel de 2SV-instellingen; verwijder back-upcodes die de aanvaller mogelijk heeft aangemaakt.
  6. Twijfel je over de omvang, kies dan tijdelijk Gebruiker schorsen zodat het account volledig op slot gaat terwijl je onderzoekt.
lightbulb

Vergeet de Gmail-instellingen niet

Aanvallers stellen vaak een stille doorstuurregel of een filter in dat berichten verbergt, archiveert of doorstuurt naar een extern adres. Controleer in Gmail de doorstuuradressen, de filters en de delegatie, en verwijder alles wat de gebruiker niet zelf heeft ingesteld.

warning

Trek gekoppelde apps en tokens in

Een aanvaller laat soms een OAuth-token of een gekoppelde externe app achter om toegang te houden, ook na een wachtwoordreset. Ga naar Beveiliging > Toegangs- en gegevensbeheer > API-besturingselementen > App-toegang beheren en trek verdachte verbindingen voor de getroffen gebruiker in.

Onderzoek de omvang

Na het dichten van de toegang onderzoek je wat er is gebeurd. Is er e-mail verzonden, zijn er bestanden gedeeld of gedownload, en zijn er instellingen gewijzigd? De onderzoekstool en de auditlogboeken geven hier antwoord op.

warning

Controleer op verdere verspreiding

Gedeelde Drive-bestanden, phishingmail die naar collega's is verstuurd of gewijzigde herstelgegevens kunnen wijzen op een bredere aanval. Pak die signalen ook aan en waarschuw zo nodig de andere getroffen gebruikers.

Voorkomen voor de volgende keer

Een verdachte aanmelding is vaak het gevolg van phishing of een gelekt wachtwoord. Verplichte 2SV, bij voorkeur met beveiligingssleutels of passkeys, en gebruikerstraining tegen phishing verkleinen de kans op herhaling sterk. Stel ook de beveiligingswaarschuwingen in het beveiligingscentrum in zodat je sneller gewaarschuwd wordt en overweeg activiteitsregels die bij een verdachte aanmelding automatisch de aanmeldcookies resetten.

Is elke verdachte aanmelding een hack?

Nee, een reis, een VPN of een nieuw apparaat kan de melding ook triggeren. Verifieer altijd eerst bij de gebruiker voordat je het account dichttrekt.

Wat doe ik als eerste bij een bevestigde inbraak?

Reset het wachtwoord en 2SV en log alle sessies uit door de aanmeldcookies te resetten. Daarna trek je de app-wachtwoorden in en controleer je de Gmail-regels.

Waarom blijft de aanvaller binnen na een wachtwoordreset?

Een achtergebleven OAuth-token of gekoppelde externe app kan toegang houden los van het wachtwoord. Trek daarom ook de app-toegang van de gebruiker in via de API-besturingselementen.

Waar zie ik wat de aanvaller heeft gedaan?

In de onderzoekstool van het beveiligingscentrum en in de auditlogboeken zie je verzonden e-mail, gedeelde bestanden en gewijzigde instellingen.

Moet ik de gebruiker schorsen?

Schorsen is handig als je tijd nodig hebt om te onderzoeken of als de omvang onduidelijk is. Het account gaat dan volledig op slot terwijl e-mail en bestanden bewaard blijven.

Hoe voorkom ik verdachte aanmeldingen?

Dwing 2SV af, gebruik bij voorkeur beveiligingssleutels of passkeys en train gebruikers om phishing te herkennen.

Verwant in de kennisbank

Pagina's die je verder helpen bij dit onderwerp.

Waarom wordt een Google Workspace-account automatisch gesuspendeerd?

Google suspendeert een Workspace-account automatisch bij verdachte activiteit zoals een gehackt account, een spamuitbraak of ongebruikelijke aanmeldingen. Onderzoek eerst de oorzaak via de Onderzoekstool, anders volgt vaak meteen opnieuw een suspensie.

schedule4 min label4 gedeelde tags
Lees verder arrow_forward

Voorkomen dat je jezelf buitensluit via 2-stapsverificatie

Voorkom een lockout door meerdere tweede factoren te registreren: een telefoon, een passkey of authenticator-app, back-upcodes en bij voorkeur een fysieke beveiligingssleutel.

schedule4 min label3 gedeelde tags
Lees verder arrow_forward

Break-glass admin-account aanmaken in Google Workspace

Een break-glass admin-account is een noodaccount met supergebruikersrechten dat je alleen gebruikt als je reguliere beheerders zijn buitengesloten. Je beveiligt het met fysieke beveiligingssleutels, bewaart de gegevens offline in een kluis en monitort elk gebruik via reporting rules.

schedule4 min label3 gedeelde tags
Lees verder arrow_forward

Gebruiker ontvangt geen verificatiecode: oplossingen

Een verificatiecode die niet aankomt ligt meestal aan een verkeerd of verouderd telefoonnummer, een netwerkprobleem, vol sms-geheugen of vertraging bij de provider. Controleer het nummer, probeer een spraakoproep en val terug op back-upcodes of een authenticator-app.

schedule4 min label3 gedeelde tags
Lees verder arrow_forward

2-stapsverificatie tijdelijk uitschakelen voor een gebruiker

Een beheerder helpt een gebruiker die zijn tweede factor kwijt is meestal sneller en veiliger met een back-upcode dan met het uitschakelen van 2SV. Echt uitschakelen kan via een organisatie-eenheid zonder verplichte 2-stapsverificatie, maar houd die periode kort.

schedule4 min label3 gedeelde tags
Lees verder arrow_forward