Viestintäviraston kyberturvallisuuskeskuksen kesällä julkaisema varoitus sähköpostin kautta tapahtuvasta aggressiivisesta tietojenkalastelusta on edelleen voimassa. Vuodenvaihteen ympärillä kalastelukampanja aktivoitui entisestään ja siksi on erityisen tärkeää, että yritykset ja organisaatiot suojautuvat tältä uhalta.
Suuri osa yrityksistä ja organisaatioista Suomessa ja globaalisti käyttää Microsoft Office 365 -työkaluja, joten hyökkäykset ovat kohdistuneet suurelta osin Office 365 -käyttäjiin. Erityispiirteenä kyberturvallisuuskeskuksen mukaan on sähköpostin edelleenlähetyksen aktivointi rikollisen omaan postilaatikkoon tililtä, johon on murtauduttu. Rikolliset ovat käyttäneet hyväkseen saamiaan tietoja, mutta myös kaapattuja sähköpostiosoitteita kohdennettujen kalastelu- ja huijausviestien lähettämiseen.
Jokaisen käyttäjän pitää olla erityisen tarkkana. Tietojenkalastelua tekevät tahot ovat entistä ammattitaitoisempia ja tekevät vakuuttavan ja luotettavan näköisiä huijausviestejä, ja siksi kalasteluviestejä on yhä vaikeampaa tunnistaa päivittäisestä sähköpostitulvasta. He käyttävät myös uusia ja erilaisia kalastelukeinoja. Tässä muutama asia, joihin kiinnittää huomiota:
- Varmista, että sähköpostin lähettäjä on todellinen ihminen, jonka osoite on oikeassa muodossa eikä osoitteeseen ole esimerkiksi eksynyt ykkösiä i-kirjaimen tilalle.
- Jos sinua pyydetään klikkaamaan linkkiä jollekin sivustolle, vie ensin hiiren kursori linkin päälle, jotta näet, että linkin osoite on tunnettu tai tunnistettavissa.
- Ole varuillasi, kun sinua pyydetään antamaan yhteystietojasi, varsinkin salasanojasi, nettipalveluihin.
Organisaatioiden järjestelmänvalvojille olemme julkaisseet viimeisen vuoden aikana useamman kirjoituksen sisältävän ohjeistuksen kalasteluyritysten estämiseksi ja suosittelemme järjestelmänvalvojia tutustumaan siihen tarkasti. Teknisten varotoimien lisäksi organisaatioiden on tärkeää pitää huolta käyttäjien jatkuvasta koulutuksesta uhkien muuttuessa sekä varautua selviytymään mahdollisista hyökkäyksistä.
Alle olemme listanneet vielä keskeisimmät toimet, joita organisaatioiden järjestelmävalvojien tulisi tehdä kalastelulta suojautumiseksi riippuen käytössä olevasta Office 365:n palvelupaketista.
Microsoft 365 E3- palvelupaketti (sisältää Office 365:n)
Tietoturvan vahvistamiseksi Microsoft 365:n E3-tason palvelupakettia käyttävissä organisaatioissa järjestelmävalvojien pitäisi huolehtia muun muassa alla olevista asioista.
- Estä sähköpostilaatikoiden edelleenlähetystoiminto Office 365 -palvelun asetuksissa. Näin estät tietojen kalastelijaa ohjaamasta yrityksen sähköposteja itselleen. Lisätietoja täällä (englanniksi).
- Huolehdi koulutuksesta: organisaation työntekijöiden on hyökkäysten varalta hyvä ymmärtää ja pystyä tunnistamaan kalastelun yleiset tunnusmerkit. Jopa sisäinen testaus hyökkäysten varalta on suositeltavaa. Autamme tässä mielellämme, ja yritykset ja organisaatiota voivat ottaa yhteyttä suoraan Microsoftiin tai teknologiakumppaniinsa.
- Aktivoi kaksivaiheinen tunnistus. Tämä on suositeltavaa kaikille käyttäjille, kun kirjaudutaan muualta kuin yrityksen sisäverkosta. Lisäksi järjestelmävalvojien on äärimmäisen tärkeää ottaa käyttöön Azure Active Directoryn identiteetinhallinnan riskitapahtumien valvonta. Lisätietoja järjestelmävalvojille riskialttiista tapahtumista (englanniksi) ja käyttäjätunnuksiin kohdistuvista riskeistä lisätietoja (englanniksi).
Mikäli organisaatiollanne on käytössä Enterprise Mobilityn ja Security E3:n palvelut tai Microsoft 365 E3 -palvelupaketti suosittelemme ottamaan Azure Active Directoryn ehdollisen pääsynhallinnan säännöt käyttöön, joiden konfigurointiin löytyy useammasta kohdasta ohjeita täältä. Esimerkiksi maarajoitukset ovat joissain tapauksissa erittäin hyödyllisiä ottaa käyttöön. Samaa mekanismia voi käyttää myös kaksivaiheisen tunnistuksen sääntöihin.
Microsoft 365 E5- palvelupaketti (sisältää Office 365:n)
Tietoturvan vahvistamiseksi Office 365:n E5-tason palvelupakettia käyttävissä organisaatioissa järjestelmävalvojien kannattaa aktivoida seuraavat tuotteet ja niiden ominaisuudet:
- Office 365 Advanced Threat Protection, jossa mukana edistynyt sähköpostisuodatus sekä Sharepointin, OneDriven ja Teamsin suojaukset.
- Microsoft Cloud App Security, joka sisältää Office 365 käytön valvonnan, kehittyneet havainnoinnit ja tietoturvapoikkeamien tutkinnan.
- Office 365 Threat Intelligence, joka mahdollistaa Office 365 -ympäristöön kohdistuvien sähköpostiuhkien havainnoinnin, tutkimisen ja niihin reagoinnin.
- Azure Advanced Threat Protection. Suunnittele ja ota tämä tuote hallitusti käyttöön, jotta voit havaita mm. epänormaalisti käyttäytyvät tunnukset myös paikallisessa Active Directory -ympäristössäsi
Lisätietoja:
Voit ottaa yhteyttä Microsoftin asiakasvastaaviin, organisaatiosi teknologiakumppaneihisi tai teknologiajohtaja Mikko Viitailaan, Microsoft Oy ([email protected])