Microsoft 365 -tilimurrot yrityksissä ovat nousseet Suomessa käytännön kyberturvaongelmaksi, jota ei voi enää käsitellä vain yksittäisinä kalasteluviesteinä. Erityistä huolta aiheuttaa AiTM-hyökkäys, jossa hyökkääjä asettuu kirjautumisen väliin, kaappaa käyttäjän istuntotunnisteen ja voi päästä palveluihin silloinkin, kun monivaiheinen tunnistautuminen on käytössä.
Kyse ei ole vain sähköpostista. Kun tili murretaan, hyökkääjä voi päästä samoilla oikeuksilla käsiksi myös Teamsiin, SharePoint Onlineen, OneDrive for Businessiin ja joissain tapauksissa Azure-ympäristön resursseihin. Siksi Microsoft 365 tietoturva yritykselle on nyt selvästi laajempi kysymys kuin salasanojen vaihto tai yksittäisen käyttäjän suojaaminen.
Mitä tapahtuu AiTM-hyökkäyksessä
AiTM tulee sanoista Adversary-in-the-Middle. Käytännössä hyökkääjä rakentaa aidon näköisen kirjautumisketjun, jonka kautta käyttäjä syöttää tunnuksensa ja suorittaa myös MFA-vahvistuksen. Tämän jälkeen hyökkääjä ei välttämättä tarvitse salasanaa uudelleen, koska se voi hyödyntää kaapattua istuntoa.
Tämä tekee hyökkäyksestä vaikeamman havaita kuin perinteisestä kalastelusta. Käyttäjä voi nähdä tutun näköisen kirjautumisikkunan, viesti voi tulla tutulta lähettäjältä ja linkki voi liittyä uskottavaan arjen tilanteeseen, kuten laskuun, tiedoston jakoon tai viranomaisasiointiin.
Suomessa kyberuhkataso on edelleen kohonnut, ja samalla hyökkäykset ovat muuttuneet aiempaa automatisoidummiksi ja uskottavammiksi. Microsoft 365 -tilimurtoja on havaittu eri toimialoilla sekä yksityisellä että julkisella sektorilla. Tämä kertoo siitä, ettei riski rajoitu suuriin konserneihin tai tiettyihin toimialoihin.
Miksi Microsoft 365 -tilimurrot yrityksissä ovat käytännössä vakava riski
Murrettu tili antaa hyökkääjälle usein nopeasti näkyvyyden yrityksen viestintään, yhteystietoihin, dokumentteihin ja sisäisiin toimintatapoihin. Sen jälkeen hyökkäys voi laajentua useaan suuntaan:
- luottamukselliset sähköpostit ja liitteet voivat päätyä ulkopuolisille
- SharePoint- ja OneDrive-tiedostoja voidaan lukea tai jakaa eteenpäin
- murrettua tiliä voidaan käyttää jatkokalasteluun asiakkaille ja kumppaneille
- laskutuspetokset voivat käynnistyä aidosta sähköpostiketjusta
- liiketoiminnan jatkuvuus heikkenee, jos käyttöoikeuksia joudutaan jäädyttämään tai ympäristöä tutkimaan kiireessä
Tilanteesta tekee hankalan se, että hyökkäysviestit voivat tulla yhteistyökumppanin jo murretusta tilistä. Silloin viesti näyttää aidolta myös vastaanottajalle, koska lähettäjä, keskusteluketju ja aihepiiri ovat ennestään tuttuja.
Suomi Solutions auttaa tällaisissa tilanteissa erityisesti kahdella tasolla: ensin arvioidaan, miten Microsoft 365 -ympäristön suojaus on toteutettu käytännössä, ja sen jälkeen kovennetaan tunnistautumista, valvontaa ja poikkeamien käsittelyä niin, että riskit eivät jää vain käyttäjien tarkkaavaisuuden varaan.
Miten ilmiö näkyy yrityksen arjessa
Monessa organisaatiossa ensimmäinen havainto ei ole tekninen hälytys vaan liiketoiminnallinen poikkeama. Asiakas kertoo oudosta viestistä, työntekijän lähettämistä posteista löytyy epätavallisia linkkejä tai taloushallinto huomaa, että laskun maksutiedot ovat muuttuneet kesken keskustelun.
Toinen tavallinen merkki on se, että käyttäjän tililtä löytyy outoja sähköpostisääntöjä, poikkeavia kirjautumisia eri sijainneista tai epätyypillistä tiedostojen jakamista. SharePoint-, OneDrive-, OneNote- ja Teams-jakoja voidaan käyttää uusien kalastelulinkkien levittämiseen yrityksen omilla työkaluilla, mikä tekee huijauksesta tavallista uskottavamman.
Tässä kohtaa pelkkä lisenssin olemassaolo ei vielä ratkaise ongelmaa. Microsoft 365 -ympäristö tarvitsee käytännön valvontaa, kirjautumisten seurantaa, sääntöjen tarkistamista ja selkeän toimintamallin siihen, kuka reagoi ja miten nopeasti. Suomi Solutions voi auttaa rakentamaan tämän osaksi normaalia ylläpitoa niin, että poikkeamien käsittely ei ala vasta vahingon jälkeen.
Miksi perinteinen MFA ei aina riitä
Monivaiheinen tunnistautuminen on edelleen välttämätön perustaso, mutta AiTM-hyökkäys Microsoft-tiliä vastaan osoittaa, ettei se yksin kata kaikkia nykyriskejä. Jos hyökkääjä saa haltuunsa istuntotunnisteen, se voi käyttää jo valmiiksi avattua istuntoa ilman että salasanaa tai toista vahvistusta tarvitsee murtaa erikseen.
Siksi yritysten kannattaa arvioida vaikutukset omaan ympäristöön ennen kiireisiä muutoksia. Olennaista on tarkistaa esimerkiksi:
- onko MFA käytössä kaikilla käyttäjillä ilman poikkeuksia
- käytetäänkö mahdollisimman vahvoja tunnistautumismenetelmiä
- onko riskipohjaista kirjautumisen valvontaa ja ehtoja otettu käyttöön
- havaitaanko epätyypilliset istunnot, sähköpostisäännöt ja tiedostojen jaot
- onko henkilöstölle opetettu, että tutulta näyttävä kirjautumissivu ei yksin todista aitoutta
Käytännön varautuminen alkaa usein näkyvyydestä, päivityksistä ja vastuiden selkeydestä. Sama periaate pätee myös Microsoft 365 -ympäristöön: kun kirjautumiset, suojausasetukset ja lokit ovat hallinnassa, poikkeamien tutkiminen nopeutuu ja liiketoiminnan häiriö jää pienemmäksi.
Mitä yrityksen kannattaa tehdä nyt
Microsoft 365 -tilimurto yritysvaikutuksineen kannattaa käsitellä liiketoimintariskinä, ei vain IT-yksityiskohtana. Se koskee taloutta, mainetta, asiakassuhteita ja operatiivista jatkuvuutta.
- Varmista MFA kaikille käyttäjille, myös hallinnollisille ja harvoin käytetyille tileille.
- Suosi vahvempia tunnistautumisratkaisuja aina kun ympäristö sen mahdollistaa.
- Seuraa kirjautumispoikkeamia, istuntoja, sähköpostisääntöjä ja epätavallista tiedostojen jakamista.
- Kouluta henkilöstöä tunnistamaan kalastelu myös silloin, kun viesti tulee tutulta lähettäjältä tai tutusta ketjusta.
- Varmista viestin aitous toista kanavaa pitkin, jos pyyntö koskee kirjautumista, maksua tai tiedostojen avaamista.
- Harjoitelkaa tilimurron toimintamalli etukäteen, jotta tilin sulkeminen, istuntojen katkaisu, tunnusten vaihto ja vaikutusten selvitys onnistuvat nopeasti.
Suomi Solutions auttaa muuttamaan havainnot konkreettisiksi toimenpiteiksi. Käytännössä se voi tarkoittaa Microsoft 365 -ympäristön suojaustason arviointia, kirjautumisten ja jakopalvelujen valvonnan kehittämistä sekä incident response -mallin rakentamista niin, että tilimurtoihin voidaan reagoida hallitusti eikä improvisoiden. Jos oma ympäristö kaipaa läpikäyntiä tai suojausten koventamista, jatkotoimet on hyvä aloittaa ajoissa osoitteesta https://suomisolutions.fi/.
