Kaksivaiheinen tunnistautuminen ei aina estä tunnusten päätymistä vääriin käsiin

Viestintäviraston Kyberturvallisuuskeskuksen tietoon on tullut yrityksiin kohdistettuja valelaskutustapauksia, joissa käytetään huijareiden haltuun saamia kaksivaiheisella tunnistautumisella suojattuja Microsoftin Office 365 -sähköpostitilejä. Sama uhka kohdistuu muihinkin Internet-palveluihin, joissa kaksivaiheinen tunnistauminen on käytössä.

Nyt ilmi tulleissa tapauksissa tietojenkalastelu on alkanut hyvin tavanomaisella Microsoft OneDrive -teemaisella sähköpostitunnusten kalastelulla, jolla on pyritty saamaan haltuun uhrin Office 365-sähköpostitunnukset. Uutena ilmiönä huijauksiin on liitetty kaksivaiheiseen tunnistautumiseen liittyvien kertakäyttöisten salasanojen hyödyntäminen. Huijarit ovat reaaliaikaisesti tai toiminnot automatisoiden kirjautuneet yrityksen sähköpostipalvelimelle uhrin antaessa tunnukset ja toisen vaiheen kertakäyttösalasanan tietojenkalastelusivustolle. Näin kaksivaiheisesta tunnistautumisesta ei ole ollut apua tilin suojaamisessa.

Sähköpostitilille päästyään huijarit ovat asettaneet sähköpostin uudelleenlähetyksen omalle sähköpostitililleen ja näin päässeet seuraamaan käytyjä sähköpostikeskusteluja. Uhrien sähköposteja on voitu seurata kauankin ja sopivan hetken tullen valelaskuja on lähetetty tai maksutietoja muutettu hyvin kohdistetusti oikeisiin maksutapahtumiin liittyen.


Kuva: Sähköpostiin tullut linkki vie aidonnäköiselle kirjautumissivustolle.

Huijarit myös hyödyntävät tai murtavat sivustoja, joilla sertifikaatit ovat kunnossa. Tällöin sivun luotettavuutta osoittava lukko on vihreänä. On tärkeää varmistua mihin tietoja syötetään. Tarvittaessa käytä selaimeen tallentamaasi linkkiä tai kirjoittamaasi palvelun kotisivun osoitetta. Älä kirjaudu sähköpostitilillesi, pankkipalveluun tai muuhun vastaavaan palveluun sähköpostitse saamasi linkin kautta.

Kyberturvallisuuskeskus suosittelee ylläpitäjiä seuraamaan sähköpostipalvelimilta käyttäjien uudelleenlähetyssääntöjä säännöllisesti mahdollisen rikollisten toiminnan havaitsemiseksi. Uudelleenohjauksen havaitseminen voi vaatia ylläpitäjän Powershell -komentojen suorittamista (ks. lisätiedot alla olevasta Microsoftin ohjeesta).

Lisätietoja:


Päivityshistoria

Asiasanat: Tietoturva , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248