Kyberturvallisuuskeskus varoittaa: kaksivaiheinen tunnistautuminenkaan ei suojaa – Microsoft 365 -hyökkäykset kehittyneet

Näin kehittynyt Microsoft 365 -hyökkäystekniikka toimii. Kuva: Kyberturvallisuuskeskus.

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus varoittaa viikkokatsauksessaan entistä kehittyneemmistä hyökkäyksistä, joissa ohitetaan kaksivaiheinen tunnistautuminenkin.

Kyberturvallisuuskeskukselle on alkuvuoden aikana ilmoitettu useista kymmenistä Microsoft 365 -tilimurtotapauksista. Näitä tilimurtoja tapahtuu kaikilla sektoreilla ja kaikenkokoisilla toimijoilla.

Tilimurron seurauksena rikolliset lähettävät usein jatkokalasteluviestejä murretulta tililtä.

Tietojenkalasteluviestit ovat laadukkaita ja usein erityisen petollisia juuri siksi, että ne voivat tulla murretulta yhteistyökumppanin tililtä ja sisältää linkin aitoon tiedostoon.

Linkkiä klikatessa käyttäjä ohjataan kuitenkin rikollisten hallussa olevalle tietojenkalastelusivulle, joka muistuttaa oikeaa kirjautumisikkunaa. Rikollisten käyttämä AiTM (adversary-in-the-middle) -hyökkäystekniikka ohittaa monivaiheisen tunnistautuminen (MFA, Multi factor authentication).

Käytännössä käyttäjän syötettyä kirjautumistunnuksensa tietojenkalastelusivulle, rikollisen palvelin välittää kirjautumispyynnön aitoon palveluun ja kopioi käyttäjän tunnukset sinne. Aito palvelu lähettää käyttäjälle MFA-kyselyn ja käyttäjä hyväksyy sen, jonka jälkeen aito palvelu päästää rikollisen sisään. Rikollisen palvelin kopioi istuntoevästeen talteen, ja näin tili on murrettu.

Kyberturvallisuuskeskus toteaa, että organisaatioiden onkin otettava käyttöön lisäsuojauksia AiTM-hyökkäysten estämiseksi. Suositeltavia toimenpiteitä ovat salasanaton, tietojenkalastelunkestävä tunnistautuminen (phishing-resistant MFA), pääsyn salliminen vain hyväksytyiltä ja hallituilta laitteilta (device compliance policies) riskipohjainen tunnistautuminen sekä jatkuva pääsyn arviointi (Continuous Access Evaluation)

Kyberturvallisuuskeskukselle on ilmoitettu myös tapauksista, joissa käyttäjä ehti syöttää tunnuksensa kalastelusivulle, mutta tietomurto estyi organisaation ehdollisten sääntöjen ansiosta.

Tietojenkalastelu on jatkuvasti kehittyvä uhka, eikä mikään yksittäinen toimi suojaa siltä kokonaan, Kyberturvallisuuskeskus muistuttaa. Esimerkiksi kirjautumislokien seuranta, analysointi ja poikkeamien tunnistaminen mahdollistavat hyökkäysten havaitsemisen ajoissa.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla