Kyberturvallisuuskeskus varoittaa Microsoft 365 -tunnusten kalastelusta – laitekoodikalastelua tehostettu tekoälyn avulla

Esimerkkejä tietojenkalasteluviesteistä, joissa uhri ohjataan kirjautumaan Microsoftin Device code -sivulle. Kuva: Kyberturvallisuuskeskus.

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus kertoo uudesta aallosta Microsoft 365 -tilien tietojenkalastelussa.

Kalastelukampanjassa hyödynnetään nyt laitekooditodennusmenetelmää ja tekoälyä hyökkäysten tehostamiseen. Kampanja kohdistuu sekä organisaatioihin että yksittäisiin käyttäjiin.

Hyökkäyksen tavoitteena on saada luvaton pääsy tileihin sekä yritysten resursseihin. Kyberturvallisuuskeskus on saanut ilmoituksia tapauksista myös Suomessa. Organisaatiot voivat suojautua hyökkäyksiltä muun muassa tiukentamalla ehdollisen käytön sääntöjä, seuraamalla kirjautumisia aktiivisesti sekä kouluttamalla käyttäjiä tunnistamaan uudenlaisia kalasteluyrityksiä.

Laitekooditodennus (Device Code Authentication) on standardoitu kirjautumismekanismi, jota käytetään erityisesti laitteissa tai sovelluksissa, joissa tunnusten syöttäminen suoraan on hankalaa. Käyttäjä saa koodin, jonka hän syöttää erillisellä kirjautumissivulla, minkä jälkeen kirjautuminen vahvistetaan.

Laitekooditodennus eroaa perinteisestä kertakäyttökoodista (OTP) siinä, että se todentaa käyttäjän sijasta laitteen. Kun järjestelmä on kerran tunnistanut ja hyväksynyt tietyn laitteen, se luottaa siihen, että kaikki kyseiseltä laitteelta tuleva liikenne on lähtöisin oikealta käyttäjältä.

Laitekooditodennusmenetelmän hyödyntäminen voi siis antaa hyökkääjälle pääsyn järjestelmään ilman vaatimusta salasanasta tai monivaiheisesta tunnistautumista. Tietoturvayhtiöiden mukaan laitekooditodennushyökkäysten määrä on kasvanut nopeasti vuoden 2026 aikana. Osa kampanjoista on kohdistunut erityisesti Microsoft 365 -ympäristöihin, koska laitekoodikirjautuminen on oletuksena käytössä monissa organisaatioissa.

Hyökkääjät houkuttelevat kohteita kirjautumaan palveluihin käyttämällä laitekooditunnistautumista. Käyttäjää ohjataan syöttämään hyökkääjän tarjoama koodi viralliselle kirjautumissivulle, jolloin hyökkääjä saa pääsyn käyttäjän tiliin ilman, että salasanaa vaaditaan.

Näin uhri huijataan laitekoodin avulla myöntämään pääsy tämän Microsoft 365-tunnukselle. Kuva: Kyberturvallisuuskeskus.

Kyberturvallisuuskeskuksen mukaan tietojenkalastelu alkaa sähköpostiviestillä tai kalenterikutsulla, joka sisältää linkin verkkosivustolle. Rikollisten hallussa olevalla sivustolla voi olla esimerkiksi DocuSign- tai SharePoint-logoilla varustettu PDF-tiedosto, joka näyttää olevan jaettu uhrille. Ohjeiden mukaan dokumentin saa avattua kopioimalla sivulla näkyvän koodin. Uhri kopioi tämän laitekoodin ja liittää sen aidolle Microsoftin kirjautumissivulle, joka pyytää laitekoodia.

Kun koodi on syötetty, uhri kirjautuu käyttäjätunnuksellaan, salasanallaan ja monivaiheisella tunnistautumisella (MFA) Microsoft 365 -palveluun. Tämän seurauksena hyökkääjän laite rekisteröidään uhrin tilille ja se saa uhrin käyttöoikeudet. Hyökkääjä saavuttaa näin pysyvän pääsyn uhrin Microsoft 365 -tilille ilman salasanaa, koska hyökkääjän laitteelle luodaan oma, voimassa oleva istunto.

Onnistunut kirjautuminen voi mahdollistaa liikkumisen myös organisaation järjestelmien sisällä sekä lisähyökkäysten toteuttamisen. Koska hyökkäys ei edellytä salasanojen murtamista, vaan perustuu kirjautumisprosessin väärinkäyttöön, on sitä vaikeampi havaita perinteisillä suojausmenetelmillä.

Microsoftin raportin mukaan tekoälyllä on merkittävä rooli kampanjan laajuudessa ja tehokkuudessa. Sen avulla hyökkääjät automatisoivat viestien luontia, analysoivat kohteita ja muokkaavat lähestymistapaa. Tämä mahdollistaa perinteisiä kalastelukampanjoita laajemman ja kohdennetumman hyökkäystoiminnan. Microsoftin mukaan kyse ei kuitenkaan ole ollut vielä täysin autonomisista hyökkäyksistä, vaan tekoäly toimii ihmisten tukena automatisoiden esimerkiksi viestien kirjoittamista ja hyökkäysten hallintaa.

Laitekoodien kalastelu on yleistynyt huomattavasti, koska hyökkäyksiä toteutetaan valmiina palveluina ostettavien Phishing-as-a-Service (PhaaS) -alustojen, kuten Tycoon 2FA:n tai EvilTokens palveluiden kautta. PhaaS-palveluissa tekoälyä käytetään luomaan kielellisesti virheettömiä ja tarkasti kohdennettuja huijausviestejä automatisoimalla uhrin taustatietojen etsintä sosiaalisesta mediasta. Lisäksi tekoäly muuntelee viestien tekstiä ja koodia reaaliajassa, mikä auttaa niitä kiertämään perinteiset roskapostisuodattimet ja tietoturvajärjestelmät.

Laitekoodin kalastelun kautta tapahtuvat tietomurrot voidaan estää organisaatioissa tehokkaasti vain tiukentamalla ehdollisia pääsynhallintapolitiikkoja.

”Tällaista kalastelua on erittäin vaikea havaita, eikä Microsoftin tuotteet tee hälytystä epäilyttävästä laitteesta, koska uhri hyväksyy laitteen itse omalle tunnukselleen ja laitteen lisäämistä laite koodin avulla ei ole estetty. Suojautuminen vaatiikin ehdollisten sääntöjen tiukentamisen lisäksi kirjautumisten jatkuvaa seurantaa. Lisäksi tarvitaan kohdennettu käyttäjäkoulutus. On myös hyvä varmistaa, että monivaiheinen tunnistautuminen on otettu organisaatiossasi käyttöön. Jos näin ei ole, niin laadi suunnitelma ja aikataulu käyttöönotolle. Monivaiheinen tunnistautuminen on perusta monelle muulle suojaustoimelle”, toteaa Kyberturvallisuuskeskus.

Verkkosivuillaan Kyberturvallisuuskeskus tarjoaa laajemmin suojautumis- ja toimintaohjeita laitekoodipohjaisen kalastelun estämiseksi.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla