Kyberturvallisuuskeskus varoittaa yleistyneestä Office 365 -tietojen kalastelusta – varo nyt erityisesti tällaista viestiä

Liikenne- ja viestintävirasto Traficomin alainen Kyberturvallisuuskeskus varoittaa Microsoftin Office 365 -palvelun tunnusten kalastelusta, jonka avulla on suoritettu onnistuneita tietomurtoja.

Kyberturvallisuuskeskuksen mukaan asiasta on tullut sille huomattava määrä yhteydenottoja.

Kyberturvallisuuskeskus kehottaa käyttäjiä nyt erityiseen varovaisuuteen avatessaan linkkejä ja syöttäessään tunnuksiaan palveluihin kirjautuessa.

”Office 365 -palvelun tunnusten väärinkäytöksiä koskeva varoitus on ollut voimassa kesäkuusta 2018 eteenpäin, eikä ilmiö tunnusten kalastelun ja niillä tehtävien tietomurtojen osalta näytä laantumisen merkkejä”, kertoo Kyberturvallisuuskeskus.

Kuluneen viikon aikana Kyberturvallisuuskeskukseen on tullut yhteensä 22 ilmoitusta aiheeseen liittyen, ja näistä seitsemässä on varmistetusti vähintään yksi tietomurron uhri. Tilasto ei ole täysin kattava koko Suomen tilanteesta, mutta antaa Kyberturvallisuuskeskuksen mukaan suuntaa ilmiön laajuudesta.

Tietojenkalasteluyritykseen voi olla helppo haksahtaa.

Kyberturvallisuuskeskuksen mukaan hyökkääjät jakavat viestejä aiemmin saatujen uhrien nimissä joko heidän OneDrive-tilastaan tai SharePoint-tilastaan tai ottavat mahdollisen olemassa olevan Dropbox-tilin haltuun salasanan nollauksella, ja levittävät kalasteludokumentteja sitä kautta edelleen.

Toimintametodi on lähes kaikissa tapauksissa sama: uhrin nimissä lähetetään jokin PDF-tiedosto, joka sisältää oikeasti vain linkin ”Open document / Avaa dokumentti”, ja linkistä uhri ohjautuu hyökkääjän määrittelemälle sivustolle.

Jos uhri syöttää tunnuksensa kyseiselle sivustolle, siirtyvät ne sieltä eri tavoin hyökkääjän haltuun. Tämän jälkeen hyökkääjä voi suorittaa tunnuksilla mielivaltaisesti toimenpiteitä uhrin nimissä, jos organisaatiossa ei ole käytössä monivaiheista tunnistautumista estämässä pelkällä käyttäjätunnus-salasana -parilla kirjautumista.

Esimerkki huijaussivusta. Huomioi osoiterivillä näkyvä epäilyttävä osoite.
Esimerkki huijaussivusta. Huomioi osoiterivillä näkyvä epäilyttävä osoite.

Microsoftin aidolla kirjautumissivustolla osoite alkaa https://login.microsoftonline.com/ (Ulkoinen linkki), ja sivuston sertifikaatti on myönnetty Microsoftin toimesta; kaikki muut vaihtoehdot ovat lähtökohtaisesti epäilyttäviä ja mahdollisesti haitallisia.

”Jos epäilet syöttäneesi tunnuksesi vahingossa haitalliselle sivustolle, ota välittömästi yhteyttä oman organisaatiosi ylläpitoon tai tietoturvatoimijoihin”, toteaa Kyberturvallisuuskeskus.

Kyberturvallisuuskeskus pyytää myös käyttäjiä ilmoittamaan vastaanottamistaan kalasteluviesteistä tai mahdollisista kalastelusivustoista. Ilmoituksen voi tehdä Kyberturvallisuuskeskuksen verkkosivuilla tai vapaamuotoisesti sähköpostilla osoitteeseen cert@traficom.fi .