KTK: tekoäly tehostaa M365-laitekoodikalastelua, suomalaisia uhreja vahvistettu
Kyberturvallisuuskeskus vahvisti torstaina, että huhtikuussa kansainvälisesti dokumentoitu laitekoodikampanja on osunut myös suomalaisiin organisaatioihin. Uudessa aallossa generatiivinen tekoäly ei pelkästään hio houkutusten suomea, vaan generoi 8-merkkisen koodin vasta sillä hetkellä, kun uhri klikkaa linkkiä.
Tiivistelma
Kyberturvallisuuskeskus varoittaa AI-avusteisesta M365-laitekoodikalastelusta ja vahvistaa, että Suomesta on saatu vastaavia ilmoituksia. Microsoft jäljittää operaatiota nimellä Storm-2372, ja Tycoon 2FA -pakkauksen rinnalle on noussut helmikuussa lanseerattu EvilTokens-palvelu.
Miten 15 minuutin vanhenemisaika voi olla riittämätön suoja, kun koodi syntyy vasta klikin hetkellä? Tähän kysymykseen Kyberturvallisuuskeskus haki torstaina vastausta tiedotteessaan, jossa keskus vahvisti, että huhtikuussa kansainvälisesti dokumentoitu M365-laitekoodikampanja on osunut myös suomalaisiin organisaatioihin.
Keskus toteaa, että tekoälyllä on kampanjassa kolme erillistä, mitattavaa roolia. Houkutusten tuotanto, koodin reaaliaikainen generointi ja polling-solmujen automaatio nojaavat kaikki generatiiviseen koneeseen.
– Kyberturvallisuuskeskus on saanut ilmoituksia vastaavista tapauksista myös Suomessa, keskus kertoo tiedotteessaan.
Traficomin huhtikuun Kybersää 2026 -katsaus laski Suomessa 87 M365-tilikaappausta yhdessä kuukaudessa. Torstain varoitus selittää osaltaan, miksi luku nousi keväällä.
Storm-2372 ja kaksi pakkausta
Microsoft Threat Intelligence on nimennyt operaation Storm-2372 ja liittänyt sen Venäjään. Volexity sanoo, että rinnakkaiset klusterit UTA0304 ja UTA0307 jakavat samat tekniikat ja työkalut.
Markkinoilla on nyt kaksi laitekoodikalasteluun räätälöityä PhaaS-pakkausta. KTK mainitsee tutun Tycoon 2FA:n, ja sen rinnalle nousi 16.2.2026 Telegramissa lanseerattu EvilTokens, jonka Sekoia profiloi huhtikuun lopulla.
EvilTokens markkinoi nimenomaan AI-tehosteista räätälöintiä ja Railway.comin päälle rakennettuja Node.js-polling-solmuja. Pakkauksen myyjät lupaavat, että tuhansia lyhytkestoisia päätepisteitä pyörii rinnakkain ilman, että ostajan tarvitsee rakentaa omaa infrastruktuuria.
Microsoftin oma laskelma on karu. Tätä artikkelia kirjoitettaessa yhtiö kirjaa 10–15 erillistä kampanjaa joka 24 tunnin sykli, ja "satoja organisaatioita vaarantuu päivittäin". Yhdysvaltain CSA on dokumentoinut yli 340 M365-organisaatiota viidestä maasta.
Kolme tekoälyn roolia
Houkutuslähetteet kohdennetaan rooleihin: lasku, DocuSign, Adobe Sign tai SharePoint-jako. Kalenterikutsuissa käytetään uhrin organisaation oikeita projektinimiä, ja personointi nojaa kielimalliin, joka poimii sanaston julkisista lähteistä.
Koodit syntyvät vasta klikkauksen hetkellä. Laitekooditodennuksessa käyttäjä syöttää 8-merkkisen koodin selaimen erilliseen sivuun kirjautuakseen sisään, ja kampanjassa 15 minuutin vanhenemisikkuna ei käytännössä rajaa hyökkäystä, koska koodi on tuore aina kun uhri ehtii sen näkyville.
Lopuksi koko ketju on automatisoitu. Railway.comissa pyörivät Node.js-solmut hoitavat pollauksen, ja kielimalli mutatoi tekstiä ja koodia reaaliaikaisesti välttääkseen suodattimet.
– Tekoälyllä on merkittävä rooli kampanjan laajuudessa ja tehokkuudessa, keskus kirjoittaa.
Mitä tapahtuu tokenin jälkeen
Mitä hyökkääjä tekee, kun token on kädessä? Kirjautumiskoodi on vasta ensimmäinen siirto, ja sen jälkeen vuoro siirtyy pysyvyyteen.
Hyökkääjä rekisteröi ensin oman laitteensa kohteen Entra ID:hen pitääkseen pääsyn. Inbox Rules -säännöillä piilotetaan vahvistusviestit niin, että uhri ei näe outoa liikennettä omasta postilaatikostaan.
Sen perään tulee postilaatikon imurointi Graph API:n MailItemsAccess-kutsuilla. Talous- ja johtopostilaatikot ovat prioriteetti, koska niistä rakennetaan BEC-petoksen tarvitsema konteksti.
Lateraalisiirtymä jaettuihin postilaatikoihin ja Teams-kanaviin seuraa luontevasti. Volexity on raportoinut tapauksista, joissa hyökkääjä viipyy ympäristössä viikkoja ennen rahalähetyksen ohjaavaa ensimmäistä viestiä.
Tunnistusmerkit
Huijausviesti saapuu tyypillisesti kalenterikutsuna, DocuSign-pyyntönä tai SharePoint-jakolinkkinä, ja vastaanottajaa pyydetään syöttämään 8-merkkinen koodi sivulle microsoft.com/devicelogin tai activate.microsoft.com.
Jos et itse juuri käynnistänyt kirjautumista omasta laitteestasi, koodi ei kuulu sinulle. Aito Microsoft ei lähetä irrallista laitekoodia sähköpostitse tai kutsun mukana.
Mitä IT-vastaavan kannattaa tehdä
Kyberturvallisuuskeskus suosittaa Entra ID -hallinnoijille konkreettisia askelia, ja konfiguraatiossa lähtee liikkeelle Conditional Access. Estä device code flow tavallisilta käyttäjiltä ja rajaa se vain hallittuihin tai compliant-laitteisiin.
Ylläpitäjille kuuluu kalastelu-resistantti MFA eli FIDO2 tai passkeys. Kytke päälle Continuous Access Evaluation, jotta varastettu istunto voidaan mitätöidä lähes reaaliaikaisesti.
Loppukerroksena ovat sign-in risk -politiikat, persistent browser re-auth ja vanhan autentikoinnin esto. Jokainen näistä leikkaa tokenin elinkaarta.
Lokien puolella kannattaa rakentaa hälytykset DeviceCode-kirjautumisille ja uusille rekisteröidyille laitteille. Microsoftin oma ohje neuvoo tutkimaan kaikki onnistuneet DeviceCode-tapahtumat takautuvasti, sillä kalastelun ja oikean käytön erottaminen onnistuu vain kontekstista.
Mitä käyttäjän kannattaa tehdä
Älä koskaan syötä Microsoftin laitekoodia, ellet itse ole sitä juuri pyytänyt. Sääntö pätee kalenterikutsuun, DocuSign-pyyntöön ja SharePoint-linkkiin samalla tavalla.
Jos epäilet kalastelua, ilmoita asia organisaatiosi IT:lle ja Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi. Vaihda salasana ja pyydä ylläpitoa mitätöimään aktiiviset istunnot, jos ehdit klikata linkkiä.
Kampanja on yhä aktiivinen, eikä mikään viittaa siihen, että tahti hidastuisi. Jää nähtäväksi, riittääkö Conditional Accessin uudelleenkonfigurointi suomalaisissa organisaatioissa siihen tahtiin, jolla EvilTokensin kaltaiset pakkaukset alentavat hyökkäyksen hintaa.