Microsoft-tietomurrot kiihtyivät elokuussa – Viranomaiselta tärkeä muistutus

Microsoft 365 -tileihin kohdistuu nyt paljon tietomurtoyrityksiä.

Trafocomin alaiselle Kyberturvallisuuskeskukselle on kuluvan vuoden aikana ilmoitettu yhteensä 330 kappaletta Microsoft 365 -tileihin liittyvää tietomurtotapausta tai sen yritystä.

Viranomaisen mukaan kohteena on ollut erikokoisia organisaatioita useilta toimialoilta. ”Hyvin usein kaapattuja tilejä käytetään kalasteluviestin lähettämiseen tilin yhteystiedoille, jolloin tietomurrot leviävät tehokkaasti organisaatiosta toiseen”, Kyberturvallisuuskeskus kertoo tiedotteessaan.

Murroille ja jatkokalasteluviesteille altistuneita organisaatioita on lukuisia ja yhden organisaation sisällä voi tapahtua useita, jopa kymmeniä tilimurtoja. Rikolliset kirjautuvat varastettujen tunnusten avulla Microsoft 365 -palveluihin ja kaapattuja tilejä hyödynnetään uusien tietojenkalasteluviestien lähettämiseen sekä laskutuspetosten tekemiseen.

Tilien murrot mahdollistavat luvattoman pääsyn sähköposteihin ja dokumentteihin, mikä altistaa luottamukselliset tiedot väärinkäytölle.

Tällainen on hyökkääjän taktiikka

Tällä hetkellä suuri osa huijausviesteistä on naamioitu näyttämään sopimukselta tai laskulta, joka vaatii vastaanottajalta toimenpiteitä. Konkreettisesti viestissä voi olla esimeriksi linkki lasku.pdf -nimiseen tiedostoon, jonka avaamiseksi kirjautumistunnuksia pyydetään. Todellisuudessa tämä on huijauslinkki ja syötetyt tunnukset ohjautuvat kalastelusivuston kautta rikolliselle.

Joissakin tapauksissa viranomainen on havainnut, että hyökkääjä on vastannut suomeksi ja kehottanut avaamaan kalasteluviestissä olevan linkin. Hyökkääjä on saattanut pyrkiä lisäämään sähköpostilaatikkoon säännön, jonka avulla uhri ei näe kalasteluviestiin saapuvia vastausviestejä. Tällöin ne ohjautuvat omaan kansioonsa. Itse tekemästään laatikosta käsin hyökkääjä on käynyt vastaanottajien kanssa dialogia ja pyrkinyt saamaan heidät vakuuttuneeksi sekä toimimaan hyökkääjän haluamalla tavalla.

Jos vastaanottaja epäilee viestin aitoutta, viestin asia tulee viranomaisen mukaan tarkastaa jotakin toista viestintäkanavaa pitkin. Sähköpostiviestin aitouden voi tarkistaa esimerkiksi soittamalla lähettäjälle.

Näin murto etenee

Hyökkääjä saa haltuunsa käyttäjän tunnuksen ja salasanan tietojenkalasteluviestin tai tietojenkalastelunsivun avulla. Käyttäjä eli uhri syöttää tietonsa tietojenkalasteluun. Jos monivaiheista tunnistautumista ei ole käytössä, tili on heti hyökkääjän käytettävissä.
Rikollinen kirjautuu M365-ympäristöön käyttäen kaapattua tunnusta. Hän tutkii sähköposteja, kontakteja ja tiedostoja saadakseen käsityksen käyttäjän tai organisaation toiminnasta.
Hyökkääjä lähettää murretuilta käyttäjätileiltä kalasteluviestejä sähköpostitse käyttäjätilin yhteystiedoille ja pyrkii näin murtamaan lisää tilejä.
Monissa tapauksissa hyökkääjä on hyödyntänyt uhrinsa Sharepoint tai OneNote -palvelua jakaakseen tiedostoja, jotka ohjaavat lopulta tietojenkalastelusivuille.
Hyökkääjä voi muuttaa sähköpostitilin asetuksia. Rikolliset voivat esimerkiksi luoda sähköpostisääntöjä (esim. viestien edelleenlähetys) tai asentaa haitallisia sovelluksia, jotta pääsy säilyy myös jatkossa. Tavoitteena on pysyä näkymättömänä mahdollisimman pitkään. Hyökkääjä saattaa myös kierrättää tietomurron uhrin aikaisemmin lähettämiä sähköpostiviestejä, joihin lisää linkin kalastelusivulle.

Lähde: Kyberturvallisuuskeskus

Määrä kasvoi elokuussa

Elokuussa Kyberturvallisuuskeskukselle ilmoitettujen tapausten määrä kasvoi merkittävästi. Suomalaisten organisaatioiden sähköpostitilejä murretaan viranomaisen mukaan kiihtyvällä vauhdilla.

– On tärkeää, että kaikki M365-käyttäjät ovat valppaina myös tutuilta lähettäjiltä tulevien viestien suhteen. Kaikista viesteistä, jotka herättävät epäilyksen huijauksesta, tulee ilmoittaa organisaation ylläpidolle, Kyberturvallisuuskeskuksen erityisasiantuntija Juha Tretjakov huomauttaa.

Kyberturvallisuuskeskus tarkistaa ilmoitusten perusteella haitalliset sivustot ja lähettää viranomaisena palveluntarjoajille ympäri maailman tietoa haitallisista verkkosivuista, jotka tulisi poistaa internetistä.

Oletko jo Suomen Yrittäjien jäsen? Lue jäsenyyden eduista ja hyödyistä