Uusi kalastelutapa kaappaa Microsoft 365 -tilejä – kaksivaiheinen tunnistautuminen ei pysäytä sitä
Hyökkääjä ei murra kaksivaiheista tunnistautumista. Hän saa uhrin oman, täysin toimivan vahvistuksen hyväksymään väärän laitteen. Yksi merkki paljastaa huijauksen joka kerta.
Tiivistelma
Tycoon2FA-kalastelutyökalu on alkanut käyttää device-code-kirjautumista Microsoft 365 -tilien kaappaamiseen. Tekniikassa uhri vahvistaa kirjautumisen aidolla Microsoftin sivulla, mutta kirjautumistunnukset päätyvät hyökkääjän laitteelle. Artikkeli kertoo, miten hyökkäys toimii ja miten sen tunnistaa.
Kuvittele, että saat sähköpostin laskusta. Klikkaat linkkiä, kirjaudut omilla tunnuksillasi aidolle Microsoftin sivulle ja hyväksyt vahvistuspyynnön omasta puhelimestasi. Kaikki näyttää tavalliselta.
Silti hyökkääjä saa juuri tuolla hetkellä haltuunsa koko Microsoft 365 -ympäristösi.
Tietoturvayhtiö eSentiren tutkimusyksikkö Threat Response Unit kertoo, että rikollisten käyttämä Tycoon2FA-kalastelutyökalu on ottanut käyttöön uuden tekniikan nimeltä device-code-kalastelu. Kyseessä ei ole päivitys aiempaan, vaan ihan uusi tapa kiertää kaksivaiheisen tunnistautumisen suoja.
Aiemmin Microsoft 365 -tilejä on kaapattu niin sanotuilla AiTM-hyökkäyksillä, joista kerroimme 14. toukokuuta. Tämä mekanismi on toinen, ja myös BleepingComputer on raportoinut kampanjasta.
Device-code-kirjautuminen
Device-code-kirjautuminen on Microsoftin laillinen toiminto, jolla kirjaudutaan laitteisiin ilman näppäimistöä, kuten älytelevisioihin ja IoT-laitteisiin. Laite näyttää lyhyen koodin, jonka syötät osoitteessa microsoft.com/devicelogin antaaksesi laitteelle luvan.
Miten hyökkäys etenee
Hyökkääjän palvelin pyytää Microsoftilta device-koodin esiintyen uutena laitteena. Microsoft kohtelee pyyntöä rutiinina, sillä laitekirjautuminen on osa palvelua. Tämän jälkeen uhri saa kalasteluviestin, joka esittää laskua tai vastaajaviestiä ja sisältää saman koodin.
Viestissä uhria kehotetaan vahvistamaan kirjautuminen osoitteessa microsoft.com/devicelogin. Uhri tekee juuri niin. Hän syöttää koodin aidolle Microsoftin sivulle, kirjautuu omilla tunnuksillaan ja hyväksyy oikean vahvistuspyynnön omasta tunnistautumissovelluksestaan.
Microsoft myöntää kirjautumistunnukset. Ne eivät kuitenkaan päädy uhrille vaan hyökkääjän laitteelle, koska tuo laite aloitti koko pyynnön.
Miksi kaksivaiheinen tunnistautuminen ei auta? Koska se toimii tarkalleen kuten pitääkin. Hyökkäys ei murra vahvistusta, vaan muuttaa sen, mitä uhrin hyväksyntä valtuuttaa.
Koodin pyytäneen laitteen ja vahvistuksen tekevän ihmisen välillä ei ole minkäänlaista salausyhteyttä. eSentire kertoo, että hyökkääjä pyytää tunnukset Microsoftin oman Authentication Broker -sovelluksen kautta, joten yksi hyväksyntä luovuttaa kerralla Exchange Onlinen, OneDriven ja Microsoft Graphin.
Trustifin maine toimii ohituskaistana
Miten huijausviesti ylittää roskapostisuodattimen? Hyökkäys ratsastaa myös sähköpostisuodattimien ohi. eSentire kertoo, että kalasteluviestin linkki käyttää sähköpostiturvayhtiö Trustifin klikkausseurantaa, jonka verkkotunnuksella on puhdas maine.
Suodatin näkee luotettavan trustifi.com-osoitteen ja päästää viestin läpi. Linkki ohjaa uhrin Cloudflare Workers -alustalle pystytetylle hyökkääjän sivulle. Trustifiin ei ole murtauduttu, vaan rikolliset lainaavat sen mainetta.
Tycoon2FA ei ole tuntematon nimi. Microsoft ja Europol hajottivat työkalun infrastruktuurin maaliskuussa 2026, mutta operaattorit rakensivat sen uudelleen ja jatkoivat toimintaa muutamassa viikossa.
Tämä kampanja havaittiin huhtikuun lopussa, ja eSentiren analysoima näyte oli päivätty 29. huhtikuuta. Työkalu estää noin 230 tietoturvatoimijan pääsyn väistääkseen tutkimusta.
Tunnistusmerkit
Yksi merkki paljastaa huijauksen aina. Device-koodi, joka saapuu sähköpostilla tai tekstiviestillä ilman että olet itse aloittanut kirjautumista, on aina hyökkäys.
– Syötä koodi osoitteessa microsoft.com/devicelogin vain silloin, kun olet itse juuri tuolla hetkellä ottamassa uutta laitetta käyttöön, neuvoo Kyberturvallisuuskeskus AiTM-ohjeistuksessaan.
Muita varoitusmerkkejä ovat kiireeseen vetoava lasku- tai vastaajaviesti, kehotus vahvistaa kirjautuminen sekä linkki, joka näyttää tutulta mutta ohjaa lopulta tuntemattomalle sivulle. Tärkein ohje pysyy silti samana. Aito Microsoftin sivu ja aito vahvistuspyyntö eivät tee viestistä turvallista, jos koodi tuli ulkopuolelta.
Mitä tehdä
Yksittäiselle käyttäjälle ohje on hyvin yksinkertainen. Älä koskaan syötä koodia osoitteessa microsoft.com/devicelogin, ellet ole itse aloittanut laitteen käyttöönottoa. Pyytämätöntä koodia kannattaa kohdella hyökkäyksenä.
Kalasteluviestistä voi ilmoittaa Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
Organisaatioille ja järjestelmänvalvojille keinot ovat tehokkaampia. Device-code-kirjautumisen voi estää tavallisilta käyttäjiltä ehdollisen käytön käytännöillä, mikä poistaa koko hyökkäysluokan. Lisäksi kannattaa vaatia järjestelmänvalvojan hyväksyntä kolmansien osapuolten sovelluksille ja ottaa käyttöön jatkuva pääsyn arviointi.
Jos kalasteluyritystä epäillään, päivitystunnukset on syytä mitätöidä ja postilaatikon sääntöjä tarkastaa.
Kyberturvallisuuskeskus ei ole julkaissut Suomea koskevaa varoitusta nimenomaan device-code-kalastelusta. Sen tietoturva-ammattilaisille suunnattu AiTM-ohjeistus mainitsee kuitenkin device-code-tunnistautumisen väärinkäytön ja suosittelee estämään kyseisen kirjautumistavan kokonaan, ellei sitä tarvita.
Microsoft 365 -tilimurrot ovat Suomessa aktiivinen uhka. Kyberturvallisuuskeskus kertoo, että huhtikuun Kybersää kirjasi 87 ilmoitusta Microsoft 365 -tilien kaappauksista. Koska palvelu on suomalaisten organisaatioiden arkista työkalua, uusi tekniikka koskee niitä suoraan.
Tätä artikkelia kirjoitettaessa kampanja oli yhä käynnissä, eikä Tycoon2FA-operaattoreiden toiminta ole hidastunut maaliskuun takaiskun jälkeen.