Siirry pääsisältöön
Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuunHae
Suomi
Valikko

Tietomurtoaalto leviää organisaatiosta toiseen – katkaise tietojenkalastelu

Varoitus1/2023

Julkaistu
Päivitetty

Suomalaisten organisaatioiden sähköpostitilejä kaapataan laajalle levinneen tietojenkalastelukampanjan avulla. Rikolliset ovat kalastelleet yritysten työntekijöiden käyttäjätunnuksia ja salasanoja sähköpostitse ja huijaussivujen avulla, sekä kirjautuneet saamillaan tunnuksilla Microsoft 365 -sähköpostijärjestelmiin. Kaapattuja tilejä käytetään uusien tietojenkalasteluviestien lähettämiseen sekä sisäisesti että muihin organisaatioihin.

Kyberturvallisuuskeskus julkaisi vakavan varoituksen 20.10.2023
Kyberturvallisuuskeskus julkaisee vakavan varoituksen: Tietomurtoaalto organisaatioissa

Kyberturvallisuuskeskus on saanut kymmeniä ilmoituksia murretuista Microsoft-tileistä ja niiltä lähetetyistä tietojenkalasteluviesteistä. Tietomurtojen avulla murtautuja on saanut pääsyn tileille ja niillä oleviin sähköposteihin. Kyberturvallisuuskeskuksen tiedossa ei ole käyttövaltuuksien laajentamista tai muuta hyökkääjän jalansijan vahvistamista murretun käyttäjätilin organisaatiossa. Tilien murrot kuitenkin altistavat muillekin tietoturvaloukkausten riskeille. 

Tietoturvaloukkauksen kulku

  • Hyökkääjä lähettää murretuilta käyttäjätileiltä kalasteluviestejä sähköpostitse käyttäjätilin aikaisemmille kontakteille. Kalasteluviestien sisältö on vaihdellut.
  • Hyökkääjä saattaa kierrättää tietomurron uhrin aikaisemmin lähettämiä sähköpostiviestejä, joihin hyökkääjä lisää linkin kalastelusivulle. Monissa tapauksissa kalasteluviesti näyttää turvapostiviestiltä. Viesti on väärennetty muistuttamaan yleistä turvapostiratkaisua, mutta linkki turvapostipalveluun on muokattu ohjaamaan rikollisten hallussa olevalle sivustolle.
  • Joissakin tapauksissa hyökkääjä on lähettänyt oikeita turvapostiviestejä. Kalasteluun ohjaava linkki on ollut turvapostiviestin sisällössä.
  • Kalastelusivuilla on käytetty kehittynyttä adversary-in-the-middle-automatiikkaa (AitM), joka joissakin tapauksissa kykenee myös monivaiheisen tunnistamisen ohittamiseen. Lisätietoa MFA:n ohittamisesta AiTM-automatiikalla (Ulkoinen linkki)
  • Hyökkääjä yrittää hyvin pian onnistuneen tietojenkalastelun jälkeen murtautua käyttäjätilille. Kirjautumisyrityksiä tulee ympäri maailmaa, myös Suomesta. Onnistuneen kirjautumisen jälkeen tililtä lähetetään uusia kalasteluviestejä tilin yhteystietoluettelolle.
  • Joissakin tapauksissa, kun kalasteluviestin vastaanottaja on vastannut suomeksi sähköpostilla kalasteluviestiin, hyökkääjä on vastannut suomeksi ja kehottanut avaamaan kalasteluviestissä olevan linkin. Viestin aitoutta epäiltäessä tulisi se tarkastaa jotakin toista viestintäkanavaa pitkin. Sähköpostiviestin aitouden voi tarkistaa esimerkiksi soittamalla lähettäjälle. 

Varoituksen kohderyhmä

Yritykset ja muut organisaatiot, jotka käyttävät Microsoft 365 -tuotteita

Ratkaisu- ja rajoitusmahdollisuudet

Torjunta- ja rajoituskeinoja

  • Henkilöstön kouluttaminen ja tiedottaminen
  • Jos epäilet saamasi viestin aitoutta, älä vastaa viestiin vaan pyri varmistumaan jotain muuta reittiä pitkin (esim. puhelu, pikaviesti tms.).
  • Jos epäilet, että sähköpostitili on murrettu, tarkista edelleenlähetyssäännöt sekä ylläpitäjän näkymästä että käyttäjän näkymästä.
  • Murrettujen tilien salasanojen vaihtaminen ei yleensä riitä, mikäli rikolliset ovat onnistuneet varastamaan ns. session cookien.
  • Tileiltä kannattaa tarkistaa, ettei hyökkääjä ole lisännyt sinne omaa MFA-laitettaan.
  • Peru käyttäjän kaikki käyttöoikeudet hetkeksi, jotta avoimet istunnot sulkeutuvat; ks. https://learn.microsoft.com/fi-fi/azure/active-directory/enterprise-users/users-revoke-access (Ulkoinen linkki)
  • Monivaiheinen kirjautuminen (MFA) ei ole estänyt rikollisten toimintaa.
  • Kirjautumisien maarajaukset (Geoblock) eivät välttämättä riitä tapauksen rajaamiseen. Liikennettä kierrätetään myös Suomen kautta.
    Conditional Accessin käyttöönottaminen voi olla tehokas keino.
  • Joissain aiemmin nähdyissä kalastelukampanjoissa on murretuilla tunnuksilla asennettu emClient -sovellus (Azure AD enterprise application), jonka kautta lähetetty edelleen kalasteluviestejä.
  • Microsoftin sivuilta löytyy hyvä ohje sovelluksien estämiseen (Ulkoinen linkki)

Lisätietoa

Tee rikosilmoitus ja ilmoita Kyberturvallisuuskeskukseen

Käynnissä oleva kampanja on varsin laaja ja onnistuneita tietomurtoja on kohdistunut useisiin organisaatioihin. Erityisesti onnistuneiden tietomurtojen hyväksikäyttö jatkomurtoihin nostaa avoimen ja nopean tiedonjaon tärkeyttä. Kannustamme kaikkia kampanjan kohteeksi joutuneita ilmoittamaan havainnoistaan aktiivisesti Kyberturvallisuuskeskukselle. Kyberturvallisuuskeskus jakaa tietoa eteenpäin yhteistyöverkostoissaan. Jakamalla tietoa havaituista tapauksista voimme yhdessä kehittää puolustuksia ja ehkäistä useampia tietomurtoja tapahtumasta.

Tietomurrosta tai sen yrityksestä tulisi tehdä rikosilmoitus. Lisäksi tapauksista kannattaa ilmoittaa Kyberturvallisuuskeskukselle. Kyberturvallisuuskeskukselle ilmoittaessa mukaan voi laittaa esimerkiksi kalasteluviestistä sekä tiedot tapauksen vaikutuksesta organisaatiolle. 

Päivityshistoria

Varoituksen voimassaolo päättyi 8.11.2023.