Microsoft 365 -tilejä murretaan ennätysvauhtia. Varo “aidoilta” näyttäviä sopimus- ja laskuviestejä.

Tiivistettynä: Kyberturvallisuuskeskus varoittaa, että Microsoft 365 -tileihin kohdistuvat murrot jatkuvat kiihtyvällä tahdilla. Vaikka viranomainen julkaisi vakavan varoituksen jo syyskuussa, ilmoituksia tehtiin syyskuussa 117 ja lokakuussa 120. Ilmiö koskee kaikkia M365-ympäristöjä käyttäviä organisaatioita ja heidän työntekijöitään.  

Miten hyökkäys yleensä etenee:  

• Rikollinen kalastelee käyttäjän M365-tunnukset (usein sähköpostilinkin kautta). Kun tunnus on saatu, hän kirjautuu tilille ja käy läpi sähköposteja, yhteystietoja ja dokumentteja.  

• Murretulta tililtä lähetetään uusia kalasteluviestejä uhrin kontakteille ja näin murrot leviävät organisaatiosta toiseen.  

• Viestit naamioidaan sopimuksiksi tai laskuiksi. Viesteissä oleva linkki johtaa tiedostonjakopalveluun (SharePoint tai OneDrive), josta uhri ohjataan edelleen rikollisten kalastelusivulle. Tämä tekee viesteistä poikkeuksellisen uskottavia.  

• On myös tapauksia, joissa hyökkääjä on luonut uhrin tunnuksilla sähköpostilaatikkoon säännön, joka ohjaa haitallisia linkkejä levittävien viestien vastaukset omaan kansioon. Tämä voi estää uhria näkemästä, että hänen tilinsä levittää haitallisia viestejä kontakteilleen.  

Muistutus: Tutuiltakin” tuleva viesti voi olla vaarallinen, jos lähettäjän tili on kaapattu. Epäilyttävissä tilanteissa älä klikkaa linkkejä, vaan varmista aitous toisen kanavan kautta esimerkiksi puhelulla. Ilmoita aina IT-tukeen tai viesti organisaation sisäisesti, jotta informaatio liikkuu mahdollisismman nopeasti ja mahdolliset onnistuneet murrot saadaan korjattua välittömästi. Älä kuitenkaan ikinä edelleen lähetä viestiä, jonka koet olevan haitallinen, vaan luo siitä lyhyt, itse kirjoitettu tiivistelmä ja välitä tieto eteenpäin.  

Miksi tämä on vakavaa?  

Tilimurto avaa pääsyn sähköposteihin ja dokumentteihin. Se altistaa laskutuspetoksille, väärinkäytöksille ja voi häiritä liiketoimintaa tai toimia porttina laajemmille hyökkäyksille. Viranomaisen tietoon ei toistaiseksi ole tullut tapauksia, joissa pelkällä murretulla käyttäjällä olisi onnistuttu laajentamaan käyttöoikeuksia, mutta vahinkoa saadaan aikaa jo sähköpostien kautta.  

Mitä jokainen käyttäjä voi tehdä heti?  

• Pysähdy ennen klikkausta. Sopimus- tai laskuviesti, joka vaatii kirjautumista, voi olla merkki huijauksesta. Tarkista lähettäjä ja osoite huolella.  

• Kirjaudu vain aitoon M365-palveluun. Älä koskaan syötä tunnuksia linkistä avautuvalle sivulle, jos et ole varma osoitteesta.  

• Ilmoita poikkeamista. Epäilyttävästä viestistä tieto heti organisaatiosi IT-tukeen tai sisäisesti (muista! Älä  edelleenlähetä haitallista viestiä).  

Miten organisaatio voi suojautua (ohjeita IT-vastaavalle)?  

• Ota organisaatio tasolla käyttöön monivaiheinen tunnistautuminen.  

• Ehdollisen käytön (Conditional Access) aktivoiminen: rajoita kirjautumista sijaintien, verkkojen tai sovellusten perusteella.  

• Valvonta ja reagointi: varmista Microsoft audit-lokit ja hälytykset, tarkista automaattiset edelleenlähetyssäännöt ja luvattomat sovellusoikeudet.  

Mitä tehdä jos epäilet tilimurtoa?  

Toimi välittömästi: sulje käyttöoikeudet tilapäisesti, katkaise avoimet istunnot (kirjaa käyttäjä ulos kaikista palveluista), pakota salasanan vaihto, poista haitalliset säännöt (esimerkiksi sähköpostien uudelleenohjaus), sovellukset ja käy läpi Traficomin ohje "Toimi näin Microsoft 365 -tilin tietomurron sattuessa"  

Lue myös kyberturvallisuuskeskuksen viikkokatsaus, jossa hyökkäyksestä kerrotaan.