Nyt tarkkana sähköpostin käytössä: Yritysten tilejä murrettu

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskukselle on tehty useita ilmoituksia organisaatioihin kohdistuvista Microsoftin M365-käyttäjätilien kalasteluista. Osa kalasteluista on johtanut viranomaisen mukaan sähköpostitilin tietomurtoon.

Viimeisimmissä kalasteluviesteissä lähettäjä on halunnut jakaa vastaanottajalle tiedoston esimerkiksi Sharepointissa tai Dropboxissa. Linkistä aukeavalle kalastelusivulle syötetyt tunnukset päätyvät rikollisten haltuun.

Kyberturvallisuuskeskus huomauttaa, että viesti saattaa saapua tutusta osoitteesta, jonka rikolliset ovat aiemmin saaneet haltuunsa. Murrettuja tilejä käytetään esimerkiksi laskutuspetoksiin ja uusien kalasteluviestien lähettämiseen. Rikollinen saattaa myös vastata postilaatikkoon tuleviin viesteihin tai poistaa sieltä viestejä.

– Murretulta sähköpostitililtä saatetaan pahimmassa tapauksessa lähettää tuhansia jatkokalasteluviestejä. Olisi äärimmäisen tärkeää tutkia, onko viestejä lähetetty ja mahdollisuuksien mukaan tiedottaa vastaanottajia asiasta isompien tietomurtopiikkien välttämiseksi, Traficomin Kyberturvallisuuskeskuksen tietoturva-asiantuntija Sanna Autio muistuttaa tiedotteessa.

Vahva tunnistautuminenkaan ei aina auta

Kyberturvallisuuskeskus kehottaa kaikkia Microsoft 365 -asiakkaita käyttämään monivaiheista tunnistautumista ja rajoittamaan sähköpostin edelleenlähetyssääntöjen tekemistä.

Ilmoituksia on kuitenkin tehty myös murroista, joissa sähköpostitili on kaapattu monivaiheisesta tunnistautumisesta huolimatta. Tällöin käytössä on ollut niin sanottu adversary-in-the-middle (AiTM) -tekniikka, jolla voidaan ohittaa monivaiheinen tunnistautuminen. Kyseinen metodi on viranomaisen mukaan yleistynyt Microsoft 365 -tunnusten kalasteluissa.

Kyberturvallisuuskeskuksen mukaan tietomurrosta tai sen yrityksestä tulisi tehdä rikosilmoitus. Tapauksista kannattaa ilmoittaa myös Kyberturvallisuuskeskukselle.