Kyberturvallisuuskeskus on julkaissut tuoreen varoituksen (viikkokatsaus 8/2026) Microsoft 365 -ympäristöihin kohdistuvista tilimurroista. Alkuvuoden aikana Suomessa on raportoitu jo useita kymmeniä tapauksia, ja hyökkäykset kohdistuvat kaikenkokoisiin toimijoihin kaikilla sektoreilla. Erityisen huolestuttavaa on se, että hyökkääjät pystyvät nyt ohittamaan perinteisen monivaiheisen tunnistautumisen (MFA) käyttämällä kehittynyttä AiTM (Adversary-in-the-Middle) -tekniikkaa.
Mikä on AiTM-hyökkäys?
Kuvittele, että saat sähköpostia tutulta yhteistyökumppanilta. Viesti näyttää täysin normaalilta, ja siinä pyydetään tarkistamaan esimerkiksi yhteinen projektidokumentti tai lasku linkin kautta. Tässä piilee ansa: kumppanisi tili on todennäköisesti jo murrettu, ja hyökkääjä lähettää viestejä hänen tietämättään suoraan oikeasta sähköpostilaatikosta.
Linkki vie sivulle, joka näyttää täsmälleen Microsoftin kirjautumissivulta. Kun syötät tunnuksesi ja hyväksyt MFA-pyynnön, luulet kaiken olevan kunnossa. Todellisuudessa hyökkääjä on asettunut “väliin” ja kaapannut koko kirjautumisistunnon (session token) lennosta.
Mitä istunnon kaappaaminen tarkoittaa käytännössä? Kun hyökkääjä saa haltuunsa kirjautumisistunnon, hän ei enää tarvitse salasanaasi tai uutta MFA-kuittausta. Järjestelmä luulee hyökkääjää sinuksi, ja hänellä on välitön pääsy tilillesi kaikilla oikeuksillasi. Hän on siis ”sisällä” järjestelmässä niin kauan kuin kyseinen istunto on voimassa.
Kyseessä ei ole vain sähköpostimurto, vaan vakava tietomurto ja kiristysuhka
Kun hyökkääjä kaappaa istuntosi, hän saa pääsyn koko Microsoft 365 -identiteettiisi. Vaikutukset ovat rajuja:
- Tiedon vakoilu ja varastaminen: Yrityksen liikesalaisuudet, asiakaslistat ja sisäiset dokumentit OneDrivessa ja SharePointissa ovat välittömästi varkaiden käsissä.
- Kiristys: Hyökkääjä ei välttämättä vain poista tietoja, vaan uhkaa julkaista ne tai myydä ne eteenpäin, ellei yritys maksa lunnaita. Luottamuksellisten tietojen vuotaminen voi tuhota yrityksen maineen ja asiakassuhteet pysyvästi.
- Pääsy Teams-keskusteluihin: Hyökkääjä voi seurata sisäistä viestintää ja jatkaa huijausta yrityksen sisällä esiintyen sinuna, mikä tekee havaitsemisesta erittäin vaikeaa.
Miten AiTM-hyökkäys pysäytetään?
Koska perinteinen MFA ei enää tarjoa täyttä suojaa, on yrityksen siirryttävä “kalastelun kestäviin” (phishing-resistant) suojakerroksiin. Tehokas suojaus rakentuu seuraavista palasista:
-
Siirtyminen passkey-aikakauteen (pääsyavaimet): Passkey on tällä hetkellä vahvin suoja kalastelua vastaan. Se sitoo kirjautumisen fyysiseen laitteeseen ja oikeaan verkko-osoitteeseen. Toisin kuin perinteinen MFA, passkeyta on teknisesti lähes mahdotonta huijata rikollisen hallitsemalle sivustolle.
-
Luotetut laitteet: Konfiguroidaan säännöt niin, että pääsy yrityksen dataan sallitaan vain yrityksen hallitsemilta ja tietoturvavaatimukset täyttäviltä laitteilta. Vaikutukset ovat tehokkaita: vaikka hyökkääjä saisi haltuunsa tunnukset, hän ei pääse sisään omalta koneeltaan.
-
Ehdollinen pääsy: Automaattiset säännöt, jotka analysoivat jokaista kirjautumista. Jos sijainti, laite tai käyttäytyminen on poikkeavaa, pääsy estetään välittömästi.
Onko “musta laatikko” päällä?
Vaikka tekninen suojaus olisi kunnossa, valvonta on toinen puoli kolikkoa. Yksi suurimmista riskeistä on se, että monissa M365-ympäristöissä kattava lokitiedon kerääminen ei välttämättä ole oletuksena päällä tai se on hyvin rajoitettua.
Moni organisaatio toimii edelleen asetuksilla, joissa “valvontakamerat” tallentavat vain pintapuolista tietoa tai säilyttävät sitä vain hyvin lyhyen ajan. Esimerkiksi kaikkein kriittisimmät tiedot siitä, mitä tiedostoja tai sähköposteja hyökkääjä on todellisuudessa avannut, saattavat vaatia palvelutasosta riippuen erillistä aktivointia tai tarkempia konfigurointeja.
Tärkeää: Jos hyökkäys tapahtuu ja riittävä lokitus puuttuu, on lähes mahdotonta selvittää jälkikäteen (forensiikka), mitä tietoja on viety tai mitä ympäristössä on tapahtunut. M365-ympäristön valvonta ja lokitus on varmistettava asiantuntijan toimesta jo ennen kuin ensimmäistäkään hyökkäystä tapahtuu.
Digiturva365: Uhka on todellinen – olemme nähneet tämän käytännössä
Tämä ei ole vain teoreettinen uhka. Me Digiturva365:llä kohtasimme ensimmäisen vastaavan AiTM-hyökkäyksen asiakasympäristössämme jo kesällä 2025. Kokemuksemme osoitti, että hyökkääjät toimivat salamannopeasti: he pyrkivät varmistamaan automaattisen takaportin ja jatkuvan pääsyn ympäristöön heti ensimurron yhteydessä.
Tällaisessa tilanteessa nopea reagointi ja ennen kaikkea ennaltaehkäisy ovat kriittisiä. Autamme yrityksiä palautumaan näistä tilanteista, mutta helpointa ja edullisinta on estää murto ennalta.
Miksi pk-yrityksen kannattaa valita Digiturva365?
- Asetukset ja lokit kuntoon: Varmistamme, että “musta laatikko” on päällä ja suojaukset on kiristetty estämään AiTM-hyökkäykset.
- Jatkuva valvonta (SOC): Hyökkäykset tapahtuvat usein yöllä tai viikonloppuna. Valvomme ympäristöänne 24/7 ja reagoimme poikkeamiin välittömästi.
- Käytännön kokemus: Olemme hoitaneet näitä tilanteita kentällä jo vuosia. Tiedämme, miten rikolliset toimivat ja miten heidät pysäytetään.
Älä jätä yrityksesi tärkeintä omaisuutta – tietoa – hyökkääjien armoille. Ota yhteyttä Digiturva365:een, niin varmistetaan yhdessä, että yrityksesi suojaus on vuoden 2026 vaatimusten tasolla.
👉 Lue lisää palveluistamme täältä
Digiturva365:n asiantuntijat auttavat pk-yrityksiä rakentamaan kestävän Microsoft 365 -turvallisuusstrategian. Ota yhteyttä ja keskustellaan lisää!