Yrittäjä, nyt on aika toimia: Jälleen yksi varoitus Microsoft 365 -hyökkäyksistä – Lue ohjeet

Viranomainen varoittaa yrityksiä tietoturvariskistä koskien Microsoft 365 -tilejä. Traficomin alainen Kyberturvallisuuskeskus kertoo, että M365-tilien kaappaukseen pyrkiviä kalasteluviestejä on liikkeellä runsaasti.

”Organisaatioiden tulee panostaa M365-ympäristön suojaukseen ja mahdollisuuksien mukaan ottaa käyttöön edistyneitä tunnistautumismenetelmiä ja ehdollisia käyttöoikeuskäytäntöjä”, viranomainen kirjoittaa sivuillaan.

Kyberturvallisuuskeskuksen tietoon tulee viikottain useita M365-tilikaappauksia ja niiden yrityksiä. Viranomaisen mukaan tilin kaappaus selviää monessa tapauksessa silloin, kun organisaation ulkopuolisen tunnistaa kyseisen tilin kaapatuksi esimerkiksi saapuneen kalasteluviestin perusteella. Näin ollen tilikaappauksen uhri ei ole välttämättä tietoinen tilin päätymisestä rikollisten haltuun.

Rikollinen pyrkii pysymään näkymättömänä

Tilin kaappaus onnistuu, kun käyttäjä syöttää tietonsa rikollisen kalastelusivulle. Jos monivaiheista tunnistautumista ei ole käytössä, M356-tili on välittömästi hyökkääjän käytettävissä. Sen jälkeen rikollinen kirjautuu M365-ympäristöön käyttäen kaapattua tunnusta. Tarkoituksena on tutkia sähköposteja, kontakteja ja tiedostoja, jotta hyökkääjä saa käsityksen käyttäjän tai organisaation toiminnasta. Tämän jälkeen hyökkääjä lähettää murretuilta käyttäjätileiltä kalasteluviestejä sähköpostitse käyttäjätilin yhteystiedoille ja pyrkii näin murtamaan lisää tilejä.

Joissain tapauksissa hyökkääjä muuttaa sähköpostitilin asetuksia muuttamalla sähköpostisääntöjä tai asentamalla haitallisia sovelluksia, jotta pääsy tilille säilyy myös jatkossa. Viranomaisen mukaan rikollisten tavoitteena on pysyä näkymättömänä mahdollisimman pitkään. Hyökkääjä saattaa kierrättää tietomurron uhrin aikaisemmin lähettämiä sähköpostiviestejä, joihin lisätään linkki kalastelusivulle.

Viestit naamioidaan

Huijausviesti voi näyttää sopimukselta tai laskulta, jossa pyydetään toimenpiteitä vastaanottajalta. Viestissä voi olla esimeriksi linkki lasku.pdf-nimiseen tiedostoon, jonka avaamiseksi pyydetään kirjautumistunnuksia. Todellisuudessa kyseessä on huijauslinkki ja syötetyt tunnukset ohjautuvat kalastelusivuston kautta rikoliselle, Kyberturvallisuuskeskus kertoo.

Muutamissa tapauksissa viranomainen on havainnut, että rikollinen on vastannut suomeksi, kun kalasteluviestin vastaanottaja on lähettänyt sähköpostilla vastauksen kalasteluviestiin. Hyökkääjä on vastauksessaan kehottanut avaamaan kalasteluviestissä olevan linkin.

Joissain tapauksissa hyökkääjä on pyrkinyt lisäämään sähköpostilaatikkoon säännön, jonka avulla uhri ei näe kalasteluviestiin saapuvia vastausviestejä vaan ne ohjautuvat omaan kansioonsa. Kyseisestä laatikosta käsin hyökkääjä on käynyt keskustelua vastaanottajan kanssa ja pyrkinyt saamaan käyttäjän toimimaan haluamallaan tavalla.

Kyberturvallisuuskeskus ohjeistaa käyttäjiä tarkistamaan viestin aitouden jotain toista viestintäkanavaa pitkin. Sähköpostiviestin aitouden voi tarkistaa esimerkiksi soittamalla lähettäjälle.

Toimi näin

1. Ota käyttöön käyttöön oletussuojausasetukset ja monivaiheinen tunnistautuminen Microsoft 365 -tilillä.
2. Lisää ja tarkista monivaiheinen tunnistautuminen käyttäjätunnuksille ja järjestelmänvalvojille. 
3. Luo järjestelmänvalvojalle ”kassakaappitunnus”. Hätätilanteita varten on hyvä olla tunnus, jota ei käytetä muutoin kuin tilanteessa, jolloin kukaan muu ei voi kirjautua Microsoft 365 -palveluihisi.
4. Ota käyttöön valvontalokit. Lokin avulla saa paremman näkyvyyden mahdolliseen tietomurtoon. Lisäksi lokitiedon avulla voi jäljittää, milloin, mitä ja ehkä jopa miten tietomurto tapahtui.
5. Tarkista, onko hälytykset otettu käyttöön. Hälytysten avulla saa paremman näkyvyyden käyttäjien ja järjestelmänvalvojan toiminnoista, sekä varoituksia uhista tai tietojen katoamistapauksista.

Lähde: Kyberturvallisuuskeskus