Microsoft 365 -tilejä murretaan ketjureaktiolla — satoja uhreja Suomessa

Kyberturvallisuuskeskus varoittaa laajasta Microsoft 365 -tilien murtamisaallosta, joka kohdistuu suomalaisiin organisaatioihin kaikilla sektoreilla ja kaikenkokoisissa yrityksissä. Vuoden 2025 aikana keskukselle ilmoitettiin 330 tilimurto- tai tietojenkalastelutapausta. Lokakuussa 2025 saavutettiin huippu: yli 120 tapausta yhden kuukauden aikana. Hyökkäykset jatkuvat edelleen vuonna 2026, ja Kyberturvallisuuskeskus kuvailee ilmiötä yhdeksi merkittävimmistä kyberuhkista suomalaisille organisaatioille.

Kalevan mukaan tietomurtoaalto on aiheuttanut satoja uhreja suomalaisissa yrityksissä ja julkishallinnon organisaatioissa. Hyökkäykset ovat erityisen tehokkaita, koska kalasteluviestit tulevat usein tutulta ja luotetulta lähettäjältä.

Miten hyökkäys toimii

Tietojenkalastelu etenee ketjureaktiona, jossa yksi murrettu tili tuottaa kymmeniä uusia uhreja:

1. Kalasteluviesti murretulta tililtä. Uhri saa sähköpostin, joka tulee tutun yhteistyökumppanin tai kollegan oikealta tililtä. Viesti sisältää linkin väärennetylle Microsoft-kirjautumissivulle. Koska lähettäjä on tuttu, viesti vaikuttaa uskottavalta.

2. Monivaiheisen tunnistautumisen ohittaminen. Rikolliset käyttävät AiTM-tekniikkaa (Adversary-in-the-Middle), joka kaappaa istuntoevästeen reaaliaikaisesti. Pelkkä MFA ei suojaa, koska hyökkääjä pääsee sisään uhrin istunnolla tunnistautumisen jälkeen.

3. Leviäminen. Murretulta tililtä lähetetään kalasteluviestejä uhrin koko kontaktilistalle. Hyökkäys siirtyy organisaatiosta toiseen muutamissa tunneissa.

4. Pitkäaikainen tiedustelu. Hyökkääjät asentavat sähköpostin edelleenlähetyssääntöjä ja haitallisia sovelluksia. Yhdessä dokumentoidussa tapauksessa hyökkääjä tarkkaili organisaation viestintää 3–4 kuukautta ennen laskutuspetosta.

Kyberturvallisuuskeskuksen mukaan pelkkä salasanan vaihto ei riitä, koska kaapatut istuntoevästeet pysyvät voimassa.

Tunnistusmerkit

• Sähköposti tutulta lähettäjältä, joka pyytää kirjautumaan Microsoft-palveluun linkin kautta
• Kirjautumissivu näyttää aidolta mutta osoite ei ole microsoftonline.com
• Kiireellinen sävy: "Tarkista jaettu asiakirja" tai "Tilisi vaatii vahvistuksen"
• Sähköpostin edelleenlähetyssäännöt, joita et ole itse luonut

Mitä tehdä

Organisaatiot:

• Ottakaa käyttöön salasanaton tunnistautuminen (FIDO2 tai Windows Hello for Business) — tehokkain suoja
• Rajoittakaa kirjautumista Conditional Access -käytännöillä
• Tarkistakaa sähköpostin edelleenlähetyssäännöt sekä ylläpito- että käyttäjänäkymästä
• Estäkää luvattomat sovellukset Admin Consent Workflown kautta

Yksittäiset käyttäjät:

• Älä kirjaudu sähköpostilinkin kautta — mene suoraan osoitteeseen outlook.office365.com
• Jos epäilet tilimurtoa, sulje kaikki istunnot välittömästi ja ilmoita IT-tuelle — pelkkä salasanan vaihto ei riitä, koska kaapattu istuntoeväste pysyy voimassa
• Tarkista säännöllisesti, onko tiliisi luotu tuntemattomia edelleenlähetyssääntöjä tai sovelluksia, joita et tunnista

Kustannukset voivat olla merkittäviä

Kyberturvallisuuskeskuksen mukaan hyökkääjät käyttävät murrettuja tilejä myös Azure-pilvipalvelujen väärinkäyttöön, mikä voi aiheuttaa kymmenien tuhansien eurojen laskuja päivässä. Lisäksi laskutuspetokset ovat yleistyneet: hyökkääjä tarkkailee organisaation viestintää kuukausia ja ohjaa lopulta maksun omalle tililleen muuttamalla laskun tilinumeroa.

Varoitus julkaistiin alun perin syyskuussa 2025 ja poistettiin marraskuussa tapausmäärien tasaannuttua noin 70 kuukausittaiseen ilmoitukseen. Kyberturvallisuuskeskus korostaa kuitenkin, ettei uhka ole ohi — vuoden 2026 alussa ilmoituksia on edelleen tullut kymmeniä kuukausittain.

Ilmoita tilimurrosta poliisille rikosilmoituksella ja Kyberturvallisuuskeskukselle osoitteeseen cert@traficom.fi. Kyberturvallisuuskeskus korostaa, että nopea reagointi on ratkaisevaa: mitä nopeammin murrettu tili tunnistetaan ja istunnot suljetaan, sitä vähemmän vahinkoa hyökkääjä ehtii tehdä.