Suojaustoimia Office 365 -tunnusten tietojenkalastelua vastaan

Useiden suomalaisten yritysten työntekijöiden ja johtajien sähköpostiviestejä on kevään 2018 aikana varastettu ja heidän käyttäjätunnuksillaan on tehty useita petoksia ja petosten yrityksiä. Kyberturvallisuuskeskus kehottaa kaikkia Office 365 -tuotteita käyttäviä yrityksiä rajoittamaan sähköpostin edelleenlähetyssääntöjen tekemistä ja ottamaan käyttöön kaksivaiheinen tunnistautuminen.

Havaitse tietojenkalastelu

Tavanomainen tietojenkalastelu on yleensä ensimmäinen vaihe onnistuneen hyökkäyksen suorittamisessa. Se estämiseksi ja havaitsemiseksi on tärkeää ottaa käyttöön lähettäjän osoitteen väärentämisen estäviä menetelmiä joita Office 365 -sähköpostipalvelussa on tarjolla. Hyvien tietoturvakäytänteiden kulmakivenä oleva lokitietojen kerääminen ja tarkkailu on olennainen osa toimivaa havainnointikykyä eikä sen merkitystä voi korostaa liikaa. Office 365:n tuottamia lokeja voi jäsentää (esimerkiksi O365_Unified_Auditlog_parser) ja analysoida omilla työkaluilla (jo Excelillä pääsee alkuun) tai käyttää hiljattain julkisiksi tulleita Office 365:n ohjelmointirajapintoja.

Estä murrettujen sähköpostitilien hyväksikäyttö

Nykyisessä huijauskampanjassa murtautujat ovat kirjautuneet varastamillaan tunnuksilla Office 365 -sähköpostituotetta käyttävien yritysten sähköpostijärjestelmiin ja luoneet sähköpostitileille edelleenlähetyssääntöjä, joiden vuoksi yrityksen sähköpostijärjestelmä lähettää murtautujalle kopiot kaikista murrettujen tilien sähköpostiviesteistä. Hyökkääjät ovat myös käyttäneet murtamiaan käyttäjätilejä uusien kohdennettujen kalastelu- ja huijausviestien lähettämiseen. Murrettujen tilien hyväksikäytön havaitsemiseksi ja estämiseksi olemassa olevat edelleenohjaussäännöt tulee tarkistaa ja uusien sääntöjen tekemistä kannattaa rajoittaa Microsoftin ohjeiden ja suositusten mukaisesti.

Kaksivaiheinen tunnistautuminen käyttöön

Kaksivaiheisen tunnistautumisen (Two-factor Authentication, 2FA) käyttöönotto hankaloittaa merkittävästi rikollisten mahdollisuuksia hyödyntää tietojenkalastelua. Vahvaa tunnistautumista tulisi vaatia ainakin silloin, kun organisaation järjestelmiin kirjaudutaan sisäverkon ulkopuolelta tai kirjaudutaan ylläpitäjien tileille.

Ilmoita tapauksista viranomaisille

Mikäli organisaatio havaitsee huijausyrityksiä, on asiasta tärkeää tiedottaa omaa henkilöstöä. Kyberturvallisuuskeskus ottaa vastaan ilmoituksia organisaatioihin kohdistuneista huijauksista ja niiden yrityksistä. Onnistuneista huijauksista on syytä tehdä rikosilmoitus paikallispoliisille.

Lisätietoa

Päivityshistoria

Asiasanat: Tietoturva , NCSC-FI , Tietojen kalastelu (phishing) , Tietomurto , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248