Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus varoittaa kaikkia Microsoft 365 -sähköpostijärjestelmien käyttäjiä murroista, joiden määrä on lisääntynyt koko syksyn.
Varoitus koskee niin yrityksiä, yksityishenkilöitä kuin julkisorganisaatioita. Microsoftin Outlook on laajasti käytetty sähköposti-, kalenteri- ja viestintäohjelma.
Käynnissä oleva murtoaalto on saanut monet haksahtamaan, koska kalasteluviestit saapuvat usein tutulta lähettäjältä.
– Viestit ovat erityisen petollisia, koska ne voivat tulla esimerkiksi yhteistyökumppanin aiemmin murretusta osoitteesta, kertoo tietoturva-asiantuntija Antti Nikkinen Kyberturvallisuuskeskuksesta.
Viestit voidaan myös naamioida näyttämään sopimuksilta tai laskuilta, jotka vaativat vastaanottajalta toimenpiteitä.
– Viestissä voi olla linkki esimerkiksi ”lasku.pdf”-nimiseen tiedostoon, ja kun linkin avaa, pyydetään kirjautumistunnuksia. Jos ne syöttää, tunnukset ohjautuvat rikollisen haltuun, Nikkinen kuvaa.
Viestit voivat myös tulla SharePointin tai OneDriven kautta jakotiedostoina. Kun tiedoston avaa, joutuu ohjatuksi tietojenkalastelusivulle.
Laskutuspetosten tehtailua
Rikolliset kirjautuvat varastettujen tunnusten avulla Microsoft 365 -palveluihin ja hyödyntävät kaapattuja tilejä uusien tietojenkalasteluviestien lähettämiseen ja laskutuspetosten tekemiseen.
Uusia kalasteluviestejä levitetään etenkin uhrin sähköisestä osoitekirjasta löytyville henkilöille. Tätä varten saatetaan uhrin M365-ympäristöön asentaa erillinen massapostitukseen tarkoitettu ohjelma, jonka avulla tililtä voidaan lähettää tuhansia uusia kalasteluviestejä. Kalastelusivuilla on Traficomin mukaan käytetty myös kehittynyttä automatiikkaa, joka kykenee ohittamaan monivaiheisen tunnistamisen.
Pahimmillaan tilimurrot voivat johtaa esimerkiksi yrityksen liiketoiminnan häiriöihin ja mainehaittaan tai toimia porttina laajemmille hyökkäyksille.
Traficomille tulleiden ilmoitusten määrä on ollut koko syksyn tasaisessa kasvussa. Elokuussa ilmoituksia tuli 80, syyskuussa 117 ja lokakuussa 120. Murtojen todellinen määrä voi olla hyvinkin paljon tätä suurempi. Yhteen ilmoitukseen voi liittyä jopa kymmeniä murtoja, eikä kaikkia tapauksia ilmoiteta Traficomiin.
– Riski on olemassa kaikilla organisaatioilla ja sektoreilla, jotka käyttävät Microsoft 365-ympäristöä, Antti Nikkinen muistuttaa.
Tiedossa ei ole, mistä päin maailmaa rikolliset toimivat. Ilmiö on kuitenkin Suomea laajempi.
Mistä tietää, että tilille on murtauduttu?
Murtautumista voi olla vaikea havaita, sillä murtautujat haluavat pysyä näkymättöminä niin pitkään kuin mahdollista. Joitakin merkkejä voi kuitenkin tarkkailla.
– Jos kirjautumisia tilille tulee sijainneista, joita ei tunnista, hälytyskellojen tulisi soida. Kirjautumisista voi tulla myös pop up -ilmoituksia tai viestejä. Ylläpitäjätkin voivat havaita epäilyttävää toimintaa, kuten kirjautumisia vieraista ip-osoitteista, Nikkinen kuvaa.
Murtojen päämääränä on usein jatkokalasteluviestien lähettely, joten jos tililtä lähtee viestejä, joita ei ole lähettänyt tai omista viesteistä tulee kyselyjä, tietoturva-asiat kannattaa tarkistaa.
Jos omaan sähköpostiin on murtauduttu, rikolliset voivat myös lähettää kaikki saapuneet viestit itselleen. Postiin voi myös luoda esimerkiksi uusia kansioita, jonne viestiliikennettä kätketään.
– Murtautujat pyrkivät piilottamaan viestejä, eli he poistavat lähettämänsä kalasteluviestit, joten toimintaa voi olla hyvinkin vaikea havaita lähetetyt-kansiota katsomalla, Nikkinen kertoo.
Miten voisi suojautua?
Jos viestin aitous epäilyttää, siihen ei kannata vastata, eikä linkkejä kannata klikata.
– Pyri välttämään paineen ja kiireen tuntua, katso viestiä ajatuksen kanssa. Soita viestin lähettäjälle tai kysy pikaviestillä, onko viesti todella häneltä, jos tulee vastaan jotain epäilyttävää, Antti Nikkinen ohjeistaa.
Jos kyseessä on työkone ja työsähköposti, epäilyistä tai kohdatuista tietoturvaongelmista tulisi myös ilmoittaa viipymättä oman organisaation it-tukeen. Organisaatio voi pyrkiä suojautumaan sähköpostimurroilta ottamalla käyttöön monivaiheisen tunnistautumisen, vaikka aina sekään ei auta.
– Lisäksi on olemassa salasanattomia kirjautumismenetelmiä ja ehdollisia käyttöoikeuskäytäntöjä. Organisaatio voi esimerkiksi mahdollistaa kirjautumisen vain tietyistä maista. Voidaan myös edellyttää ylimääräistä todentamismenetelmää, jossa hyödynnetään erillisiä koodeja, Nikkinen kuvaa.
Salasanaton kirjautuminen perustuu yleensä avainperusteiseen tunnistautumiseen – se on tapa kirjautua tilille käyttämättä käyttäjätunnusta ja salasanaa.
Traficomin sivustolta löytyy lisää ohjeita M365-ympäristön turvallisuusominaisuuksien käyttöönotosta. Lisätietoa aiheesta löytyy Kyberturvallisuuskeskuksen verkkosivuilta:
