TIEDOTE 6.2.2025

Varoitus: Lisääntyneet tietojenkalasteluhyökkäykset M365-tunnuksiin

Viime aikoina olemme havainneet merkittävää kasvua Microsoft 365 -käyttäjätunnuksiin kohdistuvissa tietojenkalasteluhyökkäyksissä.

Hyökkääjät pyrkivät kaappaamaan käyttäjätilejä lähettämällä sähköpostitse linkkejä, jotka johtavat asiakirjaan – useimmiten PDF-dokumenttiin Dropbox-palvelussa. Kun vastaanottaja klikkaa linkkiä, hänet ohjataan tyhjälle sivulle, ja hänen kirjautumistietonsa varastetaan huomaamatta.

Kun hyökkääjä saa pääsyn M365-tiliin, seuraukset voivat olla vakavia. Esimerkkejä havaituista tapauksista:

  • Sähköpostisäännöt manipuloidaan – Saapuvat viestit voidaan poistaa tai merkitä luetuiksi, jolloin uhrille ei jää jälkeä saapuneista viesteistä.
  • Väärennetty Dropbox-tili luodaan – Hyökkääjä voi rekisteröidä Dropbox-tilin käyttäen uhrin Microsoft 365 -tunnuksia.
  • Hyökkäys leviää edelleen – Kaapatun tilin kautta tietojenkalasteluviestejä lähetetään automaattisesti uhrin yhteystiedoille.

 

Miten toimia, jos epäilet joutuneesi hyökkäyksen kohteeksi?

Jos olet klikannut epäilyttävää linkkiä tai huomaat poikkeavaa toimintaa sähköpostissasi, ota välittömästi yhteyttä IT-tukeen. Nopealla reagoinnilla voidaan estää tilin kaappaus ja mahdolliset jatkovahingot.

 

Toimenpiteet yrityksen IT:lle:

  • Kaikki istunnot tulee kirjata ulos ja salasana vaihtaa
  • MFA tulee rekisteröidä uudelleen
  • Outlook-sähköpostisäännöt tulee tarkistaa uusien haitallisten sääntöjen varalta
  • OneDrive tiedostot tulee tarkistaa haitallisten lisäysten varalta
Miten luotettava IT-kumppani voi estää tietoturvaan liittyviä ongelmatilanteita?
Ota yhteyttä meihin ja kysy lisää!
  • Tietoturvariskien kartoitus ennalta
  • Henkilökunnan koulutus ja oikeat käytänteet
  • Nopea reagointi ongelmatilanteissa
  • Tietojen turvaaminen ja palautus

Tietoturvaloukkauksen eteneminen ja ehkäisy

Miten hyökkäys tapahtuu?

Kyberrikolliset hyödyntävät murrettuja käyttäjätilejä lähettämällä sähköpostitse tietojenkalasteluviestejä aiemmille kontakteille. Viestien sisältö vaihtelee, mutta niissä hyödynnetään usein huijauksia, kuten:

  • Aiemmin lähetettyjen sähköpostiviestien jatkaminen lisäämällä niihin tietojenkalastelulinkkejä.
  • Väärennettyjen turvapostiviestien lähettäminen, joissa on ohjattu linkki haitalliselle verkkosivulle.
  • Aitojen turvapostiviestien hyödyntäminen, jolloin kalastelulinkki on upotettu viestin sisältöön.

Edistyneet hyökkäykset voivat sisältää Adversary-in-the-Middle (AiTM) -automaatiota, joka pystyy kiertämään monivaiheisen tunnistautumisen (MFA). Tämä mahdollistaa hyökkääjälle pääsyn käyttäjän sähköpostiin ja muihin pilvipalveluihin.

Heti onnistuneen tietojenkalastelun jälkeen hyökkääjät pyrkivät kirjautumaan murretulle tilille eri puolilta maailmaa, myös Suomesta. Onnistuneen kirjautumisen jälkeen tililtä voidaan lähettää uusia kalasteluviestejä käyttäjän yhteystietoluettelolle.

 

Huijausviestien tunnistaminen

Joissakin tapauksissa, jos vastaanottaja vastaa tietojenkalasteluviestiin suomeksi, hyökkääjä voi vastata samalla kielellä ja yrittää suostutella uhrin klikkaamaan linkkiä. Siksi viestin aitoutta epäiltäessä tulisi varmistaa sen luotettavuus vaihtoehtoisella tavalla, kuten:

  • Soittamalla lähettäjälle
  • Käyttämällä muuta viestintäkanavaa (esim. pikaviesti)

 

Miten suojautua hyökkäyksiltä?

Henkilöstön koulutus ja tietoisuuden lisääminen

  • Älä koskaan klikkaa epäilyttäviä linkkejä tai vastaa epävarmoihin viesteihin.
  • Jos epäilet viestin aitoutta, varmista se toista viestintäkanavaa käyttäen.

Tiliturvallisuuden varmistaminen

  • Tarkista sähköpostitilin edelleenlähetyssäännöt sekä käyttäjän että ylläpitäjän näkymästä.
  • Jos tili on murrettu, pelkkä salasanan vaihtaminen ei riitä, jos hyökkääjä on kaapannut istuntotiedot (session cookies).
  • Varmista, ettei hyökkääjä ole lisännyt omaansa monivaiheisen tunnistautumisen (MFA) laitteisiin.
  • Sulje tilin istunnot poistamalla kaikki käyttöoikeudet tilapäisesti (ohje Microsoftilta).

Teknisten suojakeinojen käyttöönotto

  • Monivaiheinen tunnistautuminen (MFA) – vaikka AiTM voi ohittaa sen, se vaikeuttaa hyökkäystä merkittävästi.
  • Kirjautumisien maarajoitukset (geoblokkaus) – ei täysin estä hyökkäyksiä, mutta vaikeuttaa niitä.
  • Conditional Access -käytännöt – voivat estää epäilyttäviä kirjautumisyrityksiä.
  • Epätavallisten sovellusten tarkkailu – aiemmissa hyökkäyksissä on havaittu, että murretuille tileille on asennettu emClient-sovellus (Azure AD enterprise application), jonka avulla hyökkääjä jatkaa kalasteluviestien lähettämistä.

 

Tietoturva ei ole kertaluonteinen toimenpide, vaan jatkuva prosessi. Säännöllinen henkilöstön koulutus ja ajantasaisten suojausmenetelmien käyttöönotto ovat parhaita keinoja estää tietomurrot.