Miksi tunnusten varastaminen on vaarallisempaa kuin perinteinen salasanojen kalastelu?

Varastetut todennustunnukset antavat hyökkääjille pääsyn tileihin ilman salasanan tuntemista ja voivat ohittaa joitakin monivaiheisen todennuksen muotoja, koska istunto katsotaan jo todennetuksi.

Millaisia sähköposteja hyökkääjät käyttivät huijatakseen uhreja?

Hyökkääjät lähettivät ammattimaisesti laadittuja sähköposteja, joiden teemana oli "käytännesääntö"-ilmoitus, ja jotka oli suunniteltu vaikuttamaan tavanomaisilta ja auktoritatiivisilta yrityssähköpostilaatikossa.

Voivatko vahvat salasanat suojata käyttäjiä tämäntyyppiseltä hyökkäykseltä?

Ei, jopa vahvoja ja yksilöllisiä salasanoja käyttävät käyttäjät olisivat voineet joutua uhreiksi, koska hyökkääjät kohdistivat hyökkäyksensä istuntotunnuksiin salasanojen sijaan.

Microsoft paljastaa tietojenkalasteluoperaation, joka iski 35 000 käyttäjään 13 000 organisaatiossa

Q: Kuinka monta käyttäjää ja organisaatiota tämä tietojenkalastelukampanja koski?

Kampanja vaaransi yli 35 000 käyttäjän todennustunnukset 13 000 organisaatiossa.

Microsoft paljastaa massiivisen tunnusten varastamiseen tähtäävän tietojenkalasteluoperaation

Microsoft on paljastanut laajamittaisen tietojenkalasteluoperaation, joka vaaransi yli 35 000 käyttäjän todennustunnukset 13 000 organisaatiossa. Hyökkääjät esiintyivät virallisina lähettäjinä ammattimaisesti laadituilla "käytännesääntö"-aiheisilla sähköposteilla, joka on sosiaalisen manipuloinnin taktiikka, joka on suunniteltu vaikuttamaan tavanomaiselta ja luotettavalta yrityssähköpostilaatikossa. Terveydenhuolto-, finanssipalvelu- ja teknologiayritykset kärsivät hyökkäyksistä eniten, mikä tekee tästä yhden viime aikojen merkittävimmistä tunnistetietojen vaarantumiseen liittyvistä paljastuksista.

Se, mikä erottaa tämän kampanjan tavanomaisesta tietojenkalastelusta, on keskittyminen todennustunnusten varastamiseen salasanojen sijaan. Tunnukset ovat pieniä digitaalisia varmenteita, jotka todistavat käyttäjän jo kirjautuneen sisään, ja yhden sieppaaminen voi antaa hyökkääjälle täyden pääsyn tilille ilman, että salasanaa tarvitsee koskaan tietää. Tämä tarkoittaa, että jopa vahvoja ja yksilöllisiä salasanoja käyttävät käyttäjät olisivat voineet joutua uhreiksi, jos heidän istuntotunnuksensa siepattiin.

Miksi todennustunnusten varastaminen on erityisen vaarallista

Perinteisessä tietojenkalastelussas yritetään tyypillisesti huijata käyttäjät syöttämään käyttäjätunnuksensa ja salasanansa väärennetylle kirjautumissivulle. Tunnusten varastaminen menee askeleen pidemmälle. Kun hyökkääjä saa haltuunsa voimassa olevan todennustunnuksen, hän voi usein ohittaa tietoturvatarkistukset kokonaan — myös joitakin monivaiheisen todennuksen (MFA) muotoja, jotka varmistavat henkilöllisyyden ainoastaan kirjautumishetkellä. Järjestelmän näkökulmasta istunto on jo todennettu, joten mitään ei tarvitse vahvistaa uudelleen.

Tämä on erityisen huolestuttavaa säänneltyjen toimialojen, kuten terveydenhuollon ja rahoituksen, organisaatioille, joissa arkaluonteiset tiedot, asiakasrekisterit ja rahoitusjärjestelmät ovat näiden kirjautumisten takana. Yksi varastettu tunniste voi toimia yleisavaimena työntekijän sähköpostiin, pilvipalveluun, sisäisiin työkaluihin ja viestintäalustoihin niin kauan kuin kyseinen tunniste pysyy voimassa.

Houkutussähköpostien ammattimainen ulkoasu tekee tästä entistä vaikeamman torjua inhimillisellä tasolla. "Käytännesääntö"-ilmoitukset kantavat auktoriteetin ja kiireellisyyden tuntua — kaksi elementtiä, jotka ovat luotettavia vipuja sosiaalisessa manipuloinnissa. Työntekijät on ehdollistettu suhtautumaan näihin viesteihin vakavasti, ja juuri siksi hyökkääjät valitsivat kyseisen kehyksen.

Mitä tämä tarkoittaa sinulle

Jos työskentelet organisaatiossa — erityisesti terveydenhuollossa, rahoituksessa tai teknologia-alalla — tämä kampanja on konkreettinen muistutus siitä, että tietojenkalasteluuhat ovat kehittyneet yhä hienostuneemmiksi. Linkin klikkaaminen hyvin suunnitellussa sähköpostissa ja kirjautuminen siihen, mikä näyttää lailliselta portaalilta, voi paljastaa istuntotunnuksesi ilman, että huomaat mitään menneen pieleen.

Useat puolustuskerrokset toimivat yhdessä tämän riskin vähentämiseksi:

Monivaiheinen todennus on edelleen välttämätön. Vaikka kehittyneet tunnusten varastamismenetelmät voivat ohittaa jotkin MFA-toteutukset, laitteistopohjaisia tietoturva-avaimia ja salasanapohjaista todennusta on huomattavasti vaikeampi kiertää kuin tekstiviestiä tai sovelluspohjaisia koodeja. Organisaatioiden tulisi priorisoida tietojenkalastelunkestäviä MFA-standardeja, kuten FIDO2, aina kun mahdollista.

Verkkokerroksen suojaukset lisäävät toisen kerroksen. VPN salaa liikenteen laitteesi ja laajemman internetin välillä, mikä rajoittaa hyökkääjän kykyä siepata tietoja siirron aikana epäluotetuissa verkoissa. Kun työntekijät työskentelevät etänä tai yhdistävät julkisen Wi-Fi-verkon kautta, salaamaton liikenne on alttiina sieppaukselle. Ymmärtäminen siitä, miten eri VPN-protokollat käsittelevät salausta ja tunnelointia, voi auttaa organisaatioita ja yksilöitä valitsemaan konfiguraatioita, jotka todella vahvistavat yhteyksiä pelkän turvallisuuden vaikutelman luomisen sijaan.

Sähköpostien tarkastelu on tärkeämpää kuin koskaan. Jopa teknisesti taitavien käyttäjien tulisi pysähtyä ennen kuin klikkaavat linkkejä odottamattomissa sähköposti-ilmoituksissa — erityisesti niissä, jotka kantavat kiireellisyyttä tai hallinnollista auktoriteettia. Pyyntöjen vahvistaminen erillisen kanavan kautta — siirtyminen suoraan viralliselle portaalille sähköpostilinkkien käyttämisen sijaan — on vähävaivanen tapa, jolla on todellista puolustuksellista arvoa.

Tunnusten voimassaoloajat ja istuntojen hallinta ansaitsevat huomiota. Tietoturvatiimien tulisi tarkastella, kuinka kauan todennustunnukset pysyvät voimassa, ja ottaa käyttöön lyhyemmät istuntoikkunat arkaluonteisille sovelluksille. Mitä kauemmin tunniste pysyy aktiivisena, sitä kauemmin varastettua tunnistetta voidaan käyttää.

Johtopäätökset organisaatioille ja yksilöille

Tämä Microsoftin paljastus on hyödyllinen kehotus tarkastaa nykyiset tietoturvakäytännöt — ei syy paniikkiin. Tämän mittakaavan tunnistetietojen varastamiskampanjat onnistuvat, koska ne hyödyntävät tietoisuuden ja toiminnan välisiä aukkoja. Muutama konkreettinen askel, jotka kannattaa ottaa heti nyt:

Tarkista MFA-asetukset ja siirry mahdollisuuksien mukaan tietojenkalastelunkestäviin todennusmenetelmiin.
Varmista, että etätyöntekijät käyttävät VPN:ää epäluotetuissa verkoissa liikenteen salaamiseksi siirron aikana. Jos olet epävarma siitä, mikä protokolla sopii parhaiten uhkamalliisi, kunkin protokollan turvallisuuden ja suorituskyvyn käsittelytavan tarkastelu on käytännöllinen lähtökohta.
Kouluta henkilöstöä tunnistamaan sosiaalisen manipuloinnin houkutukset, mukaan lukien auktoriteettiin perustuvat sähköpostit, kuten käytäntöilmoitukset ja käytännesääntömuistutukset.
Kysy IT- tai tietoturvatiimeiltä istuntotunnuspolitiikoista ja siitä, ovatko lyhyemmät vanhenemisikkunat toteutettavissa kriittisille järjestelmille.

Mikään yksittäinen hallintakeino ei poista riskiä kokonaan, mutta todennushygienian, salattujen verkkoyhteyksien ja käyttäjätietoisuuden yhdistäminen luo merkittävää kitkaa hyökkääjille. Organisaatioilla, joihin tämä kampanja ei vaikuttanut, oli todennäköisesti ainakin osa näistä toimenpiteistä käytössä. Niillä, joihin se vaikutti, on nyt selkeä kuva siitä, mihin keskittyä.

Microsoft paljastaa massiivisen tunnusten varastamiseen tähtäävän tietojenkalasteluoperaation

Miksi todennustunnusten varastaminen on erityisen vaarallista

Mitä tämä tarkoittaa sinulle

Johtopäätökset organisaatioille ja yksilöille

// UKK

// Aiheeseen liittyvät