Käytätkö Microsoft 365 -tuotteita? Tietomurtoaalto leviää yrityksestä toiseen – Viranomaiselta vakava varoitus

Traficomin alainen Kyberturvallisuuskeskus kertoo, että murretuilta Microsoft-tileiltä on lähetetty tietojenkalasteluviestejä. Tietomurtojen avulla rikollinen on saanut pääsyn kyseisille tileille ja niillä oleviin sähköposteihin.

Viranomaisten tiedossa ei ainakaan vielä ole käyttövaltuuksien laajentamista tai muuta ”hyökkääjän jalansijan” vahvistamista organisaatioissa, joissa on raportoitu murretuista Microsoft 365-tileistä. Kyberturvallisuuskeskus kuitenkin muistuttaa, että murrot altistavat muillekin tietoturvaloukkausten riskeille.

Monivaiheinen kirjautuminen ei ole viranomaisen mukaan estänyt rikollisten toimintaa.

Tästä on kyse

Microsoft 365-tileihin kohdistuva tietoturvamurto etenee, kun hyökkääjä lähettää murretuilta käyttäjätileiltä kalasteluviestejä sähköpostitse käyttäjätilin aikaisemmille kontakteille.

Hyökkääjä saattaa kierrättää tietomurron uhrin aikaisemmin lähettämiä sähköpostiviestejä, joihin hyökkääjä lisää linkin kalastelusivulle. Monissa tapauksissa kalasteluviesti näyttää turvapostiviestiltä. Viesti on väärennetty muistuttamaan yleistä turvapostiratkaisua, mutta linkki turvapostipalveluun on muokattu ohjaamaan rikollisten hallussa olevalle sivustolle.

Joissakin tapauksissa hyökkääjä on lähettänyt oikeita turvapostiviestejä. Kalasteluun ohjaava linkki on tällöin ollut turvapostiviestin sisällössä.

Jos tietojenkalastelu onnistuu, hyökkääjä yrittää murtautua käyttäjätilille. Kirjautumisyrityksiä tulee ympäri maailmaa, myös Suomesta. Onnistuneen kirjautumisen jälkeen tililtä lähetetään uusia kalasteluviestejä tilin yhteystietoluettelolle.

Jos kalasteluviestin vastaanottaja on vastannut suomeksi sähköpostilla kalasteluviestiin, hyökkääjä on joissakin tapauksissa vastannut suomeksi ja kehottanut avaamaan kalasteluviestissä olevan linkin. Viestin aitoutta epäiltäessä tulisi se tarkastaa jotakin toista viestintäkanavaa pitkin. Sähköpostiviestin aitouden voi tarkistaa esimerkiksi soittamalla lähettäjälle.

Näin torjut

Kyberturvallisuuskeskus neuvoo olematta vastaamaan viestiin, joka aiheuttaa epäilyksiä. Viestin aitoudesta tulisi varmistua jotain muuta kautta kuten puhelimitse.

Jos epäilet, että sähköpostitili on murrettu, tarkista edelleenlähetyssäännöt sekä ylläpitäjän näkymästä että käyttäjän näkymästä. Murrettujen tilien salasanojen vaihtaminen ei yleensä riitä, jos rikolliset ovat onnistuneet varastamaan ”session cookien”.

Peru käyttäjän kaikki käyttöoikeudet hetkeksi, jotta avoimet istunnot sulkeutuvat. Tarkempia ohjeita täällä.

Viranomainen neuvoo yrityksiä tekemään rikosilmoituksen ja ilmoittamaan asiasta Kyberturvallisuuskeskukseen. Kyberturvallisuuskeskukselle ilmoittaessa mukaan voi laittaa kuvan kalasteluviestistä sekä tiedot tapauksen vaikutuksesta organisaatiolle.