M365-sähköpostitilimurto tarkoittaa luvatonta Microsoftin M365-ekosysteemin sähköpostitilin kaappausta haltuun saatujen tunnusten avulla. Yleisin keino sähköpostitilien kaappaamiseen on tunnusten varastaminen tietojenkalastelun avulla. On hyvin yleistä, että kaapattua tiliä käytetään kalasteluviestien lähettämiseen tililtä löytyvän yhteystietolistan jäsenille. M365-tilimurtoja raportoidaan kaikilta sektoreilta ja kaikenkokoisista organisaatioista. Tehkää tietomurrosta rikosilmoitus poliisille.
M365-sähköpostitilimurto
Organisaatio tai sen työntekijä havaitsee tilin hallinnan päätyneen ulkopuoliselle. Tililtä voi olla jo ehditty lähettää kalasteluviestejä eteenpäin, jolloin tilin hallinnan palauttamisen lisäksi vastaanottajien varoittaminen on ensisijaista.
- Mitä toimenpiteitä hyökkääjä on tehnyt haltuun otetulla tilillä? Onko kalasteluviestejä lähetetty oman organisaation ulkopuolelle?
- Miten tilin kaappaus oli onnistunut? Miten käyttäjä olisi voinut välttää tilin hallinnan menetyksen
- Onko murtautumisen yhteydessä varastettu organisaation tietoja?
Toimenpiteet
- Sisäinen viestintä: mitä on käynyt, minkälaisia viestejä pitää varoa ja muut toimenpidesuositukset. On lisäksi syytä kertoa mitä vastatoimia ja mahdollisia suojausten parannuksia on toteutettu tai toteutetaan.
- Ulkoinen viestintä: mikäli murretulta tililtä on lähetetty kalasteluviestejä, tarkistakaa kenelle ja lähettäkää kaikille vastaanottaneille nopeasti varoitusviesti
Tehkää tapahtuneesta rikosilmoitus poliisille ja noudattakaa poliisin antamia ohjeita myös tapahtuneesta viestimisessä.
Verkkosivuilla on hyvä viestiä tapauskohtaisesti, mikäli organisaation nimissä tai murretulta tililtä on lähetetty kalasteluviestejä. On tärkeää myös viestiä mihin toimenpiteisiin tapauksen johdosta on ryhdytty ja miten vastaava pyritään estämään jatkossa.
Kyberturvallisuuskeskuksen CERT-toiminto ennaltaehkäisee tietoturvaloukkauksia muun muassa yhteistyöllä palveluntarjoajien kanssa haitallisen sisällön poistamiseksi internetistä.
Esimerkkiviesti
Hei!
Olette saaneet tietojemme mukaan osoitteesta _____ viestin otsikolla _____.
Kyseessä on käyttäjätunnuksia kalasteleva huijausviesti, joka on lähetetty organisaatiomme murretulta käyttäjätunnukselta nimi@domain.fi. Käyttäjätunnuksen hallinta on palautettu ja enempää huijausviestejä tililtä ei pitäisi tulla.
Viestissä ollut linkki johtaa rikollisten hallussa olevalle kalastelusivustolle. Mikäli olet syöttänyt linkin kautta avautuvalle sivustolle käyttäjätunnuksesi ja salasanasi, ota heti yhteys yrityksesi ICT-tukeen ja kerro tapahtuneesta. Jos yrityksessäsi ei ole ICT-tukea, toimi seuraavien ohjeiden mukaan (Ulkoinen linkki).