Uusi kalastelutekniikka ohittaa tarkimmankin: kirjautumissivu on aidosti Microsoftin oma

Laitekoodikalastelussa uhri kirjautuu oikealla Microsoft-sivulla salasanalla ja MFA:lla ja syöttää sinne rikollisen lähettämän koodin. Kaspersky dokumentoi tuoreen kampanjan, ja Kyberturvallisuuskeskus varoitti suomalaisia samasta tekniikasta jo toukokuussa.
Tiivistelma
Kaspersky kuvaa kalastelukampanjan, jossa uhri ohjataan aidolle microsoft.com/devicelogin-sivulle syöttämään hyökkääjän hankkima laitekoodi. Onnistunut hyökkäys avaa sähköpostin, OneDriven ja Teamsin rikolliselle. Kyberturvallisuuskeskus varoitti tekniikasta suomeksi jo toukokuussa 2026.
Tarkista osoiterivi ennen kuin kirjaudut. Tuo neuvo on toistettu niin usein, että moni osaa sen jo ulkoa – ja juuri siksi uusi tekniikka on niin tehokas.
Laitekoodikalastelussa osoiterivissä ei nimittäin ole mitään vikaa. Uhri kirjautuu aidolla microsoft.com-sivulla, antaa salasanansa ja hyväksyy MFA-vahvistuksen ihan tavalliseen tapaan. Silti tili päätyy rikollisen käsiin.
Kaspersky julkaisi 6. heinäkuuta analyysin tuoreesta kampanjasta, joka pyöri huhtikuun alusta toukokuun puoliväliin. Roman Dedenok, Kasperskyn tietoturvatutkija, kuvaa raportissa huijauksen kulun vaihe vaiheelta.
Ensin hyökkääjän palvelin pyytää Microsoftin oikealta kirjautumispalvelulta laitekoodin. Sitten uhrille lähetetään syöttiviesti, joka jäljittelee oikeudellista ilmoitusta tai tilausvahvistusta ja sisältää salasanasuojatun PDF-liitteen sekä linkin.
Linkki vie aidolle microsoft.com/devicelogin-sivulle. Kun uhri kirjautuu ja näppäilee viestin mukana tulleen koodin, Microsoft myöntää pääsytunnisteet hyökkääjälle. Sähköposti, OneDrive ja Teams aukeavat kertaheitolla.
Tavallinen kalastelusuodatin ei tähän juuri tartu. Linkki osoittaa Microsoftin omaan palveluun, väärennettyä sivua ei ole, eikä salasana vuoda minnekään. Silti istunto siirtyy hyökkääjälle, koska koodi sitoo kirjautumisen tämän palvelimeen.
Koodit vanhenevat noin 15 minuutissa. Juuri siksi syöttiviestit hoputtavat vastaanottajaa toimimaan heti.
Mihin tällaista koodikirjautumista ylipäätään tarvitaan?
Laitekoodivirtaus (Device Code Flow)
Älytelevisiossa tai tulostimessa ei ole kunnollista näppäimistöä, jolla salasanan voisi kirjoittaa. Siksi laite näyttää lyhyen koodin, jonka käyttäjä syöttää toisella laitteella osoitteessa microsoft.com/devicelogin. Kalastelussa rikollinen esittää olevansa tuollainen laite.
Uhrien määrää Kaspersky ei kerro. Tutkijat havaitsivat kampanjasta myöhemmän variantin, joka kohdistui brasilialaisiin käyttäjiin.
Tekniikka ei ole uusi, mutta sen käyttäjäkunta on muuttunut. Microsoft dokumentoi helmikuussa 2025 Venäjään kytketyn Storm-2372-ryhmän laitekoodikampanjan, ja maaliskuussa 2026 The Hacker News kertoi tekniikan osuneen jo yli 340 Microsoft 365 -organisaatioon viidessä maassa. Valtiollisen vakoilun työkalusta on siis tullut massarikollisuuden perusvarustusta.
Suomessa ilmiötä ei tarvitse arvailla. Kyberturvallisuuskeskus varoitti täsmälleen samasta tekniikasta jo toukokuussa ja kertoi, että täällä nähdyissä kampanjoissa DocuSign- ja SharePoint-henkiset sivut ohjasivat kopioimaan koodin aidolle Microsoft-kirjautumissivulle.
Keskus muistutti samalla, että onnistunut hyökkäys antaa rikolliselle rekisteröidyn laitteen ja pysyvän, salasanattoman pääsyn tiliin. Murretuista Microsoft 365 -tileistä keskukselle tehtiin viime vuonna noin 330 ilmoitusta.
Dedenokin ohje tiivistyy yhteen lauseeseen.
– Älä koskaan hyväksy laitekirjautumista, jota et itse aloittanut, vaikka sivu olisi aidosti Microsoftin oma, Dedenok kirjoittaa.
Tunnistusmerkit
Miten huijauksen sitten erottaa aidosta laitekirjautumisesta? Oikeastaan yhdellä kysymyksellä. Aito laitekirjautuminen on aina sellainen, jonka aloitit itse omalla uudella laitteellasi.
Jos joku muu lähettää koodin ja pyytää syöttämään sen microsoft.com/devicelogin-osoitteessa, kyse on huijauksesta. Varoitusmerkkejä ovat myös kova kiire, salasanasuojattu PDF-liite ja oikeudellista ilmoitusta jäljittelevä sävy.
Syötti vaihtelee kampanjasta toiseen. Kasperskyn havainnoissa se oli oikeudellinen ilmoitus tai tilausvahvistus, Suomessa taas DocuSign-henkinen allekirjoituspyyntö. Koodin pyytäminen paljastaa silti aina saman kuvion.
Mitä tehdä
Älä koskaan syötä toisen lähettämää koodia kirjautumissivulle, vaikka sivu olisi aito. Jos viesti hoputtaa, pysähdy ja lue se uudestaan rauhassa.
Organisaatioiden ylläpitäjille Kyberturvallisuuskeskus suosittelee laitekoodivirtauksen estämistä tai rajaamista ehdollisella pääsyllä, kalastelunkestävää FIDO2-tunnistautumista ja laitekoodikirjautumisten valvontaa. Ohjeet löytyvät keskuksen Microsoft 365 -suojausohjeesta.
Jos epäilet, että koodi ehti mennä perille, kirjaa tili ulos kaikista istunnoista ja vaihda salasana. Poista tililtä tuntemattomat laitteet, tarkista sähköpostin edelleenlähetyssäännöt ja tee ilmoitus osoitteessa ilmoita.kyberturvallisuuskeskus.fi. Työpaikan tilistä kannattaa kertoa heti myös omalle IT-tuelle.
Laitekoodikalastelu tuskin jää viimeiseksi tekniikaksi, joka valjastaa aidon palvelun huijauksen välineeksi. Toistaiseksi paras suoja on varsin arkinen. Hidasta, kun joku hoputtaa kirjautumaan.