# Wat te doen bij een suspicious login melding in Google Workspace Een melding over een verdachte aanmelding is geen moment om af te wachten. Google signaleert een ongebruikelijke locatie, een onbekend apparaat of een afwijkend patroon. Handel snel om een mogelijke inbraak te stoppen voordat er schade ontstaat. ## Beoordeel of de aanmelding legitiem is Niet elke verdachte aanmelding is een inbraak. Een gebruiker op reis, een nieuw apparaat of een VPN kan de melding triggeren. Stel daarom eerst vast of de gebruiker de aanmelding herkent voordat je iets reset. :::howto title="Aanmelding beoordelen" 1. Open `admin.google.com` en ga naar **Beveiliging > Beveiligingscentrum > Onderzoekstool** (Security center > Investigation tool). 2. Filter op de betreffende gebruiker en op het tijdstip van de melding. 3. Bekijk de locatie, het IP-adres en het apparaat van de aanmelding. 4. Vraag de gebruiker of die op dat moment, vanaf die plek, daadwerkelijk heeft ingelogd. 5. Herkent de gebruiker het niet, behandel het dan meteen als een inbraak. ::: :::info title="Wat een melding triggert" Een verdachte aanmelding ontstaat door een ongebruikelijke locatie, een onbekend apparaat, een aanmelding kort na een eerdere op een andere plek (onmogelijke reis) of een bekend kwaadaardig IP-adres. Google biedt de gebruiker vaak eerst een extra beveiligingsuitdaging aan; pas als die mislukt of wordt afgebroken, stuurt Google de admin-melding. ::: ## Direct ingrijpen bij een echte inbraak Herkent de gebruiker de aanmelding niet, dan telt elke minuut. Hoe langer de aanvaller toegang houdt, hoe groter de schade. Volg een vaste volgorde zodat je niets overslaat. :::danger Reset bij een bevestigde inbraak onmiddellijk het wachtwoord, herstel of reset 2SV, log alle sessies geforceerd uit (reset de aanmeldcookies) en trek alle app-wachtwoorden in. Wacht hier niet mee; een actieve aanvaller kan anders data stelen of doorsturen. ::: :::howto title="Account dichten in de juiste volgorde" 1. Open de gebruiker in **Directory > Gebruikers** en klik op de naam. 2. Kies **Wachtwoord opnieuw instellen** en zet een uniek, sterk wachtwoord. Vink aan dat de gebruiker het bij de volgende aanmelding moet wijzigen. 3. Ga naar **Beveiliging** bij de gebruiker en kies **Aanmeldcookies opnieuw instellen** om alle actieve sessies geforceerd uit te loggen. Dit kan tot een uur duren. 4. Trek onder **Beveiliging** alle **app-specifieke wachtwoorden** in. 5. Controleer en herstel de **2SV-instellingen**; verwijder back-upcodes die de aanvaller mogelijk heeft aangemaakt. 6. Twijfel je over de omvang, kies dan tijdelijk **Gebruiker schorsen** zodat het account volledig op slot gaat terwijl je onderzoekt. ::: :::tip title="Vergeet de Gmail-instellingen niet" Aanvallers stellen vaak een stille doorstuurregel of een filter in dat berichten verbergt, archiveert of doorstuurt naar een extern adres. Controleer in Gmail de doorstuuradressen, de filters en de delegatie, en verwijder alles wat de gebruiker niet zelf heeft ingesteld. ::: :::warn title="Trek gekoppelde apps en tokens in" Een aanvaller laat soms een OAuth-token of een gekoppelde externe app achter om toegang te houden, ook na een wachtwoordreset. Ga naar **Beveiliging > Toegangs- en gegevensbeheer > API-besturingselementen > App-toegang beheren** en trek verdachte verbindingen voor de getroffen gebruiker in. ::: ## Onderzoek de omvang Na het dichten van de toegang onderzoek je wat er is gebeurd. Is er e-mail verzonden, zijn er bestanden gedeeld of gedownload, en zijn er instellingen gewijzigd? De onderzoekstool en de auditlogboeken geven hier antwoord op. :::warn title="Controleer op verdere verspreiding" Gedeelde Drive-bestanden, phishingmail die naar collega's is verstuurd of gewijzigde herstelgegevens kunnen wijzen op een bredere aanval. Pak die signalen ook aan en waarschuw zo nodig de andere getroffen gebruikers. ::: ## Voorkomen voor de volgende keer Een verdachte aanmelding is vaak het gevolg van phishing of een gelekt wachtwoord. Verplichte 2SV, bij voorkeur met beveiligingssleutels of passkeys, en gebruikerstraining tegen phishing verkleinen de kans op herhaling sterk. Stel ook de beveiligingswaarschuwingen in het beveiligingscentrum in zodat je sneller gewaarschuwd wordt en overweeg activiteitsregels die bij een verdachte aanmelding automatisch de aanmeldcookies resetten. :::faq ### Is elke verdachte aanmelding een hack? Nee, een reis, een VPN of een nieuw apparaat kan de melding ook triggeren. Verifieer altijd eerst bij de gebruiker voordat je het account dichttrekt. ### Wat doe ik als eerste bij een bevestigde inbraak? Reset het wachtwoord en 2SV en log alle sessies uit door de aanmeldcookies te resetten. Daarna trek je de app-wachtwoorden in en controleer je de Gmail-regels. ### Waarom blijft de aanvaller binnen na een wachtwoordreset? Een achtergebleven OAuth-token of gekoppelde externe app kan toegang houden los van het wachtwoord. Trek daarom ook de app-toegang van de gebruiker in via de API-besturingselementen. ### Waar zie ik wat de aanvaller heeft gedaan? In de onderzoekstool van het beveiligingscentrum en in de auditlogboeken zie je verzonden e-mail, gedeelde bestanden en gewijzigde instellingen. ### Moet ik de gebruiker schorsen? Schorsen is handig als je tijd nodig hebt om te onderzoeken of als de omvang onduidelijk is. Het account gaat dan volledig op slot terwijl e-mail en bestanden bewaard blijven. ### Hoe voorkom ik verdachte aanmeldingen? Dwing 2SV af, gebruik bij voorkeur beveiligingssleutels of passkeys en train gebruikers om phishing te herkennen. :::