Sähköpostitunnuksia kalastellaan jatkuvasti ja erityisesti monivaiheisen tunnistautumisen ohittava adversary-in-the-middle (AiTM) -tekniikka on yleistynyt Microsoft 365 -käyttäjätunnusten kalastelussa. Tässä artikkelissa kerromme AiTM-tekniikkaa hyödyntävän tietojenkalastelun kulusta, sen tunnistamisesta, suojautumiskeinoista sekä tietomurron estämisestä.
Adversary-in-the-middle (AiTM) -hyökkäyksen kulku
Microsoft 365-käyttäjätunnuksien kalastelu on viime vuosina ollut erittäin vilkasta. Kalasteluissa on käytetty erilaisia teemoja ja toimintatapoja, jotka ovat johtaneet lukuisten M365-käyttäjätilien tietomurtoihin. Erilaisten toimintatapojen joukosta erityisesti monivaiheisen tunnistautumisen ohittava adversary-in-the-middle (AiTM) -tekniikka on yleistynyt tunnusten murtamisessa. Microsoft (Ulkoinen linkki)raportoi havainneensa AiTM-hyökkäysten lisääntyneen 146 % 2024 vuoden aikana ja kasvu on näkynyt myös Suomessa.
Miten AiTM-hyökkäykset toimivat?
Viimeaikaiset AiTM (Adversary-in-The-Middle) -hyökkäykset ovat osoittaneet, että perinteinen monivaiheinen tunnistautuminen (MFA) ei enää yksinään riitä estämään kehittyneitä tapoja murtaa käyttäjätunnukset.
Sähköpostitilien käyttäjätunnuksia kalastellaan usein tärkeää tai houkuttelevaa tietoa sisältävällä sähköpostilla, johon viestin vastaanottajalta edellytetään nopeaa reagointia. Rikolliset hyödyntävät kalasteluviesteissä usein tietomurrolla haltuun saatuja käyttäjätunnuksia, joten viesti saattaa tulla tutusta sähköpostiosoitteesta.
AiTM-kalastelussa sähköpostiviesti sisältää tyypillisesti linkin, joka ohjaa aitoa kirjautumissivua jäljittelevälle kalastelusivustolle. Linkki onkin usein käyttäjälle ainoa keino huomata, että kyseessä on kalastelusivusto, sillä kalastelusivu näyttää uhrille usein varsinaisen kirjautumissivuston näköisen sivun. Uhrin syöttäessä kalastelusivustolle tietoja, välitetään ne eteenpäin rikollisen palvelinten läpi varsinaiseen kirjautumisportaaliin. Samassa ketjussa pyydetään uhrilta monivaiheisen tunnistautumisen tiedot oikeaan portaaliin. Onnistuneen kirjautumisen jälkeen rikollisella on hallussaan toimiva istuntoeväste, jolla voi huomaamatta kirjautua ilman MFA:ta uhrin tilille sisään.
Onnistuneen kirjautumisen jälkeen rikollinen saa uhrin M365 -tilin resurssit ja sovellukset käyttöönsä. Uhrin sähköpostilaatikosta rikolliset hakevat tyypillisesti laskuja ja muita luottamuksellisia tietoja. Jos tilillä käsitellään laskuja tai rahaliikennettä, rikolliset voivat käyttää kyseistä sähköpostitiliä esimerkiksi laskutuspetoksiin.
Kiinnostavien organisaatioiden hallintaan saatuja tilejä saatetaan ostaa ja myydä erilaisilla rikollisfoorumeilla. Sähköpostitileillä saattaa olla kriittisiä ja arkaluonteisia tietoja, jolloin tilimurto saattaa myös johtaa näiden tietojen vuotamiseen.
Kaapattuja tilejä käytetään usein myös uusien kalasteluviestien levittämiseen uhrin osoitekirjasta löytyville henkilöille. Tätä varten saatetaan uhrin M365-ympäristöön asentaa erillinen massapostitukseen tarkoitettu ohjelma, jonka avulla tililtä saatetaan lähettää tuhansia uusia kalasteluviestejä. Jos sähköpostista löytyy luottamuksellisia sähköposteja, rikolliset saattavat kopioida niistä osia ja liittää uuteen kalastelukampanjaansa. Suomessa nähdyissä kalasteluissa on käytetty teemoina esimerkiksi turvapostia, laskua tai tilausta uuden kalasteluviestin pohjana.
Rikollinen saattaa asettaa kaapatulle tilille uudelleenohjaussääntöjä, joiden avulla sähköpostiliikennettä voi lukea ja seurata jopa viikkoja jäämättä kiinni. Kaappauksen yhteydessä saatetaan esimerkiksi luoda sähköpostitilille sääntö, joka siirtää postilaatikkoon tulevat viestit suoraan poistetut tai arkistot-kansioon ja merkitsee ne luetuksi. Uudelleenohjaussääntöjen avulla rikollinen pyrkii pitämään käyttäjältä piilossa ilmoitukset ja kyselyt tililtä lähetetyistä jatkokalasteluviesteistä tai laskutushuijauksista. Rikollinen saattaa jopa vastata kyselyihin, joita kaapatulta tililtä lähetetyt kalasteluviestit herättävät sekä kannustaa uhreja luottamaan viestiin ja avaamaan sen.
Suomessa havaituissa tapauksissa tietomurto on toteutettu usein seuraavasti
- Kirjaudutaan uhrin tunnuksilta ulkomailta, testaten, että kalasteltu käyttäjätunnus ja salasana toimii ja että monivaiheisen tunnistautumisen istunto on vielä voimassa.
- Tehdään sääntö(jä) uhrin sähköpostiin. Esimerkiksi sääntö on nimetty . (pisteeksi) viestit tietyistä domainista siirretään RSS Feed/ RSS Syöte kansioon, jossa ne merkitään luetuksi. Joissakin tapauksissa kaikki tulevat sähköposti ohjataan poistetut kansioon ja merkitään luetuksi.
- Joissakin tapauksissa on otettu käyttöön sähköpostisovellus, mille on myönnetty uhrin sähköpostiin täydet oikeudet. Sovelluksen avulla yleensä kopioidaan uhrin sähköpostit ja ohjaillan sähköpostiliikennettä sääntöjen avulla, mitä uhrin sähköpostiin on tehty.
- Hyökkääjä hakee laskutuspetoksissa hyödynnettäviä viestejä ja yrittää tehdä laskutuspetosta. Tutulta kontaktilta, tutulla pohjalla tulevaa väärennettyä laskua voi olla haastavaa tunnistaa, sillä usein laskuun on muutettu ainoastaan vastaanottajan tilinumero.
- Hyökkääjä lähettää uhrin sähköpostikontakteille kalasteluviestejä uhrin sähköpostista, yrittäen saada uusia tilejä murrettua.
Vaikka rikollinen onnistuisi kalastelemaan sähköpostitunnukset, yrityksen on mahdollista estää tietomurto, ettei hyökkääjä pääse uhrin sähköpostiin tai hänen M365 -palveluihinsa.
Näin torjut AiTM-kalastelun ja -tietomurron
Koska perinteinen MFA ei enää yksinään riitä estämään AiTM-kalastelua, on lisättävä suojauskeinoja. MFA tulee ottaa käyttöön, jotta voimme vaatia ehdollisten säätöjen avulla vahvempaa tunnistautumista palveluihin ja resursseihin.
Device Code Auhtentication on Microsoftin toiminnallisuus, millä voidaan kirjautua laitteelle, joissa on rajallinen syöttömahdollisuus, kuten IoT-laitteet ja älytelevisiot. Tätä kirjautumismenetelmää voidaan kuitenkin käyttää väärin, jos hyökkääjä onnistuu huijaamaan uhria syöttämään annetun koodin Microsoftin kirjautumissivulle.
Keinoja organisaatioille AiTM-kalastelujen ja -tietomurtojen torjuntaan
Ota käyttöön salasanaton kirjautuminen (Phishing-resistant MFA)
Käyttämällä FIDO2-avainperustaisia tunnistautumismenetelmiä (esimerkiksi Windows Hello for Business) voit vähentää salasanojen ja MFA-koodien sieppauksen riskiä.
Salli pääsy vain hyväksytyillä ja tunnistetuilla laitteilla (Device compliance policies)
Varmista, että pääsy sallitaan vain yrityksen hallinnoimilta ja turvallisuusvaatimukset täyttäviltä laitteilta.
Estä Device Code Authentication -kirjautumiset kokonaan, ellei sitä teidän organisaatiossa tarvita.
Ota käyttöön riskipohjainen tunnistautuminen (Risk-based authentication)
Ota käyttöön riskipohjainen tunnistautuminen, jossa Microsoft Entra ID havaitsee epäilyttävän kirjautumiskäyttäytymisen ja voi vaatia lisätunnistautumista tai estää kirjautumisen palveluun.
Ota käyttöön jatkuva pääsyn arviointi (Continue Access Evaluation)
Ota käyttöön jatkuva pääsyn arviointi, jossa istuntoja seurataan reaaliajassa, ja poikkeuksellinen toiminta voi johtaa istunnon päättämiseen tai lisätunnistautumisvaatimuksiin.
Näin havaitset AiTM-hyökkäyksen
Usein AiTM-hyökkäys alkaa heti tunnusten kalastelun jälkeen. Vaikka hyökkääjä olisikin onnistunut kalastelemaan uhrin käyttäjätunnuksen, salasanan ja hyväksytyn MFA istuntoevästeen, sen kirjautumisen voi estää ja havaita. Havaitsemisen jälkeen tulee vaihtaa uhrin salasana ja varmistaa, ettei hyökkääjä tehnyt tietomurtoa. Tämän kirjautumisyrityksen havaitseminen vaatii lokien seuraamista, analysointia ja ehdollisilla säännöillä.
AiTM-hyökkäykset ovat kasvava tietoturvauhka, mutta sitä on mahdollista torjua tehokkaasti käyttämällä edistyneitä tunnistautumismenetelmiä ja ehdollisia käyttöoikeuskäytäntöjä. Microsoft Entra ID:ssä voidaan ottaa ratkaisuja käyttöön, joiden avulla organisaatiot voivat parantaa turvallisuuttaan ja suojata käyttäjiään AiTM-hyökkäyksiltä ja estää tietomurron tapahtumasta.