Siirry pääsisältöön
Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuunHae
Suomi
Valikko

Uusin Microsoft Office 365-huijaus ohjaa uhrin murretulle SharePoint-tilille

Tietoturva Nyt!

Julkaistu

Olemme saaneet joulun jälkeen ilmoituksia yli kymmeneltä organisaatiolta murretuista Office 365-tileistä. Tällä kertaa uusin käänne ohjaa vastaanottajan lukemaan dokumenttia murretulle SharePoint-sivuille. Viestien uskottavuutta lisää se, että viestit ovat lähteneet murretun käyttäjätilin osoitekirjasta urkittujen yhteystietojen perusteella. Kyberturvallisuuskeskus varoittaa organisaatioita siitä, että kyseessä on todennäköisesti vasta ensimmäinen aalto, joka pahenee merkittävästi ihmisten palattua joululomien vietosta loppiaisen jälkeen.

""
Esimerkki sähköpostiin tulevasta linkistä, joka osoittaa murretulle SharePoint-sivulle

Microsoft Office 365 -huijaukset jatkuvat. Joulun jälkeen olemme saaneet useita ilmoituksia eri organisaatioilta, jotka ovat joutuneet huijausyritysten kohteeksi. Office 365 -aiheiset kalastelut ovat olleet useiden organisaatioiden riesana jo pitkään, mutta huijarit keksivät jatkuvasti uusia tapoja huijata. Viimeisen puolen vuoden aikana Suomessa on esiintynyt muun muassa kaksivaiheisen tunnistautumisen ohittamista sekä turvaposteiksi naamioituja viestejä.

Nyt huijarit ovat ryhtyneet käyttämään SharePoint-sivuja haitallisten tiedostojen levittämiseen. Kesäkuusta 2018 alkaen voimassa ollut Kyberturvallisuuskeskuksen varoitus on siis edelleen ajankohtainen. Huijareiden rikollisena motiivina vaikuttaa edelleen olevan laskutushuijaukset esimerkiksi muuttamalla viesteissä olevia maksutietoja. Koska huijarit näkevät myös viestisisällöt, heidän on tätä huijauskeinoa hyödyntämällä mahdollista saada käsiinsä myös yrityssalaisuuksia tai muuta arkaluontoista materiaalia.

Ilmiön uusin käänne ohjaa huijausviestin vastaanottajan tutun organisaation Microsoft SharePointiin. Huijarit hyödyntävät sellaisten käyttäjien SharePoint-sivuja, joita he ovat jo onnistuneet huijaamaan luovuttamaan käyttäjätunnuksensa ja salasanansa. Huijarit murtautuvat saamillaan tunnuksilla SharePoint-sivuille ja ujuttavat sinne tiedoston, joka ohjaa seuraavat huijattavat ihmiset muualla sijaitsevalle tietojenkalastelusivulle (ks. yllä oleva kuva). Huijarit lähettävät murretun käyttäjätilin sähköpostista uusia huijausviestejä käyttäjän osoitekirjasta löytyviin osoitteisiin. Kun vastaanottaja klikkaa tunnetun lähettäjän sähköpostissa olevaa linkkiä, linkin takaa avautuu SharePointin sivu, jossa on linkki "Access document" (ks. alla oleva kuva). Viestin kieli voi olla suomi tai englanti, ja käytetty kieli on hyvää.

Tätä klikatessa avautuu liitetiedoston sisältävä sivu, jonka avaamiseksi vastaanottajaa pyydetään antamaan käyttäjätunnuksensa (ks. alla oleva kuva). Käyttäjätunnusten antamisen jälkeen huijari saa haltuunsa uuden käyttäjätilin ja siihen liittyvän SharePoint-ympäristön. Huijarit jatkavat huijaamista samalla kaavalla uudelta käyttäjätililtä ja lähettävät sen yhteyshenkilöille vastaavan viestin.

""
Sivusto pyytää antamaan käyttäjätunnukset päästäksesi liitetiedostoon. Älä anna.

Käyttäjä: Tunnista huijausyritykset, ilmoita huijauksista

Yksittäistä työntekijää koskeva yksiselitteinen ohje on, että älä klikkaa huijausviestin linkkiä, äläkä anna käyttäjätunnus-salasana-parejasi ulkopuolisiin palveluihin. Mikäli olet saanut tutulta lähettäjältä linkin SharePointiin, voit soittaa hänelle ja kysyä asiasta. Älä avaa tiedostoa ennen, kuin olet varmistunut asiasta. 

Jos kuitenkin annat käyttäjätunnuksesi ulkopuoliseen palveluun, ota mahdollisimman pian yhteyttä organisaatiosi tietoturvayksikköön. Ilmoita myös kaikille omille kontakteille vahingon tapahtuneen ja kehotuksen olla klikkaamatta huijarin sinun sähköpostitililtäsi lähettämässä viestissä olevaa linkkiä.

Ylläpitäjä: Estä huijausviestien leviäminen

Organisaation tietojärjestelmien ylläpitäjien kannattaa tarkistaa uudelleenlähetyssäännöt organisaation käyttäjätileiltä. Suosittelemme ylläpitäjiä asettamaan estot uudelleenlähetyssääntöjen luomiselle. Pilvipalvelupohjaisissa versioissa oletusasetus antaa käyttäjille ja käyttäjien tunnukset kaapanneille huijareille mahdollisuuden asettaa uudelleenlähetyssääntöjä organisaation ulkopuolisiin sähköpostiosoitteisiin. Suosittelemme vahvasti estämään tämän ominaisuuden.

Ota käyttöön kaksi- tai monivaiheinen tunnistautuminen (2FA tai MFA), jolloin huijari tarvitsee tilillesi kirjautumiseen käyttäjätunnusten lisäksi myös muun kertakäyttöisen tunnistaututumiskoodin. Alla olevat ohjeet on suunnattu ylläpitäjille. Tavallisena käyttäjänä et voi vaikuttaa monivaiheisen todentamisen asetuksiin.

  • Ota monivaiheinen todentaminen käyttöön.
  • Tarkista että se on käytössä kaikilla sallituilla yhteystavoilla (esimerkiksi EWS, ActiveSync ja POP/IMAP).
  • Varmista että modern authentication -menetelmä on käytössä.
  • Estä käyttämästä Office 365-palveluita sovelluksilla, jotka eivät tue modern authentication -menetelmää. Tällaisia saattavat olla esimerkiksi puhelinten natiivit sähköpostisovellukset.
  • Huomioi, että muutokset saattavat aiheuttaa yhteensopivuusongelmia vanhempien sovellusten kanssa.
  • Mikäli monivaiheisessa todennuksessa käytetään tekstiviestejä tai takaisinsoittoa, tarkasta että puhelinnumerot ovat yrityksen tietoturvapolitiikan mukaisia, esimerkiksi vain yrityksen omia puhelinnumeroita.
  • Mikäli salasanojen epäillään joutuneen vääriin käsiin, vaihdata ne ja tarkasta, ettei tileille ole asetettu luvattomia sähköpostien edelleenlähetyksiä.

Johtaja: Anna resursseja tietoturvan ylläpitämiseen ja tiedottamiseen

Suhtaudu tietojenkalasteluun ja tietomurtoihin vakavasti. Anna tietojärjestelmien ylläpitäjille heidän tarvitsemansa resurssit uhkan tekniseen torjumiseen. Tiedota ja kouluta organisaation henkilöstöä suhtautumaan tietojenkalasteluun ja tietomurtoihin vakavasti. Kouluta henkilöstö tunnistamaan sallitut tavat ja yhteydet käyttäjätunnuksen ja salasanan syöttämiseen ja välttämään niiden syöttämistä minnekään muualle.

Käyttäjien voi olla hankalaa erottaa hyvin tehty huijaus aidosta viestistä. Moni huijausviesti on väärennetty näyttämään tai tulee oikeasti tutusta sähköpostiosoitteesta. Myös aihe voi olla tuttu, sillä huijarin murtamasta yhteistyökumppanin sähköpostista lähtevät viestit ovat teknisessä mielessä aitoja.

Kyberturvallisuuskeskus kehottaa organisaatioiden johtoa ohjeistamaan ja varoittamaan omien organisaatioidensa henkilöstöä muun muassa tästä tietojenkalastelukampanjasta. Myös yleisempi ohjeistus loppukäyttäjiin kohdistuneista tietojenkalasteluista auttaa käyttäjiä toimimaan turvallisesti rikollisten muuttaessa huijauskeinojaan.

    Ota yhteyttä

    Kyberturvallisuuskeskus pyytää lähettämään ilmoituksia sekä onnistuneista huijauksista että niiden yrityksistä. Pyydämme lähettämään alkuperäisen viestin liitteenä (otsikkotietoineen) osoitteeseen cert@traficom.fi. Mikäli haluat lähettää viestin meille salattuna, löydät ohjeet osoitteesta https://www.kyberturvallisuuskeskus.fi/fi/ilmoita (Ulkoinen linkki)

    Tee lisäksi rikosilmoitus jos olet joutunut tietojenkalastelun kohteeksi. Tee rikosilmoitus myös silloin, vaikka organisaatiostasi ei olisi annettu tunnuksia huijareille. Kyseessä on tietomurto.

    On todennäköistä, että ilmiö lähtee laajenemaan merkittävästi tammikuun toisella viikolla, kun ihmiset palaavat joululomilta loppiaisen jälkeen. Ongelman laajuutta voidaan yrittää ehkäistä sillä, että organisaatiot tiedottavat ja varoittavat henkilöstöään tästä uhkasta.