O365 ja kalastelu – turvallisuusasiaa

Phishing

Kalastelu ja O365

Kalamiehet – pahoittelut. Kalojen kanssa olen hyvin kokematon, mutta tietojen kalastelu on tutumpi aihe. Onhan tietoturva yksi ohjelmisto- ja pilviprojektien kulmakivistä. Viime kuukausina ja erityisesti tänään 21.3.2019 mediassa on kirjoiteltu suomalaisyrityksiin tehdyistä tietomurroista. Esimerkiksi Helsingin Sanomat kirjoittaa: “Keskusrikospoliisi: Suomalaisyrityksiin tehty kymmeniä tietomurtoja”. Nämä murrot ovat liittyneet erityisesti Office 365 -käyttäjiin, ja jutun mukaan kyseessä on kasvava trendi. Keskusrikospoliisi tutkii tällä hetkellä 50 tapausta, mutta vastaavia tapauksia lienee paljon enemmänkin.

Hyökkäysten toimintatapa on vanha tuttu. Hyökkääjä lähettää sähköpostiin viestin, jossa tavalla tai toisella houkutellaan lukija tietylle web-sivulle, joka vaatii käyttäjän kirjautumisen. Tämän jälkeen käyttäjä kirjautuu aidon näköiseen ja tuntuiseen palveluun, joka on kuitenkin huijaus, ja näin käyttäjätunnus ja salasana päätyy suoraan rikollisen haaviin.

Miksi ongelma on olemassa?

Merkittävä osa O365-käyttäjistä ja -jälleenmyyjistä ei ole kovinkaan teknistä väkeä, vaan ennemminkin myyntiportaan edustajia tai käyttäjiä vailla pääkäyttäjän oikeuksia. Tämän vuoksi suurin osa O365 käyttävistä yrityksistä ei ole konfiguroinut “Company branding”-toimintoa kirjautumissivulle. Mitä hyötyä sitten on company brandingistä? Sen avulla pystytään tekemään omannäköinen kirjautumissivu. Kirjautumissivun taustakuva, ikonit ja tervehdysteksti voidaan muokata yrityksen omiksi. Käytännössä kaikki kalastelusivut on tehty täsmälleen saman näköisiksi kuin Microsoftin oletussivu, ja näin ollen huijaussivun ero verrattuna aitoon aloitussivuun on paljon helpompi huomata mukautuksen jälkeen. Tietysti huijaussivun voi tunnistaa myös osoitteesta eli URL:sta, https-sertifikaatista ja lukon kuvasta. Jos siis päädytään esimerkiksi venäläiselle huijaussivulle, on osoite ehkä http://xxx.ru/login eikä suinkaan https://login.microsoftonline.com/.

Tärkeimmät toimenpiteet

  • Company Branding
  • Henkilöstön ohjeistus
  • Custom Branding tehdään kirjautumalla osoitteeseen https://portal.azure.com/ ja valitsemalla Azure Active Directory. Tästä avautuu uusi näkymä, jonka vasemmasta palkista valitaan “Company Branding”. Tämän jälkeen painetaan plussaa ja sitten päästäänkin lisäämään sivun taustakuvaa, banneria, logoa ja muuta yrityksen brändiin liittyvää. Kun tämä toimenpide on tehty, on aika tiedottaa henkilöstölle oikean, brändin mukaisen kirjautumissivun käytön merkityksestä ja siitä, kuinka eri selaimilla huomaa, onko sivu aito vai väärennetty.

    Muistakaa, että kalastelu loppuu, kun kalaa ei enää nouse! Lisätietoja löytyy täältä.