Syksyllä 2025 Microsoft 365 -ympäristöihin kohdistuneet tilimurrot ja tietojenkalastelukampanjat nousivat kyberturvallisuuskeskuksen (NCSC-FI) vakaviksi uhkiksi, jotka tavoittivat organisaatioita eri toimialoilta. Tapauksia kertyi merkittävä määrä, ja rikolliset käyttivät hyväkseen selainlogiikkaa ja sähköpostikalastelua päästääkseen käsiksi käyttäjien tunnuksiin. Tilimurtoketjujen kautta oli mahdollista sekä varastaa tietoja että levittää uusia huijausviestejä edelleen organisaation sisällä ja sen kumppaneille.
Nämä onnistuneet hyökkäykset osoittivat, että perinteiset suojausmenetelmät eivät aina riitä. Monessa tapauksessa tilien vaarantuminen johti siihen, että rikolliset pystyivät lähettämään petollisia viestejä organisaation sisältä, mikä vaikeutti uhkien tunnistamista entisestään. Tämä kehitys vaati nopeita ja tehokkaita vastatoimia.
Syksyn 2025 uhkien kasvu
Kyberturvallisuuskeskus julkaisi 9.9.2025 vakavan varoituksen M365-tilimurroista ja tietojenkalastelusta, sillä tapausten määrä oli kasvanut merkittävästi. Varoituksen taustalla oli huomattava kasvu ilmoituksissa: vuoden 2025 aikana NCSC-FI oli vastaanottanut satoja raportteja Microsoft 365 -tilien vaarantumisista. Tilien kaappaaminen ei jäänyt yksittäisiksi kokeiluiksi, vaan rikolliset pystyivät hyödyntämään vaarantuneita tiloja uudenlaisissa hyökkäyksissä ja huijausvirroissa.
Tietomurtoihin johtaneiden sähköpostien tunnistaminen on erityisen haastavaa, koska ne voivat näyttää tulevan tutusta tai luotetusta lähteestä. Kalasteluviestit ja huijaukset voivat myös hyödyntää QR-koodeja, linkkejä tai muuta visuaalista huomiota herättävää sisältöä, joka johtaa käyttäjän petolliselle kirjautumissivulle. Tämä teki organisaatioiden työstä entistä vaativampaa.
Rikolliset käyttivät saatuja tunnuksia paitsi tunnusten väärinkäyttöön myös välineenä levittää lisää kalasteluviestejä, laskutuspetoksia ja jopa yrityssähköpostin väärinkäyttöä (BEC-hyökkäyksiä). Tämä ketjureaktio lisäsi painetta organisaatioiden tietoturvavastaaville löytää tehokkaampia suojaustapoja.
Mikä meni pieleen?
Yksi syksyn 2025 kampanjoiden tärkeimmistä opeista oli se, kuinka monimuotoisesti hyökkäykset olivat rakennettu. Rikolliset eivät tyytyneet vain perinteiseen salasanojen kalasteluun, vaan hyödynsivät myös kehittyneempiä tekniikoita kuten OAuth-laitetunnuskoodien väärinkäyttöä ja muita sosiaalisen manipuloinnin muotoja. Nämä menetelmät hyödyntävät luotettuja kirjautumisvirtoja niin, että käyttäjä saattaa vierittää itsensä syrjään turvallisuustarkistuksista syöttämällä koodin aidolle Microsoft-sivustolle.
Lisäksi uhkien jatkuva kehitys tarkoitti, että monikerroksiset hyökkäykset eivät enää kohdistuneet vain salasanoihin ja yksinkertaisiin kirjautumissivuihin, vaan myös siihen, miten identiteettejä ja todennuksia hallitaan organisaatioissa. Tämä korostaa sitä, että tietoturva ei voi olla staattinen asetus, vaan jatkuvan seurannan ja kehityksen kohde.
Suojautumisen tarve
Kasvanut tilimurtojen määrä ja petollisten kalasteluviestien yleistyminen johtivat siihen, että monet organisaatiot joutuivat päivittämään suojauskäytäntöjään nopeasti. Perusperiaatteena oli, että jokainen organisaatio ottaa käyttöön M365-ympäristön suojausominaisuudet organisaatiotasolla, ei vain yksittäisten käyttäjien tilillä. Tämä tarkoittaa muun muassa sitä, että suojausasetukset tulee määrittää keskitetysti ja että vain oikein varmistetut todennustavat ovat sallittuja.
Yritykset alkoivat myös hyödyntää automaattisia uhkien tunnistus- ja reagointijärjestelmiä, jotka voivat havaita epätavallista toimintaa ja reagoida siihen paljon nopeammin kuin manuaaliset prosessit. Näihin ratkaisuihin kuuluu esimerkiksi Microsoft Defender for Office 365 -työkalun automaattinen seuranta ja vastaus kyberuhkiin.
Mitä organisaatioissa suositeltiin
Kyberturvallisuuskeskus antoi useita suosituksia organisaatioille, jotka haluavat suojata M365-ympäristönsä entistä paremmin. Suositukset painottivat sekä teknisiä että hallinnollisia toimenpiteitä, joiden avulla uhkia voidaan ehkäistä ja hallita tehokkaammin. Näistä tärkeimpiä olivat:
Keskeiset suojaustoimet:
- Ota käyttöön monivaiheinen tunnistus (MFA) jokaiselle käyttäjälle. MFA vähentää merkittävästi tilien onnistuneiden hyökkäysten riskiä, vaikka salasana vuotaisi.
- Käytä Microsoft Defender for Office 365 -ratkaisuja, jotka tunnistavat ja estävät kehittyneitä kalastelu- ja haittaohjelmahyökkäyksiä ennen kuin ne tavoittavat käyttäjän.
- Konfiguroi ehdolliset pääsynvalvonnat (Conditional Access), jotka rajoittavat kirjautumisia epäilyttäviin laitteisiin, sijainteihin tai riskipisteisiin.
- Seuraa kirjautumis- ja uhkalokia reaaliaikaisesti, jotta epätavalliset toiminnot havaitaan mahdollisimman varhaisessa vaiheessa.
- Kouluta henkilöstöä tunnistamaan kalasteluviestit ja epäilyttävät pyynnöt, sillä ihmiset ovat usein ensimmäinen puolustuslinja uhilta.
Tekniikat jatkavat kehittymistään
Vaikka syksyn 2025 kampanjat toivat tullessaan omat haasteensa, ne ovat silti osa jatkuvasti muuttuvaa uhkakuvaa. Kyberturvallisuusasiantuntijat korostavat, että hyökkäystyökalut ja -menetelmät kehittyvät jatkuvasti, eikä yksittäinen ratkaisu riitä kaiken ratkaisemiseen. Jatkossa organisaatioiden tulee omaksua monikerroksinen tietoturva-ajattelu, jossa sekä tekniset järjestelmät että ihmiset muodostavat kokonaisuuden, joka toimii yhdessä.
Lisäksi uudenlaiset hyökkäysvektorit, kuten OAuth-tunnuskoodien väärinkäyttö ja muiden luotettujen kirjautumisprosessien hyväksikäyttö, vaativat organisaatioilta entistä syvempää ymmärrystä siitä, miten käyttäjäkokemusta ja turvallisuutta voidaan tasapainottaa.
M365 turvallisuus – tärkeimmät toimet listattuna
Keskeiset suojauskeinot organisaatioille
- Ota käyttöön Monivaiheinen todennus (MFA) kaikille käyttäjille.
- Käytä Microsoft Defender for Office 365 suojaustoimintoja.
- Aktivoi ehtoiset käyttöoikeudet (Conditional Access) riskipisteiden hallintaan.
- Seuraa ja analysoi kirjautumisia ja uhkalokeja jatkuvasti.
- Kouluta henkilöstö tunnistamaan kalastelu ja huijausyritykset.
- Poista vanhat ja heikot todennusmenetelmät käytöstä.
- Määritä automaattiset uhkien havainnointi- ja reagointijärjestelmät.