AiTM (adversary-in-the-middle) -hyökkäykset ja niiden torjunta
Sähköpostitunnuksia kalastellaan jatkuvasti ja erityisesti monivaiheisen tunnistautumisen ohittava adversary-in-the-middle (AiTM) -tekniikka on yleistynyt Microsoft 365 -käyttäjätunnusten kalastelussa. Tässä artikkelissa kerromme AiTM-tekniikkaa hyödyntävän tietojenkalastelun kulusta, sen tunnistamisesta, suojautumiskeinoista sekä tietomurron estämisestä.
Adversary-in-the-middle (AiTM) -hyökkäyksen kulku
Microsoft 365-käyttäjätunnuksien kalastelu on viime vuosina ollut erittäin vilkasta. Kalasteluissa on käytetty erilaisia teemoja ja toimintatapoja, jotka ovat johtaneet lukuisten M365-käyttäjätilien tietomurtoihin. Erilaisten toimintatapojen joukosta erityisesti monivaiheisen tunnistautumisen ohittava adversary-in-the-middle (AiTM) -tekniikka on yleistynyt tunnusten murtamisessa. Microsoft raportoi havainneensa AiTM-hyökkäysten lisääntyneen 146 % 2024 vuoden aikana ja kasvu on näkynyt myös Suomessa.
Miten AiTM-hyökkäykset toimivat?
Viimeaikaiset AiTM (Adversary-in-The-Middle) -hyökkäykset ovat osoittaneet, että perinteinen monivaiheinen tunnistautuminen (MFA) ei enää yksinään riitä estämään kehittyneitä tapoja murtaa käyttäjätunnukset.
Sähköpostitilien käyttäjätunnuksia kalastellaan usein tärkeää tai houkuttelevaa tietoa sisältävällä sähköpostilla, johon viestin vastaanottajalta edellytetään nopeaa reagointia. Rikolliset hyödyntävät kalasteluviesteissä usein tietomurrolla haltuun saatuja käyttäjätunnuksia, joten viesti saattaa tulla tutusta sähköpostiosoitteesta.
AiTM-kalastelussa sähköpostiviesti sisältää tyypillisesti linkin, joka ohjaa aitoa kirjautumissivua jäljittelevälle kalastelusivustolle. Linkki onkin usein käyttäjälle ainoa keino huomata, että kyseessä on kalastelusivusto, sillä kalastelusivu näyttää uhrille usein varsinaisen kirjautumissivuston näköisen sivun. Uhrin syöttäessä kalastelusivustolle tietoja, välitetään ne eteenpäin rikollisen palvelinten läpi varsinaiseen kirjautumisportaaliin. Samassa ketjussa pyydetään uhrilta monivaiheisen tunnistautumisen tiedot oikeaan portaaliin. Onnistuneen kirjautumisen jälkeen rikollisella on hallussaan toimiva istuntoeväste, jolla voi huomaamatta kirjautua ilman MFA:ta uhrin tilille sisään.
Onnistuneen kirjautumisen jälkeen rikollinen saa uhrin M365 -tilin resurssit ja sovellukset käyttöönsä. Uhrin sähköpostilaatikosta rikolliset hakevat tyypillisesti laskuja ja muita luottamuksellisia tietoja. Jos tilillä käsitellään laskuja tai rahaliikennettä, rikolliset voivat käyttää kyseistä sähköpostitiliä esimerkiksi laskutuspetoksiin.
Kiinnostavien organisaatioiden hallintaan saatuja tilejä saatetaan ostaa ja myydä erilaisilla rikollisfoorumeilla. Sähköpostitileillä saattaa olla kriittisiä ja arkaluonteisia tietoja, jolloin tilimurto saattaa myös johtaa näiden tietojen vuotamiseen.
Kaapattuja tilejä käytetään usein myös uusien kalasteluviestien levittämiseen uhrin osoitekirjasta löytyville henkilöille. Tätä varten saatetaan uhrin M365-ympäristöön asentaa erillinen massapostitukseen tarkoitettu ohjelma, jonka avulla tililtä saatetaan lähettää tuhansia uusia kalasteluviestejä. Jos sähköpostista löytyy luottamuksellisia sähköposteja, rikolliset saattavat kopioida niistä osia ja liittää uuteen kalastelukampanjaansa. Suomessa nähdyissä kalasteluissa on käytetty teemoina esimerkiksi turvapostia, laskua tai tilausta uuden kalasteluviestin pohjana.
Rikollinen saattaa asettaa kaapatulle tilille uudelleenohjaussääntöjä, joiden avulla sähköpostiliikennettä voi lukea ja seurata jopa viikkoja jäämättä kiinni. Kaappauksen yhteydessä saatetaan esimerkiksi luoda sähköpostitilille sääntö, joka siirtää postilaatikkoon tulevat viestit suoraan poistetut tai arkistot-kansioon ja merkitsee ne luetuksi. Uudelleenohjaussääntöjen avulla rikollinen pyrkii pitämään käyttäjältä piilossa ilmoitukset ja kyselyt tililtä lähetetyistä jatkokalasteluviesteistä tai laskutushuijauksista. Rikollinen saattaa jopa vastata kyselyihin, joita kaapatulta tililtä lähetetyt kalasteluviestit herättävät sekä kannustaa uhreja luottamaan viestiin ja avaamaan sen.
Näin torjut AiTM-kalastelun ja -tietomurron
Koska perinteinen MFA ei enää yksinään riitä estämään AiTM-kalastelua, on lisättävä suojauskeinoja. MFA tulee ottaa käyttöön, jotta voimme vaatia ehdollisten säätöjen avulla vahvempaa tunnistautumista palveluihin ja resursseihin.
Device Code Auhtentication on Microsoftin toiminnallisuus, millä voidaan kirjautua laitteelle, joissa on rajallinen syöttömahdollisuus, kuten IoT-laitteet ja älytelevisiot. Tätä kirjautumismenetelmää voidaan kuitenkin käyttää väärin, jos hyökkääjä onnistuu huijaamaan uhria syöttämään annetun koodin Microsoftin kirjautumissivulle.