Microsoft Entra -passkey-huijaus kiertää salasanojen vaihtamisen

Microsoft Entra passkey -huijaus nostaa esiin uudenlaisen riskin Microsoft 365 -ympäristöissä: hyökkääjä ei välttämättä yritä varastaa salasanaa, vaan saada työntekijän rekisteröimään hyökkääjän hallitseman todennustavan omalle tililleen.

Kyse ei ole Microsoft Entran tai passkey-teknologian varsinaisesta ohjelmistohaavoittuvuudesta. Hyökkäys perustuu luottamukseen, kiireeseen ja siihen, että käyttäjät ovat tottuneet näkemään monivaiheisen tunnistautumisen ja salasanoista luopumisen kehotteita osana normaalia työpäivää.

Mitä Microsoft 365 -käyttäjiin kohdistuvassa hyökkäyksessä tapahtuu?

Turvatutkijat ovat yhdistäneet kampanjan uhkatoimijaan O-UNC-066, jota kutsutaan myös nimellä Pink. Toiminnan on kerrottu olleen käynnissä ainakin huhtikuusta 2026 lähtien, ja kohteita on havaittu useilla toimialoilla, kuten terveydenhuollossa, teknologiassa, rakentamisessa, autoteollisuudessa, ilmailussa sekä elintarvike- ja juomateollisuudessa.

Hyökkäyksen alku on tavallista sähköpostihuijausta vaikeampi havaita, koska se käynnistyy usein puhelulla. Soittaja esiintyy IT-tukena tai tietoturvasta vastaavana henkilönä ja kertoo, että organisaatiossa otetaan käyttöön uusi Microsoft Entra -tunnistautumisen vaatimus. Työntekijää ohjataan vaiheittain rekisteröimään uusi passkey tai FIDO2-todennusmenetelmä.

Uhrille voidaan näyttää yrityksen ilmettä jäljittelevä kirjautumisnäkymä. Taustalla hyökkääjä ohjaa prosessia reaaliaikaisesti ja mukauttaa ohjeita sen mukaan, käyttääkö työntekijä esimerkiksi Microsoft Authenticatoria, kertakäyttökoodeja, tekstiviestivarmennusta tai numerovahvistusta.

Miksi passkey-rekisteröinnin väärinkäyttö on yritykselle vakava riski?

Passkeyt ovat oikein käytettyinä vahva tapa suojata kirjautumista. Ne vähentävät salasanavuotojen, salasanaruiskutuksen ja perinteisen tietojenkalastelun riskiä. Tässä kampanjassa ongelma ei ole itse passkey-teknologia, vaan se, että hyökkääjä pyrkii saamaan oman todennusavaimensa luotetuksi osaksi käyttäjän tiliä.

Jos hyökkääjän hallitsema passkey päätyy käyttäjän Microsoft 365 -tilille, pelkkä salasanan vaihtaminen ei välttämättä katkaise pääsyä. Tämä muuttaa häiriötilanteen luonnetta. Yrityksen on tarkistettava myös todennusmenetelmät, istunnot, kirjautumislokit ja pilvipalveluiden käyttöjäljet.

Käytännössä vaarassa voivat olla esimerkiksi sähköposti, Teams-keskustelut, OneDrive-tiedostot, SharePoint-dokumentit ja muut Entra ID:hen kytketyt liiketoimintasovellukset. Jos hyökkääjä pääsee käsiksi yrityksen tietoihin, seurauksena voi olla datavuoto, kiristys, käyttökatko, mainehaitta ja nopea tarve laajalle identiteettiympäristön selvitykselle.

MFA ei yksin riitä, jos käyttäjä ohjataan väärään rekisteröintiin

Monivaiheinen tunnistautuminen on edelleen tärkeä suojaus, mutta tämä ilmiö muistuttaa, ettei MFA ole yksinään valmis ratkaisu. Hyökkääjä voi pyrkiä manipuloimaan käyttäjää hyväksymään tai lisäämään uuden todennustavan, jolloin teknisesti laillinen rekisteröintiprosessi toimii hyökkääjän hyväksi.

Perinteiset sähköpostisuodattimet, liitetiedostojen tarkistus ja haitallisten linkkien torjunta eivät pysäytä hyökkäystä, jos sen ydin on puhelimessa annettu uskottava ohjeistus. Siksi yrityksen Microsoft 365 -turvan pitää ulottua käyttäjäohjeisiin, tukiprosesseihin, Entra ID -asetuksiin ja lokien jatkuvaan seurantaan.

Suomi Solutions auttaa suomalaisia pk-yrityksiä arvioimaan, miten Entra ID:n passkey- ja MFA-käytännöt näkyvät arjessa. Käytännön työ voi tarkoittaa esimerkiksi uusien todennusmenetelmien tarkistamista, hälytysten määrittelyä, ehdollisen pääsyn rajausten arviointia ja henkilöstölle annettavan ohjeistuksen selkeyttämistä.

Miten hyökkäys näkyy yrityksen arjessa?

Tällainen hyökkäys voi alkaa hyvin tavalliselta kuulostavasta tukipuhelusta. Työntekijälle kerrotaan, että muutos on kiireellinen, koskee koko organisaatiota ja liittyy Microsoft 365 -turvan parantamiseen. Juuri tämä tekee tilanteesta vaikean: pyyntö muistuttaa aitoa tietoturvatoimea.

Varoitusmerkkejä ovat esimerkiksi:

  • IT-tueksi esittäytyvä soittaja pyytää tekemään passkey- tai MFA-muutoksen ilman vahvistettua tukipyyntöä.
  • Käyttäjää ohjataan kirjautumaan sivulle, jonka osoite tai ulkoasu tuntuu lähes oikealta, mutta ei täysin tutulta.
  • Tilanteessa korostetaan kiirettä ja annetaan vaiheittaisia ohjeita puhelimessa.
  • Käyttäjälle näytetään epätavallinen palautuslause tai kryptolompakkoa muistuttava varmistusvaihe.
  • Kirjautumisen jälkeen tilille ilmestyy uusi passkey, FIDO2-avain tai muu todennusmenetelmä, jota käyttäjä ei tunnista.

Yrityksen kannattaa tehdä selväksi, että IT-tuki ei pyydä rekisteröimään uutta passkeytä pelkän yllättävän puhelun perusteella. Herkät tunnistautumismuutokset pitää vahvistaa erillistä, ennalta sovittua kanavaa pitkin.

Mitä yrityksen kannattaa tarkistaa nyt?

Ensimmäinen käytännön toimi on näkyvyyden parantaminen. Entra ID:n auditointilokeista kannattaa tarkistaa uudet passkey- ja FIDO2-rekisteröinnit, erityisesti jos ne liittyvät poikkeavaan kirjautumiseen, tukipuheluun tai käyttäjän normaalista toiminnasta poikkeavaan ajankohtaan.

Microsoft 365 -päättäjien ja IT-vastaavien kannattaa arvioida ainakin seuraavat kohdat:

  • Uudet todennusmenetelmät: tarkista, ketkä ovat lisänneet passkeyn, FIDO2-avaimen tai muun MFA-menetelmän viime viikkoina.
  • Hälytykset: ota käyttöön ilmoitukset uusista todennusmenetelmistä, MFA-muutoksista ja poikkeavista kirjautumisista.
  • Ehdollinen pääsy: rajoita rekisteröintiä sijainnin, laitteen hallintatilan, käyttäjäryhmän ja riskitason mukaan.
  • Tukiprosessi: määritä, miten käyttäjä vahvistaa aidon IT-tukipyynnön ennen tunnistautumiseen liittyviä muutoksia.
  • Käyttäjäkoulutus: kerro selkeästi, miltä vishing näyttää ja miksi kiireellinen puhelu ei ole riittävä peruste muuttaa kirjautumista.
  • Häiriötilanneohje: määritä, miten epäilyttävä passkey poistetaan, istunnot kumotaan ja tilin käyttöjäljet tarkistetaan.

Jos epäilet, että käyttäjän tilille on lisätty luvaton passkey, pelkkä salasanan nollaus ei riitä. Epäilyttävät todennusmenetelmät pitää poistaa, aktiiviset istunnot kumota, kirjautumiset tarkistaa ja postilaatikon sekä tiedostojen käyttöjäljet käydä läpi. Myös jakolinkit, postilaatikkosäännöt ja sovellusoikeudet kannattaa tarkistaa.

Suomi Solutions voi auttaa muuttamaan nämä tarkistukset hallituksi toimenpidekokonaisuudeksi: Entra ID -asetusten läpikäynniksi, Microsoft 365 -identiteettisuojauksen koventamiseksi, lokien tulkinnaksi ja henkilöstölle sopivaksi selkokieliseksi ohjeistukseksi. Jos haluat arvioida oman Microsoft 365 -ympäristösi passkey- ja MFA-käytännöt käytännön tasolla, voit aloittaa keskustelun osoitteessa https://suomisolutions.fi/.

Kysy meiltä Verkossa
Tänään
Hei! Autan mielelläni tuotteisiin, palveluihin, tilauksiin ja yhteydenottoihin liittyvissä kysymyksissä. Miten voin auttaa? Voit myös soittaa minulle :)