Microsoft paljasti laajan kalastelun: 35 000 käyttäjää 26 maassa, houkutteena väärennetyt 'kurinpitoilmoitukset'
Sähköposti väittää, että työnantaja on avannut sinusta kurinpitokäsittelyn ja pyytää avaamaan PDF:n. Linkki vie usean CAPTCHAn kautta Microsoft 365 -kirjautumisen näköiselle sivulle, joka kaappaa tunnukset ja istuntotokenin reaaliajassa.
Tiivistelma
Microsoftin Defender Research havaitsi kahdessa viikossa kampanjan, joka tavoitti 35 000 käyttäjää yli 13 000 organisaatiossa. Houkutteena toimivat väärennetyt 'code of conduct' -kurinpitoilmoitukset, joiden PDF-linkki johtaa AiTM-kirjautumissivulle. Tekniikka ohittaa sovelluspohjaisen ja SMS-pohjaisen MFA:n.
35 000 käyttäjää, 26 maata, kaksi viikkoa. Näin laajaa kalasteluaaltoa Microsoftin Defender Research -tiimi kuvasi 4. toukokuuta julkaistussa raportissaan, jossa avataan huhtikuun puolivälissä havaittu kampanja. Houkute on poikkeuksellinen oikeastaan siksi, että se ei vetoa rahaan, paketteihin tai pankkiin vaan työpaikan kuriin.
Lähetys teeskentelee sisäistä HR-viestintää. Lähettäjä on nimeltään esimerkiksi Internal Regulatory COC, Workforce Communications tai Team Conduct Report, ja aiheena lukee "Internal case log issued under conduct policy" tai muistutus siitä, että työnantaja on avannut tapauskirjan käytösrikkomuksesta.
Liitteenä on PDF, jonka tiedostonimi mukailee aitoa hallinnollista kieltä. Microsoftin esimerkit kuuluvat "Awareness Case Log File – Tuesday 14th, April 2026.pdf" ja "Disciplinary Action – Employee Device Handling Case.pdf". PDF:n sisällä odottaa sininen Review Case Materials -painike.
Polku tunnusten varastamiseen
Painike ei vie suoraan kirjautumiseen. Ensin tulee Cloudflaren CAPTCHA, sitten kuvavalinta-CAPTCHA. Vasta laitteen mukaan eroteltu uudelleenohjaus johtaa väärennetylle Microsoft 365 -kirjautumissivulle. Useampi tarkistus tekee polusta uskottavan ja hidastaa automaattista analyysiä.
Itse kirjautumissivu on niin sanottu adversary-in-the-middle -kehys. Sivu välittää kentät ja MFA-vastaukset reaaliajassa oikealle Microsoft-päätepisteelle ja kaappaa istuntotokenin sen jälkeen, kun käyttäjä on hyväksynyt tunnistautumisen omalla puhelimellaan.
AiTM (adversary-in-the-middle)
AiTM on hyökkääjäsivusto, joka istuu käyttäjän ja oikean palvelun välissä. Se välittää kirjautumislomakkeen kentät ja MFA-vastaukset eteenpäin reaaliajassa ja kaappaa palautuvan istuntotokenin. Tokenilla hyökkääjä voi kirjautua tilille ilman tunnuksia tai uutta MFA-pyyntöä.
Tekniikka ohittaa sovelluspohjaisen Authenticator-vahvistuksen ja SMS-koodin.
– Hyökkääjät yhdistävät uskottavan henkilöstöhallinnon kielen ja teknisen välitysketjun niin, että käyttäjä luulee kirjautuvansa aitoon Microsoft 365 -palveluun, Microsoftin Defender Research -tiimi toteaa raportissaan.
Skaala ja kohteet
Kampanja havaittiin 14.–16. huhtikuuta. Microsoft kertoo, että viestit tavoittivat yli 35 000 käyttäjää yli 13 000 organisaatiossa 26 maassa. 92 prosenttia kohteista oli Yhdysvalloissa, eikä yhtiö luetellut muita maita nimeltä.
Toimialajakauma kertoo siitä, mistä tunnukset ovat hyökkääjälle arvokkaimpia. Terveydenhuolto ja biotieteet keräsivät 19 prosenttia kohteista, rahoituspalvelut 18 prosenttia, ammatinpalvelut 11 prosenttia ja teknologia- ja ohjelmistoala 11 prosenttia. Microsoft ei liittänyt kampanjaa nimettyyn uhkatoimijaan tätä artikkelia kirjoitettaessa.
Miksi juuri kurinpitoaihe puree? Tavallinen työntekijä avaa harvemmin lainkaan myöhemmin "epäilyttävää linkkiä" lompakkonsa takia, mutta avaa todella herkästi viestin, jossa väitetään häntä itseään käytöskäsittelyn kohteeksi. Pelko ja häpeä hoitavat klikkauksen, jonka perinteinen rahahuijaus joutuisi ostamaan otsikolla.
Suomen tilanne
Tätä yksittäistä kampanjaa ei ole vahvistettu Suomessa. Kyberturvallisuuskeskus on kuitenkin pitänyt aktiivisena varoitusta otsikolla "Microsoft 365 -tilimurrot uhkaavat yrityksiä ja organisaatioita", ja varoitus kuvaa täsmälleen samaa AiTM-pohjaista tekniikkaa. Sama välitysmalli on siis ollut näkyvillä myös Suomessa, vaikka 35 000 käyttäjän kampanjan kohteita ei ole listattu maittain.
Suomalaiset organisaatiot käyttävät Microsoft 365:ta hyvin laajasti henkilöstöhallinnossa, complianceessa ja sisäisessä viestinnässä. Code of conduct -tyyppinen houkute on melko helppo kääntää suomeksi, ja pohja kannattaa olettaa myös kotimaisille viesteille.
Tunnistusmerkit
- Lähettäjä esiintyy sisäisenä HR:nä, "Internal Regulatory" -tyyppisenä toimijana tai "Workforce Communications" -kanavana
- Aihe viittaa kurinpitomenettelyyn, käytössääntöihin tai case log -tapauskirjaan
- Liitteenä PDF, jossa toimintakehotus tyyliin Review Case Materials
- Linkki johtaa tuntemattomalle verkkotunnukselle ja useammalle CAPTCHAlle ennen Microsoft-kirjautumissivua
- Esimerkkidomaineja Microsoftin raportista: cocinternal.com, gadellinet.com, harteprn.com, na.businesshellosign.de sekä hyökkääjähallinnassa olleet compliance-protectionoutlook.de ja acceptable-use-policy-calendly.de
- Aidot Microsoft-kirjautumiset eivät pyydä CAPTCHA-vahvistusta ennen kirjautumissivua
Mitä tehdä
Työntekijät: Käsittele odottamattomat code of conduct- tai kurinpitoaiheiset sähköpostit epäilyttävinä erityisesti silloin, kun mukana on PDF-liite ja ulkoinen linkki. Vahvista asia HR:lta sisäisesti tunnetun kanavan kautta, älä viestin numerosta tai linkistä.
Organisaatiot: Pakota phishing-resistant MFA eli FIDO2, passkeys tai Windows Hello for Business kaikille tileille, joilla on pääsy Microsoft 365:een. Sovellus- ja SMS-pohjaiset menetelmät eivät suojaa AiTM:ää vastaan. Aktivoi Defender for Office 365 Safe Links ja Safe Attachments, ja etsi kirjautumisten jälkeisestä lokista poikkeavaa tokenin käyttöä.
Ilmoittaminen: Organisaatiot ilmoittavat havainnoistaan Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi. Yksittäiset käyttäjät tekevät ilmoituksen poliisille osoitteessa poliisi.fi/nettivinkki.
Onko kurinpitoaiheinen lure jäämässä uudeksi vakiokulmaksi M365-kalastelussa vai jääkö se yhden kampanjan kokeiluksi? Toistaiseksi Microsoftin raportti kuvaa lyhyttä, mutta poikkeuksellisen laajaa iskua, ja jää nähtäväksi, kopioivatko muut ryhmät saman houkutemallin tulevina kuukausina.