Rekisteröidy
AfterDawn logo

M365-tunnuksia kaapataan nyt uudenlaisella huijauksella Suomessa – tavoitteena pysyvä pääsy tilillesi ilman salasanaa

M365-tunnuksia kaapataan nyt uudenlaisella huijauksella Suomessa – tavoitteena pysyvä pääsy tilillesi ilman salasanaa
Janne Yli-Korhonen Janne Yli-Korhonen

Esimerkiksi viime syksynä uutisoidut Microsoft 365 -ympäristöjen tietomurrot ovat saaneet jatkoa uudella tavalla vuoden 2026 aikana.

Vuoden 2026 aikana tietoturvatutkijat ovat havainneet laajamittaisen kalastelukampanjan, jossa hyödynnetään tekoälyä ja organisaatioiden laitekooditodennusta (Device Code Authentication). Kyberturvallisuuskeskus kertoo saaneensa ilmoituksia vastaavista tapauksista myös Suomessa.


Tässä uudessa hyökkäystavassa rikolliset eivät yritä urkkia käyttäjän salasanaa, vaan he pyrkivät saamaan uhrin hyväksymään hyökkääjän laitteen suoraan omalle käyttäjätililleen.

Laitekooditodennus on Microsoft-ympäristöissä oletuksena käytössä oleva mekanismi, jota käytetään sellaisten laitteiden kirjautumisissa, joissa tunnusten kirjoittaminen on hankalaa.

Hyökkäys alkaa usein sähköpostiviestillä tai kalenterikutsulla, joka ohjaa uhrin DocuSign- tai SharePoint-teemaiselle sivustolle avaamaan jaettua PDF-tiedostoa. Sivustolla uhria kehotetaan kopioimaan näkyvissä oleva koodi ja liittämään se Microsoftin viralliselle kirjautumissivulle.

Koska koodi syötetään Microsoftin aitoon palveluun, käyttäjä suorittaa kirjautumisen ja monivaiheisen tunnistautumisen (MFA) täysin normaalisti omilla tunnuksillaan luottaen sivuston turvallisuuteen.

Tämän seurauksena hyökkääjän laite kuitenkin rekisteröidään uhrin tilille, ja se saa kaikki uhrin käyttöoikeudet. Hyökkääjä saavuttaa näin pysyvän pääsyn uhrin Microsoft 365 -tilille ilman salasanaa, sillä hyökkääjän laitteelle luodaan oma, voimassa oleva istuntotunniste. Koska kirjautumisprosessin suorittaa käyttäjä itse aidossa palvelussa, perinteiset tietoturvajärjestelmät eivät tee asiasta hälytystä.

Microsoftin raporttien mukaan tekoälyllä on ratkaiseva rooli tämän uuden kampanjan laajuudessa ja tehokkuudessa. Rikolliset hyödyntävät valmiita palveluna ostettavia alustoja, kuten Tycoon 2FA:ta ja EvilTokensia, joissa tekoäly automatisoi uhrin taustatietojen etsimisen sosiaalisesta mediasta ja luo kielellisesti täysin virheettömiä, kohdennettuja huijausviestejä.

Lisäksi tekoäly muuntelee viestien tekstiä ja koodia reaaliajassa, mikä auttaa niitä kiertämään perinteiset sähköpostisuodattimet.

Pelkkä salasanan vaihtaminen ei välttämättä katkaise hyökkääjän pääsyä, mikäli hyökkääjä on onnistunut pääsemään uhrin laitteelle, sillä rikollisen laitteella on jo voimassa oleva istuntotunniste.


Nopein tapa tilanteen pelastamiseksi on kirjautua itse sisään ja mennä Microsoftin hallintasivuille, josta löytyvällä valinnalla voi mitätöidä kaikki voimassa olevat istunnot ja kirjautua ulos kaikilta laitteilta kerralla.

Organisaatioita Kyberturvallisuuskeskus kehottaa tiukentamaan ehdollisen käytön sääntöjään ja mahdollisuuksien mukaan estämään laitekoodilla kirjautumisen kokonaan niiltä käyttäjiltä, jotka eivät toimintoa työssään tarvitse.

KOMMENTOI

Haluatko kommentoida tätä artikkelia?
Kirjaudu sisään tai Luo uusi käyttäjätunnus.

Seuraa! Kirjekuoren symboli
Uutiskirje
 Threadsin logo
Threads
 Blueskyn logo
Bluesky
 Mastodonin logo
Mastodon
Sulje palkki