Liikenne- ja viestintävirasto Traficom on tänään antanut vakavan varoituksen tietomurtoaallosta. Ongelma on ilmennyt suomalaisten organisaatioiden sähköpostitileillä.
Tietomurto leviää organisaatiosta toiseen, kun yritysten työntekijöiden käyttäjätunnuksia ja salasanoja kalastellaan sähköpostitse ja huijaussivujen avulla.
Rikolliset ovat Traficomin mukaan kirjautuneet saamillaan tunnuksilla Microsoft 365 -sähköpostijärjestelmiin. Kaapattuja tilejä käytetään siten, että uusia tietojenkalastelun viestejä lähtee sekä yrityksen sisäisesti että muihin organisaatioihin. Hyökkääjä lähettää murretuilta tileiltä viestejä käyttäjätilin aiemmille kontakteille.
Kyberturvallisuuskeskus on saanut kymmeniä ilmoituksia murretuista Microsoft-tileistä ja niiltä lähetetyistä kalasteluviesteistä. Keskuksen tiedossa ei kuitenkaan ole, että tämä olisi johtanut rikollisten laajaan etenemiseen organisaation järjestelmien sisällä. Tilien murrot kuitenkin altistavat muillekin tietoturvaloukkausten riskeille. Kalastelusivuilla on Traficomin mukaan käytetty kehittynyttä AitM-automatiikkaa, joka joissakin tapauksissa kykenee ohittamaan myös monivaiheisen tunnistamisen.
Kyberturvallisuuskeskus kannustaa kaikkia tietomurron kohteeksi joutuneita ilmoittamaan havainnoistaan aktiivisesti Kyberturvallisuuskeskukselle.
Traficom listaa sivuillaan tietomurron torjunta- ja rajoituskeinoja.
Ohjeita ja tietoa, jos epäilet tietomurtoa
- Tiedota ja kouluta henkilöstöä
- Jos epäilet saamasi viestin aitoutta, älä vastaa viestiin vaan pyri varmistumaan jotain muuta reittiä pitkin (esim. puhelu, pikaviesti tms.).
- Jos epäilet, että sähköpostitili on murrettu, tarkista edelleenlähetyssäännöt sekä ylläpitäjän näkymästä että käyttäjän näkymästä.
- Murrettujen tilien salasanojen vaihtaminen ei yleensä riitä, mikäli rikolliset ovat onnistuneet varastamaan ns. session cookien.
- Tileiltä kannattaa tarkistaa, ettei hyökkääjä ole lisännyt sinne omaa MFA-laitettaan.
- Peru käyttäjän kaikki käyttöoikeudet hetkeksi, jotta avoimet istunnot sulkeutuvat.
- Monivaiheinen kirjautuminen (MFA) ei ole estänyt rikollisten toimintaa.
- Kirjautumisien maarajaukset (Geoblock) eivät välttämättä riitä tapauksen rajaamiseen. Liikennettä kierrätetään myös Suomen kautta.
Conditional Accessin käyttöönottaminen voi olla tehokas keino. - Joissain aiemmin nähdyissä kalastelukampanjoissa on murretuilla tunnuksilla asennettu emClient -sovellus (Azure AD enterprise application), jonka kautta lähetetty edelleen kalasteluviestejä.