M365-tietomurroissa hyödynnetään yhä useammin AiTM-tietojenkalastelutekniikkaa

Monivaiheisen tunnistautumisen ohittava adversary-in-the-middle (AiTM) -tekniikka on yleistynyt Microsoft 365 -käyttäjätunnusten kalastelussa. Tässä artikkelissa kerromme AiTM-tekniikkaa hyödyntävän tietojenkalastelun kulusta, sen tunnistamisesta sekä suojautumiskeinoista.

Kalastelun kulku

Käyttäjätunnuksia kalastellaan usein tärkeää tai houkuttelevaa tietoa sisältävällä sähköpostilla, johon viestin vastaanottajalta edellytetään nopeaa reagointia. Rikolliset hyödyntävät kalasteluviesteissä usein tietomurrolla haltuun saatuja käyttäjätunnuksia, joten viesti saattaa tulla tutusta sähköpostiosoitteesta.

Sähköpostiviesti sisältää tyypillisesti linkin, joka ohjaa kalastelusivustolle. Linkki onkin usein käyttäjälle ainoa keino huomata, että kyseessä on kalastelusivusto, sillä kalastelusivu näyttää uhrille varsinaisen kirjautumissivuston näköisen sivun. Uhrin syöttäessä kalastelusivustolle tietoja, nämä välitetään edelleen rikollisen palvelinten läpi varsinaiseen kirjautumisportaaliin, ja portaalin pyytämät monivaiheisen tunnistautumisen tiedot pyydetään uhrilta samassa ketjussa. Tämän jälkeen rikollisella on hallussaan toimiva istuntoeväste, jolla voi kirjautua uhritilille sisään.

Onnistuneen kirjautumisen jälkeen rikollinen saa uhrin Microsoft 365 -tilin resurssit ja sovellukset käyttöönsä. Uhrin sähköpostilaatikosta rikolliset hakevat laskuja ja muita luottamuksellisia tietoja. Jos tilillä käsitellään laskuja tai rahaliikennettä, rikolliset voivat käyttää kyseistä tiliä esimerkiksi laskutuspetoksiin.

Kiinnostavien organisaatioiden hallintaan saatuja tilejä saatetaan ostaa ja myydä erilaisilla rikollisfoorumeilla. Sähköpostitileillä saattaa olla kriittisiä ja arkaluonteisia tietoja, jolloin tilimurto saattaa myös johtaa näiden tietojen vuotamiseen.

Kaapattuja tilejä käytetään usein myös uusien kalasteluviestien levittämiseen uhrin osoitekirjasta löytyville henkilöille. Tätä varten saatetaan uhrin M365-ympäristöön asentaa erillinen massapostitukseen tarkoitettu ohjelma, jonka avulla tililtä saatetaan lähettää tuhansia uusia kalasteluviestejä. Jos sähköpostista löytyy luottamuksellisia sähköposteja, rikolliset saattavat kopioida niistä osia ja liittää uuteen kalastelukampanjaansa. Suomessa nähdyissä kalasteluissa on käytetty teemoina esimerkiksi turvapostia, laskua tai tilausta uuden kalasteluviestin pohjana.

Rikollinen saattaa asettaa kaapatulle tilille uudelleenohjaussääntöjä, joiden avulla sähköpostiliikennettä voi lukea ja seurata jopa viikkoja jäämättä kiinni. Kaappauksen yhteydessä saatetaan esimerkiksi luoda sähköpostitilille sääntö, joka siirtää postilaatikkoon tulevat viestit suoraan poistetut tai arkistot-kansioon ja merkitsee ne luetuksi. Uudelleenohjaussääntöjen avulla rikollinen pyrkii pitämään käyttäjältä piilossa ilmoitukset ja kyselyt tililtä lähetetyistä jatkokalasteluviesteistä tai laskutushuijauksista. Rikollinen saattaa jopa vastata kyselyihin, joita kaapatulta tililtä lähetetyt kalasteluviestit herättävät sekä kannustaa uhreja luottamaan viestiin ja avaamaan sen.

Ohjeita organisaatioille AiTM-kalastelulta suojautumiseen

Henkilöstön kouluttaminen ja tiedottaminen ovat tärkeässä roolissa erilaisten kalasteluiden ja huijausten ennalta ehkäisemisessä. AiTM-kalasteluiden kohdalla käyttäjän huomio on suositeltavaa kiinnittää viesteissä oleviin linkkeihin, erityisesti, jos linkistä avautuva sivusto edellyttää tunnustietojen syöttämistä. Käyttäjän tulisi varmistua, ettei ole kalastelusivulla vaan aidolla oikealla palveluntarjoajan sivulla.

AiTM-kalastelua vastaan voi suojautua ottamalla käyttöön jonkin seuraavista tunnistautumismenetelmistä ja määrittelemällä sen ainoaksi tunnistautumistavaksi:

FIDO (Fast Identity Online) -todennus
Varmennepohjainen kirjautuminen
Passkey
Microsoftin Hello for Business

Toinen hyvä suojauskeino on edellyttää kirjautuvan laitteen tunnistamista AD-liitoksen tai Entraan liittämisen kautta. Jos tilille kirjautuessa pakotetaan kirjautumaan joko tunnistetulla laitteella, tunnistetusta paikasta, tai läpäisemään kalastelun kestävä tunnistautumisprosessi, on tilille erittäin vaikeaa tunkeutua. Pakotus tällaiseen tehdään ehdollisilla säännöillä (Conditional Access policy).

Ehdollisissa säännöissä tehokas tapa suojautua AiTM-kalasteluilta on esimerkiksi riskipohjainen Token Protection -sääntö kirjautumisistuntoja varten. Token Protection -säännöllä varmistetaan, että tunnuksia voidaan käyttää vain laitteella, jolla käyttäjä on alun perin kirjautunut sisään.

Microsoft: Conditional Access: Token protection (preview) (Ulkoinen linkki)

Tietojenkalastelulta suojautuessa olisi hyvä pohtia myös seuraavien ehdollisten sääntöjen käyttöönottoa:

Toimi näin Microsoft 365 -tilin tietomurron sattuessa

Tietomurtoaalto leviää organisaatiosta toiseen – katkaise tietojenkalastelu

AiTM/ MFA phishing attacks in combination with “new” Microsoft protections (2024 edition) (Ulkoinen linkki)

DEV-1101 enables high-volume AiTM campaigns with open-source phishing kit (Ulkoinen linkki)

Detecting and mitigating a multi-stage AiTM phishing and BEC campaign (Ulkoinen linkki)

Identifying Adversary-in-the-Middle (AiTM) Phishing Attacks through 3rd-Party Network Detection (Ulkoinen linkki)