Uusi aalto M365-tietojenkalastelussa - AI‑avusteinen laitekoodin kalastelukampanja | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Uusi aalto M365-tietojenkalastelussa - AI‑avusteinen laitekoodin kalastelukampanja

21. toukokuuta 2026 klo 10.10

Tietoturvatutkijat ovat havainneet laajamittaisen kalastelukampanjan, jossa hyödynnetään laitekooditodennusmenetelmää ja tekoälyä hyökkäysten tehostamiseen. Kampanja kohdistuu organisaatioihin ja yksittäisiin käyttäjiin. Hyökkäyksen tavoitteena on saada luvaton pääsy tileihin sekä yritysten resursseihin. Kyberturvallisuuskeskus on saanut ilmoituksia vastaavista tapauksista myös Suomessa. Organisaatiot voivat suojautua hyökkäyksiltä muun muassa tiukentamalla ehdollisen käytön sääntöjä, seuraamalla kirjautumisia aktiivisesti sekä kouluttamalla käyttäjiä tunnistamaan uudenlaisia kalasteluyrityksiä.

Mikä on device code ‑todennus?

Laitekooditodennus (Device Code Authentication) on standardoitu kirjautumismekanismi, jota käytetään erityisesti laitteissa tai sovelluksissa, joissa tunnusten syöttäminen suoraan on hankalaa. Käyttäjä saa koodin, jonka hän syöttää erillisellä kirjautumissivulla, minkä jälkeen kirjautuminen vahvistetaan.

Laitekooditodennus eroaa perinteisestä kertakäyttökoodista (OTP) siinä, että se todentaa käyttäjän sijasta laitteen. Kun järjestelmä on kerran tunnistanut ja hyväksynyt tietyn laitteen, se luottaa siihen, että kaikki kyseiseltä laitteelta tuleva liikenne on lähtöisin oikealta käyttäjältä. Kyseessä on siis epäsuora käyttäjän todennus: järjestelmä luottaa käyttäjään, koska se luottaa käytettyyn laitteeseen.

Laitekooditodennusmenetelmän hyödyntäminen voi siis antaa hyökkääjälle pääsyn järjestelmään ilman vaatimusta salasanasta tai monivaiheisesta tunnistautumista. Tietoturvayhtiöiden mukaan laitekooditodennushyökkäysten määrä on kasvanut nopeasti vuoden 2026 aikana. Osa kampanjoista on kohdistunut erityisesti Microsoft 365 -ympäristöihin, koska laitekoodikirjautuminen on oletuksena käytössä monissa organisaatioissa.

Hyökkääjän toimintatapa ja tavoitteet

Hyökkääjät houkuttelevat kohteita kirjautumaan palveluihin käyttämällä laitekooditunnistautumista. Käyttäjää ohjataan syöttämään hyökkääjän tarjoama koodi viralliselle kirjautumissivulle, jolloin hyökkääjä saa pääsyn käyttäjän tiliin ilman, että salasanaa vaaditaan.

Tässä hyökkäystavassa tietojenkalastelu alkaa sähköpostiviestillä tai kalenterikutsulla, joka sisältää linkin verkkosivustolle. Rikollisten hallussa olevalla sivustolla voi olla esimerkiksi DocuSign- tai SharePoint-logoilla varustettu PDF-tiedosto, joka näyttää olevan jaettu uhrille. Hyökkääjän ohjeiden mukaan dokumentin saa avattua kopioimalla sivulla näkyvän koodin. Uhri kopioi tämän laitekoodin ja liittää sen aidolle Microsoftin kirjautumissivulle, joka pyytää laitekoodia.

Kuvassa on kolme rinnakkaista kuvankaappausta. Ensimmäisessä kuvassa vasemmalla on kuvankaappaus kalasteluviestistä, jossa lukee DocuSign. Viestissä on vahvistuskoodi ja linkki tiedostoon. Toisessa kuvassa keskellä on kuvankaappaus kalasteluviestistä, jossa lukee PDF Shared Document. Viestissä on vahvistuskoodi ja linkki tiedostoon. Kolmannessa kuvassa oikealla on SharePint-teemainen kalasteluviesti, jossa on myös linkki PDF-tiedostoon ja vahvistuskoodi.

Kuvassa esimerkkejä tietojenkalasteluviesteistä, joissa uhri ohjataan kirjautumaan Microsoftin Device code -sivulle.

Kun koodi on syötetty, uhri kirjautuu käyttäjätunnuksellaan, salasanallaan ja monivaiheisella tunnistautumisella (MFA) Microsoft 365 -palveluun. Tämän seurauksena hyökkääjän laite rekisteröidään uhrin tilille ja se saa uhrin käyttöoikeudet. Hyökkääjä saavuttaa näin pysyvän pääsyn uhrin Microsoft 365 -tilille ilman salasanaa, koska hyökkääjän laitteelle luodaan oma, voimassa oleva istunto.

Kuvassa on M365-tilin laitekoodin avulla tehdyn tietojenkalastelun kulku. Ensimmäisessä kohdassa on kuvankaappaus tietojenkalasteluviestistä, josta nuoli osoittaa toiseen kohtaan, jossa on kuvankaappaus Microsoftin kirjautumisikkunasta, johon laitekoodi lisätään. Kolmannessa kohdassa on kuvankaappaus Microsoftin kirjautumisikkunasta, jossa pyydetään sähköpostiosoitetta tai puhelinnumeroa. Neljännessä kohdassa on kuvankaappaus Microsoftin MFA-tunnistautumisikkunasta.

Kuvassa esitetään, kuinka uhri huijataan laitekoodin avulla myöntämään pääsy tämän Microsoft 365-tunnukselle.

Hyökkäysten tavoitteena on päästä käsiksi uhrin käytössä oleviin pilvipalveluihin, sähköposteihin ja muihin kriittisiin järjestelmiin. Onnistunut kirjautuminen voi mahdollistaa liikkumisen myös organisaation järjestelmien sisällä sekä lisähyökkäysten toteuttamisen. Koska hyökkäys ei edellytä salasanojen murtamista, vaan perustuu kirjautumisprosessin väärinkäyttöön, on sitä vaikeampi havaita perinteisillä suojausmenetelmillä.

Tekoälyn rooli

Microsoftin raportin mukaan tekoälyllä on merkittävä rooli kampanjan laajuudessa ja tehokkuudessa. Sen avulla hyökkääjät automatisoivat viestien luontia, analysoivat kohteita ja muokkaavat lähestymistapaa. Tämä mahdollistaa perinteisiä kalastelukampanjoita laajemman ja kohdennetumman hyökkäystoiminnan. Microsoftin mukaan kyse ei kuitenkaan ole täysin autonomisista hyökkäyksistä, vaan tekoäly toimii ihmisten tukena automatisoiden esimerkiksi viestien kirjoittamista ja hyökkäysten hallintaa.

Kalasteluviestejä luodaan kohdennetusti eri organisaatioille ja käyttäjärooleille, mikä lisää onnistumisen todennäköisyyttä. Viesteissä vedotaan esimerkiksi salasanan vanhenemiseen, dokumenttien tarkastamiseen tai sähköisiin allekirjoituksiin. Viestit jäljittelevät usein luotettavia tahoja, kuten IT-tukea tai yhteistyökumppaneita.

Laitekoodien kalastelu on yleistynyt huomattavasti, koska hyökkäyksiä toteutetaan valmiina palveluina ostettavien Phishing-as-a-Service (PhaaS) -alustojen, kuten Tycoon 2FA:n tai EvilTokens palveluiden kautta. PhaaS-palveluissa tekoälyä käytetään luomaan kielellisesti virheettömiä ja tarkasti kohdennettuja huijausviestejä automatisoimalla uhrin taustatietojen etsintä sosiaalisesta mediasta. Lisäksi tekoäly muuntelee viestien tekstiä ja koodia reaaliajassa, mikä auttaa niitä kiertämään perinteiset roskapostisuodattimet ja tietoturvajärjestelmät.

Tycoon2FA:n ylläpitäjät luovat tekoälyllä vakuuttavia kalastelusivustoja omille verkkotunnuksilleen, ja suojaavat niitä estämällä pääsyn tiettyjen maantieteellisten alueiden ulkopuolelta (geo-fencing). Palvelun asiakkaat puolestaan hyödyntävät kaapattuja laillisia verkkotunnuksia ja hosting-palveluita ohjatakseen uhrit eteenpäin tähän kalasteluinfrastruktuuriin.

EvilTokens hyödyntää tekoälyä sähköpostisuodattimien ohittamisessa, kalasteluhyökkäysten räätälöinnissä sekä tuottoisimpien maalien tunnistamisessa. EvilTokensin tekoälypohjainen analyysiprosessi kerää Microsoft Graph API:m kautta tietoja, joita suodatetaan, jäsennetään ja yhdistetään tiedusteluraportiksi.
 

Mitä organisaatiot voivat tehdä?

Laitekoodin kalastelun kautta tapahtuvat tietomurrot voidaan estää tehokkaasti vain tiukentamalla ehdollisia pääsynhallintapolitiikkoja. Tällaista kalastelua on erittäin vaikea havaita, eikä Microsoftin tuotteet tee hälytystä epäilyttävästä laitteesta, koska uhri hyväksyy laitteen itse omalle tunnukselleen ja laitteen lisäämistä laite koodin avulla ei ole estetty. Suojautuminen vaatiikin ehdollisten sääntöjen tiukentamisen lisäksi kirjautumisten jatkuvaa seurantaa. Lisäksi tarvitaan kohdennettu käyttäjäkoulutus. On myös hyvä varmistaa, että monivaiheinen tunnistautuminen on otettu organisaatiossasi käyttöön. Jos näin ei ole, niin laadi suunnitelma ja aikataulu käyttöönotolle. Monivaiheinen tunnistautuminen on perusta monelle muulle suojaustoimelle.

Etsi organisaatiosi tietomurrot tällä hakukyselyllä

Laitekoodin kirjautumisissa Advanced Hunting -tauluissa OSPlatform jää tyhjäksi, mutta jos kirjautuminen vahvistetaan luotetulla laitteella, DeviceTrustType ja Devicename -kenttiin kirjataan uhrin käyttämän koneen tiedot. Alla oleva haku etsii ristiriitaisilla laitteen tunnistustiedoilla tapahtuneita kirjautumisia, joiden SessionId korreloidaan takaisin IP-osoiteihin ja laitenimiin.

Mikäli ympäristön laitehallinta on hyvässä kunnossa, haku ei palauta muita rivejä kuin Device Code -perusteisesti onnistuneista kirjautumisista, jotka voi ristiin vertailla IP-osoitteiden pohjalta potentiaalisen uhrin muuhun kirjautumishistoriaan peilaten. Tunnettuja FP/BTP-tilanteita:

  • Azure CLI:n käyttö, joka oletusarvoisesti ohjaa käyttämään laitekooditodennusta - tunnistettavissa käyttäjän normaalin IP-historian ja työroolin perusteella
  • Mac-laitteiden hallintaan liittyvät ongelmat, jos laitteet eivät näy kattavasti hallittuina - tunnistettavissa käytettyjen laitteiden ja IP-tietojen perusteella

let susIds = EntraIdSignInEvents
| where Timestamp >= ago(30d) | where isempty(OSPlatform) | where isnotempty(DeviceTrustType) | where isnotempty(SessionId) | distinct SessionId;
EntraIdSignInEvents
| where Timestamp >= ago(30d) | where SessionId in (susIds)
| where IsManaged == 0 // filter out managed devices
| summarize InitialLogon = arg_min(Timestamp, AccountUpn, Country, DeviceName, IsManaged, UserAgent, OSPlatform, Application, SessionId) by IPAddress
| project InitialLogon, IPAddress, AccountUpn, Country, DeviceName, IsManaged, UserAgent, OSPlatform, Application, SessionId

 

Yllä olevalla haulla voitte hakea Defender XDR kautta epäilyttäviä laitteiden liitoksia organisaationnne Microsoft ympäristöön.

Kyberturvallisuuskeskus kiittää Elisa Oyj:tä yhteistyöstä tämän artikkelin taustoituksessa.

Suojaustoimet organisaatioille

Laitekoodin avulla käyttäjät kirjautua laitteisiin, joissa ei ole paikallisia syöttölaitteita, kuten jaettuihin laitteisiin tai digitaalisiin näyttöihin. Tavallisten käyttäjien ei yleensä tarvitse käyttää tätä toimintoa. Tätä toiminnallisuutta hyödynnetään nykyään tietojenkalastelussa, joten sen käyttö tulisi estää tai rajoittaa tiettyyn käyttäjäryhmään, jotta hyökkääjät eivät pääse hyödyntämään sitä tietomurtoihin.

Ohje: Block authentication flows with Conditional Access policy (microsoft.com, englanti)

Pääsy sallitaan vain yrityksen hallinnoimilta ja turvallisuusvaatimukset täyttäviltä laitteilta, ja se estetään tuntemattomilta tai tukemattomilta laitealustoilta.

  • Estämällä laitekoodilla kirjautumisen (Device Code Flow) käyttäjiltä, poistat hyökkääjien mahdollisuuden hyväksikäyttää sitä. Jos laitekoodilla kirjautumista ei voi estää kaikilta, ota käyttöön sääntö, jolla hyväksyt kirjautumiset vain yrityksen hyväksymillä laitteilla.

  • Vaikka hyökkääjä onnistuisi kalastelemaan laitekoodin ja saisi istuntotunnisteen, Entra ID voi estää pääsyn, sillä hyökkääjän oma tietokone ei läpäise yrityksen laitevaatimuksia.

     

Ota käyttöön kalastelusuojattu salasanaton kirjautuminen (phishing-resistant MFA) niille käyttäjätunnuksille, joille se on mahdollista. Suosittelemme ottamaan tämän käyttöön vähintään Microsoft 365- ja Entra ID (Azure) Global Admin -tunnuksille.

Jos tunnusten kalastelu onnistuu, poistat hyökkääjän pääsy pysyvästi peruuttamalla käyttäjän kaikki päivitystunnukset (refresh tokens) Revoke-AzureADUserAllRefreshToken-komennolla tai estämällä käyttäjäntunnuksen käytön.

Ohje: Microsoft Entra security operations for devices (microsoft.com, englanti)

Tiedota käyttäjiä ja kerro millaisesta tunnusten kalastetusta on kyse.

Ilmoitathan tietomurrosta Kyberturvallisuuskeskukselle ja välittähän hyökkääjän lähettämän huijausviestin meille. Kyberturvallisuuskeskus pyytää tietojenkalastelusivuston alas ajoa sivuston ylläpitäjältä. Tämä auttaa ennaltaehkäisemään tietojenkalastelunuhriksi joutumista.

Mitä yksittäinen käyttäjä voi tehdä?

 Hyökkääjä on todennäköisesti saanut haltuunsa istuntotunnisteen (token), jonka avulla hän pääsee tilillesi ilman monivaiheista tunnistautumista. Voi myös olla, että salasanasi on edelleen sama kuin mitä käytit. Järjestelmänvalvoja pystyy Entra ID -hallintapaneelista (Microsoft Entra Admin Center) klikkaamaan käyttäjätilisi kohdalta "Revoke sessions" (Mitätöi istunnot), mikä on nopein ja varmin tapa saada hyökkääjä ulos järjestelmästä

  • Katkaise hyökkääjän voimassa oleva Microsoft 365 palvelun istunnot. Voit usein tehdä tämän itse, jos pääset vielä kirjautumaan tilillesi:
  • Microsoft 365 / Entra ID -tilit: Go to mysignins.microsoft.com tai myaccount.microsoft.com
  • Valitse Security info (Turvallisuustiedot) tai Sign out everywhere (Kirjaudu ulos kaikkialta)
  • Tämä mitätöi kaikki voimassa olevat istuntotunnisteet (tokens) – myös hyökkääjän laitteella – ja pakottaa kaikki laitteet kirjautumaan uudelleen sisään

Vaikka laitekoodikalastelussa hyökkääjä ei yleensä saa suoraan tietoonsa salasanaasi (vaan pelkän istuntotunnisteen), salasana on silti turvallisinta vaihtaa välittömäs

  • Hyökkääjät pyrkivät usein varmistamaan pysyvän pääsyn tilille lisäämällä sinne omia tunnistautumismenetelmiään
  • Tarkista tilisi asetuksista (esim. Microsoftin Security info), ettei sinne ole ilmestynyt vieraita puhelinnumeroita, sähköpostiosoitteita tai uutta Microsoft Authenticator -sovellusta
  • Jos löydät sieltä laitteen tai tiedon, jota et tunnista, poista se.

  • Kun hyökkääjät pääsevät käsiksi sähköpostiin, he usein luovat sähköpostisääntöjä piilottaakseen jälkensä
  • Tarkista sähköpostisi automaattiset edelleenlähetyssäännöt (Forwarding rules). Hyökkääjät saattavat ohjata saapuvat postisi omaan osoitteeseensa.
  • Tarkista, onko tilillesi luotu sääntöjä, jotka siirtävät tiettyjä viestejä (kuten pankki-, IT-tuki- tai turvallisuusviestejä) suoraan Roskakoriin tai Arkistoon. Joskus hyökkääjät luovat säännön, missä kaikki uudet sähköpostit merkataan luetuksi ja siirretään poistetut kansioon.
  • Katso tilisi kirjautumishistoriasta (Sign-in logs tai Recent activity), mistä päin maailmaa onnistuneita kirjautumisia on tehty. Myös järjestelmän valvoja näkee tämän tarkemmin Entra ID:stä.