Microsoft 365 -tuotteiden käyttäjiä varoitetaan vakavasta tietomurtoaallosta
Microsoft 365 -tuotteiden käyttäjiä varoitetaan vakavasta tietomurtoaallosta
Suomalaisten yritysten sähköpostitilejä on kaapattu laajalle levinneen tietojenkalastelukampanjan avulla. Rikolliset ovat kalastelleet yritysten työntekijöiden käyttäjätunnuksia ja salasanoja sähköpostitse ja huijaussivujen avulla, sekä kirjautuneet saamillaan tunnuksilla Microsoft 365 -sähköpostijärjestelmiin. Kaapattuja tilejä on käytetty uusien tietojenkalasteluviestien lähettämiseen sekä sisäisesti että muihin yrityksiin.
Traficomin alainen Kyberturvallisuuskeskus on saanut kymmeniä ilmoituksia murretuista Microsoft-tileistä ja niiltä lähetetyistä tietojenkalasteluviesteistä. Tietomurtojen avulla murtautuja on saanut pääsyn tileille ja niillä oleviin sähköposteihin. Kyberturvallisuuskeskuksen tiedossa ei ole, että tilien tietomurrot olisivat johtaneet lateraaliseen etenemiseen organisaation järjestelmien sisällä. Tilien murrot kuitenkin altistavat muillekin tietoturvaloukkausten riskeille.
Tietojenkalastelu näyttää tietoturvapostilta
Tietoturvaloukkauksen kulku on seuraava: Hyökkääjä lähettää murretuilta käyttäjätileiltä kalasteluviestejä sähköpostitse käyttäjätilin aikaisemmille kontakteille. Kalasteluviestien sisältö on vaihdellut. Hyökkääjä saattaa kierrättää tietomurron uhrin aikaisemmin lähettämiä sähköpostiviestejä, joihin hyökkääjä lisää linkin kalastelusivulle.
Monissa tapauksissa kalasteluviesti näyttää tietoturvaviestiltä. Viesti on väärennetty muistuttamaan yleistä tietoturvaratkaisua, mutta linkki palveluun on muokattu ohjaamaan rikollisten hallussa olevalle sivustolle. Joissakin tapauksissa hyökkääjä on lähettänyt jopa oikeita tietoturvaviestejä, kalasteluun ohjaava linkki on ollut viestin sisällössä.
Kalastelusivuilla on käytetty kehittynyttä adversary-in-the-middle-automatiikkaa (AitM), joka joissakin tapauksissa kykenee myös monivaiheisen tunnistamisen ohittamiseen. Hyökkääjä yrittää hyvin pian onnistuneen tietojenkalastelun jälkeen murtautua käyttäjätilille. Kirjautumisyrityksiä tulee ympäri maailmaa, myös Suomesta. Onnistuneen kirjautumisen jälkeen tililtä lähetetään uusia kalasteluviestejä tilin yhteystietoluettelolle.
Joissakin tapauksissa, kun kalasteluviestin vastaanottaja on vastannut kalasteluviestiin sähköpostilla suomeksi, hyökkääjä on vastannut myös suomeksi ja kehottanut avaamaan kalasteluviestissä olevan linkin. Viestin aitoutta epäiltäessä tulisi se tarkastaa jotakin toista viestintäkanavaa pitkin. Sähköpostiviestin aitouden voi tarkistaa esimerkiksi soittamalla lähettäjälle.
Näin suojaudut tietomurroilta
Kyberturvallisuuskeskus neuvoo olemaan vastaamatta viestiin, joka aiheuttaa epäilyksiä. Viestin aitoudesta tulisi varmistua jotain muuta reittiä pitkin (esim. puhelu, pikaviesti tms.). Jos epäilet, että sähköpostitilisi on murrettu, tarkista edelleenlähetyssäännöt, sekä ylläpitäjän että käyttäjän näkymästä. Murrettujen tilien salasanojen vaihtaminen ei yleensä riitä, jos rikolliset ovat onnistuneet varastamaan ”session cookien”. Peru käyttäjän kaikki käyttöoikeudet hetkeksi, jotta avoimet istunnot sulkeutuvat.
Kyberturvallisuuskeskus suosittelee myös seuraavia toimenpiteitä:
- Ota käyttöön monivaiheinen tunnistautuminen (MFA) kaikille Microsoft 365 -tileille. Vaikka MFA ei ole täysin varma keino estää tietomurtoja, se vaikeuttaa niitä merkittävästi.
- Rajoita kirjautumisia vain tarvittavista maista ja IP-osoitteista. Jos organisaatiosi ei tarvitse kirjautua Microsoft 365 -palveluihin muualta kuin Suomesta, voit estää kirjautumiset muista maista¹.
- Valvo epätavallisia kirjautumisia ja toimintoja. Microsoft 365 -palveluissa on mahdollista seurata tilien kirjautumisia ja toimintoja eri raporttien avulla. Jos havaitset jotain poikkeavaa, reagoi siihen nopeasti.
- Kouluta henkilöstöäsi tunnistamaan tietojenkalasteluviestit ja raportoimaan niistä.
Tietojenkalastelu on yleisin tapa murtautua yrityksen järjestelmiin. Henkilöstön tietoisuus ja valppaus ovat ensisijaisia keinoja torjua tätä uhkaa.
Lue lisää:
Käytätkö Microsoft 365 -tuotteita? Tietomurtoaalto leviää yrityksestä toiseen