Vaarallinen huijaus leviää lomien jälkeen, moni ei huomaa eroa

Etenkin työpaikoilla käytettyjen Microsoft 365 -tunnusten kalastelu on vilkastunut viime aikoina. Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus varoittaa asiasta verkkosivuillaan.

 Lomien jälkeen sähköpostissa voi odottaa suuri määrä lukemattomia viestejä. Kiireessä linkkejä tulee helposti avattua ilman tarkempaa harkintaa. Siksi kannattaa pysähtyä muutamaksi sekunniksi ja varmistaa, mihin palveluun olet kirjautumassa – onko kyse aidosta Microsoft 365 -sivusta vai rikollisten ylläpitämästä tunnusten kalastelusivusta, Kyberturvallisuuskeskus muistuttaa.

Kyberturvallisuuskeskus on saanut useita ilmoituksia tunnusten kalasteluviesteistä, joissa viesti on tullut ilmoittajalle tutulta yhteistyökumppanilta. Otsikko voi olla esimerkiksi ”Henkilö X jakoi asiakirjan kanssasi”, aivan kuten aidoissa Sharepoint- tai Onedrive-ilmoituksissa.

Viestin linkki usein johtaa organisaation Online Sharepoint- tai Onedrive -palvelusta jaettuun dokumenttiin, joka näyttää vaarattomalta. Varsinainen kalastelulinkki on kuitenkin jaettuun dokumenttiin upotettu uusi linkki, joka vie Microsoft 365 -tunnusten kalastelusivulle.

Kalastelusivu jäljittelee aitoa kirjautumissivua ja pyytää käyttäjätunnusta ja salasanaa.

Mistä huijauksen tunnistaa?

Sivun aitouden voi varmistaa tarkistamalla osoitteen. Aito kirjautumisosoite on aina jokin seuraavista:

https://www.microsoft.com

https://www.office.com

https://login.microsoftonline.com

https://outlook.office.com

Jos osoite poikkeaa näistä, kyseessä on Kyberturvallisuuskeskuksen mukaan todennäköisesti huijaus.

Kuvassa huijaussivu ja aito kirjautumissivu. Kumpi niistä on huijaussivu? Vastaus kerrotaan jutun lopussa. KYBERTURVALLISUUSKESKUS

Yllä olevassa kuvassa on kaksi samankaltaista M365-kirjautumissivua. Toinen on aito kirjautumissivu ja toinen on aitoa jäljittelevä kalastelusivu.

Kirjautumissivuissa on havaittavissa pieniä keroja muun muassa sivun URL-osoitteessa. Osoitetta tarkkailemalla pystyy päättelemään myös, kummassa on kyse huijauksesta.

Kyberturvallisuuskeskuksen mukaan osassa tapauksista on käytetty myös Adversary-in-the-Middle (AiTM) -tekniikkaa, joka voi kiertää monivaiheisen tunnistautumisen.

Jos kuvatekstissä annettu arvoitus jäi ratkaisematta, tässä vastaus: Vasemmanpuoleinen sivu on huijaussivu ja oikeanpuolinen on aito kirjautumissivu. Huijaussivuston tunnistaa huijaukseksi sen osoiterivistä, joka on tässä esimerkiksi ”officecom.juksutus.net”. Oikean kirjautumissivuston osoite on muodossa ”login.microsoftonline.com”.