Vaihdoit salasanan ja teit kaksivaiheisen tunnistuksen – ja silti hyökkääjä on yhä tililläsi
Microsoft 365 -tilejä kaapataan tavalla, jossa uhri kirjautuu itse oikealle Microsoftin sivulle ja hyväksyy oman kaksivaiheisen tunnistuksensa. Juuri siksi varastettu pääsy säilyy, vaikka salasana vaihdettaisiin.
Tiivistelma
Laitekoodikalastelussa uhri syöttää lyhyen koodin aitoon Microsoftin kirjautumiseen ja viimeistelee oman MFA:nsa, jolloin hyökkääjän laite rekisteröityy tilille. Kyberturvallisuuskeskus vahvisti 22.5.2026 tapauksia Suomessa ja kehottaa rajaamaan laitekoodikirjautumista. Tässä jutussa selitetään, miksi hyökkäys ohittaa MFA:n ja miten pääsy perutaan.
Kuvittele, että saat kalenterikutsun, jossa lukee lyhyt koodi ja ohje: syötä se Microsoftin kirjautumissivulle. Sivu on aito, salasana on omasi ja kaksivaiheinen tunnistus menee läpi normaalisti. Silti olet juuri päästänyt rikollisen sisään.
Kyberturvallisuuskeskus varoitti 22. toukokuuta, että Microsoft 365 -tunnuksia kalastellaan Suomessa juuri tällä tavalla. Keskus kertoo saaneensa tapauksista ilmoituksia kotimaisilta organisaatioilta.
Tekniikan nimi on laitekoodikalastelu. Se on petollinen siksi, että uhri tekee kaiken oikein – kirjautuu oikealle sivulle, käyttää oikeaa salasanaa ja hyväksyy oman MFA-pyyntönsä.
Laitekoodikalastelu (device-code phishing)
Hyökkääjä saa sinut syöttämään lyhyen koodin aitoon Microsoftin kirjautumiseen ja viimeistelemään kaksivaiheisen tunnistuksen. Samalla hyökkääjän laite rekisteröityy tilillesi ja saa pääsytunnuksen, joka on voimassa, vaikka vaihtaisit salasanan tai uusisit MFA:n.
Miten temppu toimii
Lähtölaukauksena on houkutin. Se voi olla DocuSign- tai SharePoint-jakolinkki, kalenterikutsu tai QR-koodi, joka näyttää lyhyen koodin ja pyytää syöttämään sen osoitteessa microsoft.com/devicelogin.
Kun uhri tekee niin ja viimeistelee tunnistuksen, hyökkääjän laite rekisteröityy tilille. Rikollinen saa kelvollisen pääsytunnuksen, joka kattaa sähköpostin, OneDriven, kalenterin ja yhteystiedot.
Ovela osa on, että koko vuorovaikutus tapahtuu ihan Microsoftin omilla sivuilla. Mitään väärennettyä kirjautumissivua ei tarvita, joten tavalliset varoitusmerkit eivät auta uhria havaitsemaan huijausta.
Koska kirjautuminen oli aito, varastettu istunto kestää salasananvaihdon ja ohittaa kaksivaiheisen tunnistuksen. Kyberturvallisuuskeskus tiivistää ongelman ytimen.
– Hyökkääjän laite rekisteröidään uhrin tilille ja se saa uhrin käyttöoikeudet, keskus toteaa varoituksessaan.
Miksi pelkkä salasanan vaihtaminen ei riitä? Koska hyökkääjällä on hallussaan erillinen pääsytunnus, joka ei katoa salasanan mukana. Se on peruttava erikseen.
Tausta ja laajuus
Kampanja on voimistunut syyskuusta 2025 alkaen. BleepingComputerin mukaan tietoturvayhtiö Proofpoint kertoo seuraavansa sekä taloudellisesti motivoituneita että valtioon kytkeytyviä ryhmiä, jotka hyödyntävät tekniikkaa.
Teollisen mittakaavan siitä tekevät valmiit kalastelualustat. Yksi tällainen palvelu kaappasi viidessä viikossa yli 340 Microsoft 365 -organisaatiota viidessä maassa, ja Kali365-niminen työkalupakki on madaltanut rikollisten kynnystä entisestään. Tekoäly puolestaan kirjoittaa houkutintekstit ja profiloi kohteet aiempaa nopeammin. Jää nähtäväksi, kasvaako hyökkäysaalto kesän aikana.
Tunnistusmerkit
- Viesti pyytää syöttämään koodin Microsoftin tai Googlen kirjautumissivulle.
- Odottamaton dokumentin jakolinkki tai kalenterikutsu, jossa on mukana lyhyt koodi.
- QR-koodi, joka johtaa kirjautumissivulle.
Yhteinen nimittäjä on aina sama: joku muu antaa sinulle koodin, jota et itse pyytänyt.
Mitä tehdä
Älä koskaan syötä kirjautumiskoodia, jota et ole itse käynnistänyt. Jos et juuri kirjautunut uuteen laitteeseen, koodille ei ole mitään aitoa syytä.
Tarkista ja peru tiliin liitetyt sovellukset. Googlessa se onnistuu osoitteessa myaccount.google.com kohdasta Suojaus ja kolmannen osapuolen pääsy. Microsoftissa polku on account.microsoft.com, sieltä Tietosuoja ja sovellukset, joilla on pääsy.
Organisaatioiden kannattaa kiristää Entran ehdollisia käytäntöjä. Kyberturvallisuuskeskus kehottaa estämään laitekoodikirjautumisen niiltä käyttäjiltä, jotka eivät sitä tarvitse, sekä auditoimaan uudet OAuth-sovellukset ja laajat oikeuksien myönnöt.
Epäilyttävät viestit kannattaa ilmoittaa osoitteessa ilmoita.kyberturvallisuuskeskus.fi. Mitä nopeammin kaapattu istunto huomataan ja perutaan, sitä vähemmän rikollinen ehtii viedä postilaatikosta ja pilvilevyltä.