Microsoft 365 -tilejä murretaan – varo tietojenkalastelua

Kyberturvallisuuskeskus on vastaanottanut vuoden 2025 aikana 330 ilmoitusta M365-tilimurtoihin tai -kalasteluun liittyvistä tapauksista. Kyse on samasta ilmiöstä, josta varoitimme myös syksyllä 2023 (Ulkoinen linkki). Tietomurtojen avulla murtautuja on saanut pääsyn tileille ja niillä oleviin sähköposteihin. Sähköpostien avulla hyökkääjät kykenevät tekemään esimerkiksi laskutushuijauksia. Kyberturvallisuuskeskuksen tiedossa ei ole tapauksia, joissa murretun tunnuksen käyttöoikeuksia olisi onnistuttu laajentamaan tai vahvistamistamaan jalansijaa uhriorganisaation ympäristössä murrettua tunnusta käyttäen. Tilien murrot kuitenkin mahdollistavat luvattoman pääsyn sähköposteihin ja dokumentteihin, mikä altistaa luottamukselliset tiedot väärinkäytölle. Pahimmillaan tilimurrot voivat johtaa liiketoiminnan häiriöihin, mainehaittoihin ja toimia porttina laajemmille hyökkäyksille. Kyberturvallisuuskeskus tarkistaa vastaanotettujen ilmoitusten perusteella haitalliset sivustot ja lähettää viranomaisena palveluntarjoajille ympäri maailman tietoa haitallisista verkkosivuista, jotka tulisi poistaa internetistä.

M365-tietomurron kulku

• Hyökkääjä saa haltuunsa käyttäjän tunnuksen ja salasanan tietojenkalasteluviestin tai tietojenkalastelunsivun avulla. Käyttäjä eli uhri syöttää tietonsa tietojenkalasteluun. Jos monivaiheista tunnistautumista ei ole käytössä, tili on heti hyökkääjän käytettävissä.
• Rikollinen kirjautuu M365-ympäristöön käyttäen kaapattua tunnusta. Hän tutkii sähköposteja, kontakteja ja tiedostoja saadakseen käsityksen käyttäjän tai organisaation toiminnasta.
• Hyökkääjä lähettää murretuilta käyttäjätileiltä kalasteluviestejä sähköpostitse käyttäjätilin yhteystiedoille ja pyrkii näin murtamaan lisää tilejä.
• Monissa tapauksissa hyökkääjä on hyödyntänyt uhrinsa Sharepoint tai OneNote -palvelua jakaakseen tiedostoja, jotka ohjaavat lopulta tietojenkalastelusivuille.
• Hyökkääjä voi muuttaa sähköpostitilin asetuksia. Rikolliset voivat esimerkiksi luoda sähköpostisääntöjä (esim. viestien edelleenlähetys) tai asentaa haitallisia sovelluksia, jotta pääsy säilyy myös jatkossa. Tavoitteena on pysyä näkymättömänä mahdollisimman pitkään. Hyökkääjä saattaa myös kierrättää tietomurron uhrin aikaisemmin lähettämiä sähköpostiviestejä, joihin lisää linkin kalastelusivulle.

Havaitseminen

• Tällä hetkellä suuri osa huijausviesteistä on naamioitu näyttämään sopimukselta tai laskulta, joka vaatii vastaanottajalta toimenpiteitä. Konkreettisesti viestissä voi olla esimeriksi linkki lasku.pdf nimiseen tiedostoon, jonka avaamiseksi kirjautumistunnuksia pyydetään. Todellisuudessa tämä on huijauslinkki ja syötetyt tunnukset ohjautuvat kalastelusivuston kautta rikoliselle.
• Huijausviestit voivat olla oikeita tiedostonjakopalvelun, kuten Sharepoint, kautta lähetetty tiedostonjakoviestejä, mutta kyseisessä palvelussa jaettu tiedosto uudelleenohjaa uhrin rikollisten hallusa olevalle kalastelusivulle. Tämän takia huijausviestien tunnistaminen voi olla erityisen vaikeaa.
• Rikolliset hyödyntävät myös monivaiheisen tunnistautumisen ohittava adversary-in-the-middle (AiTM) -tekniikkaa, joka on yleistynyt Microsoft 365 -käyttäjätunnusten kalastelussa.  Lisätietoa MFA:n ohittamisesta AiTM-automatiikalla täältä. (Ulkoinen linkki)
• Muutamissa tapauksissa on havaittu, että kun kalasteluviestin vastaanottaja on vastannut suomeksi sähköpostilla kalasteluviestiin, hyökkääjä on vastannut suomeksi ja kehottanut avaamaan kalasteluviestissä olevan linkin.
• Lisäksi on havaittu tapauksia, joissa hyökkääjä on pyrkinyt lisäämään sähköpostilaatikkoon säännön, jonka avulla uhri ei näe kalasteluunviestiin saapuvia vastausviestejä vaan ne ohjataan omaan kansioonsa. Itse tekemästään laatikosta käsin hyökkääjä on käynyt vastaanottajien kanssa dialogia ja pyrkinyt saamaan heidät vakuuttuneeksi sekä toimimaan hyökkääjän haluamalla tavalla.
• Viestin aitoutta epäiltäessä tulisi viestin asia tarkastaa jotakin toista viestintäkanavaa pitkin. Sähköpostiviestin aitouden voi tarkistaa esimerkiksi soittamalla lähettäjälle. 

Huomioi myös

• Pelkkä salasanan vaihto ei riitä, jos hyökkääjä on varastanut ns. session cookien.
• Monivaiheinen tunnistautuminen (MFA) ei yksin estä rikollisten toimintaa. 
• Kirjautumisten maarajoitukset (Geoblock) eivät aina riitä, koska hyökkäysliikennettä voidaan ohjata myös Suomen kautta.

Yritykset ja muut organisaatiot, sekä niiden työntekijät ja käyttäjät, jotka käyttävät Microsoft 365 -tuotteita.

• Jos saamasi viestin aitous epäilyttää, älä vastaa siihen. Varmista asia muulla tavalla, esimerkiksi soittamalla tai käyttämällä pikaviestintä.
• Jos epäilet, että sähköpostitili on murrettu, tarkista edelleenlähetyssäännöt sekä ylläpitäjän että käyttäjän näkymästä.
• Kouluta ja tiedota henkilöstöä säännöllisesti tietojenkalasteluun ja tilimurtoihin liittyvistä riskeistä.
• Varmista myös, ettei hyökkääjä ole lisännyt tilille omaa monivaiheisen tunnistautumisen (MFA) laitettaan. 
• Sulje käyttäjän kaikki käyttöoikeudet hetkellisesti, jotta avoimet istunnot katkeavat. Ohje (Ulkoinen linkki)
• Ehdollisen käytön (Conditional Access) käyttöönotto voi olla tehokas keino parantaa suojaa.
•  Microsoftin sivuilta löytyy hyvä ohje sovelluksien estämiseen (Ulkoinen linkki)

Alla olevassa kuvaajassa on havainnollistettu Kyberturvallisuuskeskukselle ilmoitetut tapaukset M365-tilimurtoihin liittyen vuonna 2025. M365-tilimurtoja tapahtuu jokaisella sektorilla. Kuvaajassa on havainnollistettu kolme aktiivisemmin kohteeksi joutunutta sektoria muiden lisäksi.