Kalastelusivu, jota et voi tunnistaa väärennökseksi – laitekoodikalastelu vie Microsoft-tilin MFA:n läpi
Vanha ohje neuvoo tarkistamaan osoiterivin. Laitekoodikalastelussa se ei auta, koska kirjautumissivu on aito Microsoftin sivu – uhri hyväksyy oman tunnistautumisensa läpi rikollisen laitteen.
Tiivistelma
Laitekoodikalastelu hyödyntää aitoa OAuth-kirjautumismekanismia ja kääntää sen rikollisen hyväksi. Uhri syöttää koodin oikealla Microsoftin sivulla, suorittaa MFA:n itse ja luovuttaa istunnon hyökkääjälle. Kyberturvallisuuskeskus on saanut tapauksista ilmoituksia Suomesta.
Mitä teet, kun saat kollegalta Teams-viestin, jossa on jaettu asiakirja ja ohje: kopioi tämä vahvistuskoodi ja liitä se Microsoftin kirjautumissivulle? Useimmat tarkistaisivat ensin, että sivu on oikea. Sivu onkin oikea. Juuri siksi laitekoodikalastelu on niin vaikea torjua.
Kyberturvallisuuskeskus varoitti tekniikasta 21. toukokuuta julkaisemassaan tiedotteessa otsikolla "Uusi aalto M365-tietojenkalastelussa". Keskus kertoo saaneensa tapauksista ilmoituksia myös Suomesta. Kohteena ovat olleet sekä organisaatiot että yksittäiset käyttäjät, eli kuka tahansa, jolla on Microsoft-tili.
Hyökkäys ei nojaa väärennettyyn sivuun lainkaan. Se käyttää väärin OAuth 2.0:n laitekoodikirjautumista, joka on aivan laillinen tapa kirjautua näppäimettömille laitteille kuten älytelevisioille ja pelikonsoleille. Juuri laillisuus tekee siitä vaarallisen. Mekanismi on rakennettu helpottamaan kirjautumista. Rikollinen kääntää sen aseekseen muuttamatta itse sivustosta mitään.
Laitekoodikirjautuminen (device code)
Kun kirjaudut palveluun laitteella, jossa ei ole näppäimistöä, ruudulle ilmestyy lyhyt koodi. Menet toisella laitteella oikealle sivulle, esimerkiksi microsoft.com/devicelogin, syötät koodin ja hyväksyt kirjautumisen. Aito koodi näkyy vain laitteella, jota olet itse parhaillaan ottamassa käyttöön.
Rikollinen aloittaa kirjautumisen omalla laitteellaan ja saa siitä voimassa olevan koodin. Sitten hän houkuttelee uhrin syöttämään juuri tuon koodin oikealla Microsoftin sivulla. Syöttinä on tyypillisesti väärennetty DocuSign- tai SharePoint-asiakirja sähköpostissa, Teamsissä tai kalenterikutsussa, ja viesti pyytää syöttämään koodin "asiakirjan avaamiseksi".
Uhri kirjautuu sisään ja suorittaa MFA-vahvistuksen omilla tunnuksillaan. Sen jälkeen hän hyväksyy hyökkääjän laitteen.
Tässä piilee koko ongelma. Osoiterivin tarkistus ei paljasta mitään, koska väärennettyä sivua ei ole. Virustorjunta ei hälytä, koska liikenne menee Microsoftin omille palvelimille. Microsoft toteaa nimenomaisesti, että laitekoodikalastelu pyrkii kiertämään monivaiheisen tunnistautumisen – ja se onnistuu, koska uhri tekee MFA:n itse ja luovuttaa valmiin istunnon eteenpäin.
Pahinta on, mitä rikollinen saa käsiinsä. Hyökkääjä kaappaa voimassa olevat OAuth-tunnukset, jotka pysyvät voimassa myös salasanan vaihdon jälkeen. Niiden turvin hän lukee sähköpostit ja tiedostot Microsoft Graphin kautta ja lähettää lisää kalasteluviestejä uhrin omasta tilistä.
Mittakaava ei ole pieni. The Hacker News raportoi maaliskuussa 2026 yhdestä aallosta, joka osui yli 340 Microsoft 365 -organisaatioon. Microsoft seuraa hyökkääjäryhmää tunnuksella Storm-2372 ja yhdistää sen valtiollisesti motivoituun vakoiluun. Ryhmä on toistaiseksi aktiivinen. Tietoturvayhtiö Proofpoint on dokumentoinut saman ilmiön: kun istunto on kerran luovutettu, tilin haltuunotto tapahtuu ilman yhtäkään väärin syötettyä salasanaa.
Tunnistusmerkit
Tekniikka kääntää turvallisuusvaiston ympäri, joten kannattaa opetella nämä merkit.
- Joku pyytää sinua syöttämään koodin laitekirjautumissivulle, vaikka et ole itse aloittanut mitään kirjautumista.
- Asiakirja, kutsu tai viesti kehottaa "kopioimaan tämän koodin ja liittämään sen Microsoftin tai Googlen kirjautumissivulle".
- Koodi saapuu sähköpostilla, Teamsissä, WhatsAppissa tai tekstiviestillä ja pyytää sinua "hyväksymään" tai "vahvistamaan".
Mitä tehdä
Yksi sääntö riittää ihan suojaksi: älä koskaan syötä laitekoodia, jota et ole itse luonut. Aito laitekoodi ilmestyy ainoastaan laitteelle, jota olet juuri ottamassa käyttöön.
Aito Microsoftin hyväksymispyyntö kertoo, mitä sovellusta ollaan hyväksymässä. Kalasteluhyväksynnät jättävät tämän usein mainitsematta. Jos kyseessä ei ole se sovellus, jota odotit, pysähdy.
Varmista epäselvä pyyntö toista kautta. Soita IT-tuelle tai lähettäjälle suoraan äläkä luota samaan viestiketjuun, jonka kautta koodi tuli. Jos kollegan tili on jo kaapattu, vastaus samaan ketjuun tulee rikolliselta. Ei kollegalta.
Jos ehdit jo syöttää koodin, toimi nopeasti. Kirjaa itsesi ulos kaikkialta osoitteessa mysignins.microsoft.com, vaihda salasana ja tarkista MFA-laitteet sekä sähköpostin uudelleenohjaussäännöt. Ilmoita asiasta IT-tuellesi ja Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
– Aito koodi näkyy aina vain sillä laitteella, jota olet itse ottamassa käyttöön, tiivistää periaatteen Kyberturvallisuuskeskus tiedotteessaan.
Tähän tekniikkaan ei ole helppoa teknistä lääkettä, koska se hyödyntää aivan tavallista kirjautumista. Organisaatiot voivat rajoittaa laitekoodikirjautumisen käyttöä asetuksilla, mutta yksittäisen käyttäjän suoja on tieto. Kun koodi tulee jonkun muun pyynnöstä, vastaus on aina sama. Älä syötä sitä.