Yrityksiin kohdistuvat tilikaappaushyökkäykset ovat lisääntyneet. Abnormal Securityn tutkimuksen mukaan vähintään yksi tilikaappaushyökkäys vaikutti 83 %:iin tutkituista organisaatioista edellisen vuoden aikana, ja 26 % ilmoitti kohtaavansa tilikaappausyrityksen joka viikko. Protonin SMB Cybersecurity Report -raportissa todettiin, että yhteen neljästä pienyrityksestä on murtauduttu kyberturvatoimista huolimatta.

Myös taloudelliset vaikutukset voivat olla vakavia. IBM:n tutkimus kertoo, että toimittajan tietoturvan vaarantumiseen ja tilikaappauksiin liittyvät tietomurrot maksavat keskimäärin lähes 5 miljoonaa dollaria, ja niiden hallintaan saaminen kestää usein yli 250 päivää.

Hyökkäysten yleisyys ja vaikutukset selittävät sen, miksi tilikaappaukset ovat niin vaarallisia yrityksille: hyökkääjät voivat yksinkertaisesti kirjautua sisään oikeilla kirjautumistiedoilla ja aloittaa toiminnan organisaation sisällä, usein jo ennen kuin kukaan tajuaa, ettei tili ole enää luotettu.

Yhdistyneessä kuningaskunnassa maan hallituksen Cyber Security Breaches Survey 2025 -raportti osoittaa myös, että kaappausyritykset ja vaarantuneet tilit ovat osa laajempaa vaaratilannekuvaa. Yrityksille tilikaappaus on enemmän kuin pelkkä kirjautumisongelma. Se on riski henkilöllisyyden turvallisuudelle, petoksille ja liiketoiminnan jatkuvuudelle.

Mikä on tilikaappaushyökkäys?

Miten tilikaappaus eroaa perinteisistä hyökkäyksistä

Yleisimmät tilikaappausmenetelmät

Miksi yritystilit ovat arvokkaita kohteita

Tunnistussignaalit, joita yritysten tulisi tarkkailla

Tilikaappauksen vaikutukset liiketoimintaan

Käytännön toimintasuunnitelma epäillyn tilikaappauksen varalta

Vahvemman turvallisuuskulttuurin rakentaminen tilien käytön ympärille

Miten Proton Pass for Business vähentää tilikaappausriskiä

Mikä on tilikaappaushyökkäys?

Kyberrikolliset toteuttavat tilikaappaushyökkäyksiä hankkimalla luvattoman pääsyn oikealle tilille ja käyttämällä sitä sitten pahantahtoisiin tarkoituksiin. Yritysympäristöissä tämä tarkoittaa yleensä työntekijän salasanan hankkimista, heidän tunnistautumisprosessinsa häiritsemistä tai muulla tavoin luvallisen pääsyn hankkimista työtilille.

Päästyään sisään hyökkääjä voi lukea sisäistä viestintää, muuttaa tilin asetuksia, siirtyä yhdistettyihin sovelluksiin, viedä luottamuksellisia tiedostoja tai esiintyä työntekijänä keskusteluissa kollegoiden, toimittajien tai asiakkaiden kanssa. Koska hyökkääjä on saanut luvallisen pääsyn sen sijaan, että hän olisi tunkeutunut sisään näkyvästi rikkoutuneen järjestelmän kautta, toiminta vaikuttaa tavalliselta liiketoiminnalta.

Tämä tekee yritystilin vaarantumisesta niin vaarallista. Hyökkääjä voi vaikuttaa tavalliselta käyttäjältä, kunnes vahinko on jo tapahtumassa.

Miten tilikaappaus eroaa perinteisistä hyökkäyksistä

Tilikaappaus on erittäin häiritsevä, koska sitä ei ole yhtä helppo havaita kuin monien tiimien odottamia ilmeisiä hyökkäyksiä tai tietomurtoja.

Yritysten tietoturvatiimit etsivät usein haittaohjelmia(uusi ikkuna), hyödynnettyjä haavoittuvuuksia, korruptoituneita järjestelmiä tai epäilyttävän koodin suorittamista. Tilin haltuunottotapauksissa yhteenkään järjestelmään ei ole välttämättä murtauduttu perinteisessä mielessä, koska hyökkääjä on käyttänyt oikeita kirjautumistietoja ja tavallisia kirjautumisvaiheita.

Tämä ero on merkittävä, koska tiimien on etsittävä kirjautumistietojen väärinkäyttöä pikemmin kuin tunkeutumista verkon rajojen läpi. Kun hyökkääjä kirjautuu sisään käyttäen samaa kirjautumissivua ja samoja voimassa olevia kirjautumistietoja kuin kaikki muutkin, toiminta ei vaikuta erillisenä tapahtumana epäilyttävältä.

Havaitseminen riippuukin tällöin vähemmän teknisten ongelmien paikantamisesta ja enemmän epätavallisen käytöksen huomioimisesta, kuten outoista kirjautumistavoista, odottamattomista salasanojen palautuksista tai poikkeavista pääsyvaatimuksista.

Toisin sanoen tilin haltuunotto onnistuu usein hyödyntämällä organisaation normaalia luottamusmallia.

Yleisimmät tilin haltuunottomenetelmät

Hyökkääjät voivat käyttää useita vakiintuneita menetelmiä päästäkseen käsiksi yritystileihin. Jotkut menetelmät ovat sattumanvaraisia, kun taas toiset ovat erittäin kohdennettuja.

Kirjautumistietojen kokeilu (Credential stuffing)

Kirjautumistietojen kokeilussa hyökkääjät hyödyntävät tietomurroissa vuotaneita käyttäjätunnuksia ja salasanoja ja testaavat niitä muissa palveluissa. Tämä toimii, koska ihmiset käyttävät usein samoja salasanoja sekä henkilökohtaisilla että työtileillään.

Tämän vuoksi yksilölliset salasanat ovat yksi organisaationne parhaista puolustuskeinoista tilien haltuunottoja vastaan. Protonin Data Breach Observatory osoittaa, että nimet ja sähköpostiosoitteet esiintyvät lähes yhdeksässä kymmenestä murrosta, kun taas salasanat paljastuvat 47 prosentissa tapauksista. Kun näitä kirjautumistietoja käytetään uudelleen eri palveluissa, yksi murto luo nopeasti riskin tilin haltuunotosta.

Tietojenkalastelu

Tietojenkalastelu on edelleen yksi yleisimmistä reiteistä yritystileille. Sitä voidaan käyttää salasanojen, istuntotunnisteiden tai MFA-hyväksyntöjen varastamiseen, ja näitä kaikkia voidaan hyödyntää suoraan tilin haltuunotossa.

SIM-kortin vaihto

SIM-kortin vaihto tapahtuu, kun hyökkääjä saa matkapuhelinoperaattorin siirtämään uhrin numeron hyökkääjän hallitsemaan SIM-korttiin. Jos yritys luottaa edelleen vahvasti SMS-pohjaiseen tunnistautumiseen, hyökkääjät voivat helposti kaapata kirjautumiskoodit.

Suojautumisessa SIM-kortin vaihtoa vastaan kaksivaiheinen tunnistautuminen (2FA) on paljon turvallisempi ja sopivampi menetelmä korkean riskin yritystileille.

2FA-väsymys ja istunnon varastaminen

Vaikka 2FA on käytössä, hyökkääjät saattavat yrittää väsyttää käyttäjiä toistuvilla hyväksyntäpyynnöillä tai varastaa istuntotunnisteita tietojenkalastelun ja haittaohjelmien avulla. 2FA on välttämätön, mutta se ei yksinään riitä.

Salasanojen hajautettu kokeilu (Password spraying)

Salasanojen hajautettu kokeilu on murtoväsymyshyökkäyksen(uusi ikkuna) muoto, jossa hyökkääjät kokeilevat joukkoa yleisesti käytettyjä salasanoja monille eri tileille. Sen sijaan, että he kohdistaisivat satoja arvauksia yhteen käyttäjään, he testaavat heikkoja oletussalasanoja, kuten ”Tervetuloa123!”, tai ennustettavia yrityskohtaisia malleja laajalle työntekijäjoukolle.

Miksi yritystilit ovat arvokkaita kohteita

Yritystilit ovat houkuttelevia niiden mahdollisesti sisältämien tietojen ja varojen vuoksi. Vaarantunut sähköpostitili voi mahdollistaa yrityksen sähköpostihuijauksen: esimerkiksi yrityksen maksuhuijaus on petos, jossa rikolliset räätälöivät sähköpostin organisaatiolle, tekeytyvät oikeaksi yhteyshenkilöksi ja yrittävät ohjata maksuja uudelleen tai hankkia arkaluonteisia tietoja.

Vaarantunut ylläpitäjän tili voi olla vieläkin vahingollisempi. Se voi antaa hyökkääjille mahdollisuuden palauttaa salasanoja, käyttää lisäjärjestelmiä, viedä tietoja tai heikentää turvatoimia. Kun näin tapahtuu, yksittäinen vaarantunut henkilöllisyys voi johtaa paljon suurempaan vaaratilanteeseen.

Jopa tavalliset työntekijätilit voivat olla yhteydessä seuraaviin:

  • Sähköposti ja kalenterit.
  • CRM ja asiakaspalvelun työkalut.
  • Henkilöstö- ja palkanlaskentajärjestelmät.
  • Pilvitallennus.
  • Sisäiset chat- ja yhteistyöalustat.
  • Jaetut kirjautumistiedot ja salasana-holvit.
  • Kehittäjä- tai infrastruktuurityökalut.

Yritystilin haltuunotto on muutakin kuin vain petos. Kyseessä on pääsynhallintaongelma, jolla voi olla koko organisaation laajuisia seurauksia.

Havaitsemissignaalit, joita yritysten tulisi tarkkailla

Koska tilin haltuunotto alkaa usein kelvollisilla kirjautumistiedoilla, havaitseminen riippuu epätavallisen käytöksen huomaamisesta.

  • Epätavalliset kirjautumisajat tai -sijainnit: Kirjautuminen vierasta maasta, alueelta tai epätavalliseen aikaan voi olla epäilyttävää, varsinkin jos sitä seuraa määritysmuutoksia.
  • Odottamattomat salasanan palautuspyynnöt: Jos työntekijät saavat palautussähköposteja, joita he eivät ole pyytäneet, kyseessä voi olla ensimerkki haltuunottoyrityksestä.
  • Vieraat laitteet tai selaimet: Kirjautuminen täysin uudella laitteella on syytä tarkistaa, erityisesti jos siihen liittyy epätavallista sovellusten käyttöä tai jakamiskäyttäytymistä.
  • 2FA-kehotteet, jotka eivät ole tilin omistajan aloittamia: Odottamattomat 2FA-hyväksynnät voivat olla merkki siitä, että jollakulla on jo tilin salasana ja hän yrittää päästä toisen suojakerroksen läpi.
  • Postilaatikon tai välityssääntöjen muutokset: Hyökkääjät, jotka altistavat sähköpostitilejä, luovat usein sääntöjä viestien piilottamiseksi, postin välittämiseksi tai pääsyn säilyttämiseksi.
  • Epätavallinen toiminta arkaluonteisissa työkaluissa: Jos käyttäjä alkaa yhtäkkiä käyttää talousjärjestelmiä, ylläpitäjän hallintapaneeleja, vientejä tai jaettuja salaisuuksia tavoilla, jotka eivät sovi hänen normaaleihin vastuualueisiinsa, tili voi olla altistunut.
  • Epäilyttävät muutokset holveissa tai jaetuissa kirjautumistiedoissa: Jos salasanoja muokataan, jaetaan uudelleen tai käytetään epätavallisilla tavoilla, se voi olla merkki tilin väärinkäytöstä normaalin yhteistyön sijaan.

Tilin haltuunoton vaikutukset liiketoimintaan

Syy siihen, miksi tilin haltuunottoon liittyvät petokset ovat niin vakavia, on se, että yksi altistunut henkilöllisyys voi yhtäkkiä aiheuttaa useita erilaisia vahinkoja. Välitön petosriski on olemassa. Hyökkääjä voi esiintyä johtajana, työntekijänä tai toimittajana pyytääkseen maksumuutoksia tai luottamuksellisia tietoja.

Lisäksi on olemassa tietoriski. Altistunut tili voi paljastaa sopimuksia, asiakastietoja, sisäisiä tiedostoja tai arkaluonteista viestintää.

Sitten on vielä operatiivinen riski. Tiimit saattavat joutua lukitsemaan tilejä, vaihtamaan kirjautumistietoja, mitätöimään pääsyjä, tarkistamaan lokeja, todentamaan viestintää ja etsimään merkkejä liikkumisesta verkossa.

Jos hyökkääjä pääsee etuoikeutettuihin järjestelmiin, tapaus voi laajentua huomattavasti yhtä altistunutta tiliä suuremmaksi. Hän saattaa pystyä julkaisemaan kiristyohjelmia, säilyttämään pääsyn kriittisiin järjestelmiin tai mahdollistamaan laajemman altistumisen koko ympäristössä.

Siinä vaiheessa kyse ei ole enää pelkästään käyttäjän henkilöllisyyden turvaamisesta. Se voi häiritä toimintaa, viivästyttää palautumista ja vaikuttaa organisaation kykyyn toimia normaalisti, minkä vuoksi tilin haltuunotto on otettava huomioon liiketoiminnan jatkuvuussuunnittelussa.

Käytännön vastaussuunnitelmanne epäiltyyn tilin haltuunottoon

Vaikka käytössä olisi vahvoja ehkäiseviä valvontatoimia, yritysten on silti oltava valmiita reagoimaan nopeasti, kun tilin haltuunottoa epäillään. Nopea, jäsennelty vastaus voi auttaa rajaamaan tapauksen, ennen kuin se leviää muihin järjestelmiin tai työnkulkuihin.

  1. Ensimmäinen vaihe on riskin rajaaminen poistamalla kyseinen tili väliaikaisesti käytöstä, mitätöimällä aktiiviset istunnot ja palauttamalla kirjautumistiedot. Tiimien tulee tämän jälkeen tarkistaa viimeaikainen kirjautumistoiminta ja tiliin liittyvät epäilyttävät muutokset. Jos tilillä on laajempia oikeuksia tai pääsy arkaluonteisiin työkaluihin, vastauksen on oltava vieläkin nopeampi.
  2. Tämän jälkeen painopisteen tulisi siirtyä laajuuteen. Yritysten on ymmärrettävä, mitä hyökkääjä on voinut käyttää, muuttaa tai hyödyntää ollessaan tilillä, mukaan lukien sähköpostisäännöt, yhdistetyt sovellukset, jaetut kirjautumistiedot ja merkit verkossa liikkumisesta.
  3. On myös tärkeää rajata kaikki siihen liittyvä altistuminen. Altistunut henkilöllisyys voi vaikuttaa talousprosesseihin, toimittajaviestintään, sisäisiin työkaluihin tai asiakastietoihin, joten vastauksen ei pitäisi rajoittua vain tiliin itseensä.
  4. Kun välitön riski on hallinnassa, tapausta tulisi käyttää epäonnistuneiden kohtien vahvistamiseen, olipa kyse sitten kirjautumistietojen hygienian parantamisesta, 2FA-vaatimusten tiukentamisesta tai havaitsemisen parantamisesta toimintalokien ja henkilöllisyyden valvonnan työnkulkujen avulla. Nämä työkalut auttavat tuomaan esiin epäilyttäviä kirjautumismalleja, kuten epätavallisia sijainteja, toistuvia epäonnistuneita yrityksiä, pääsyä epätavallisiin aikoihin tai odottamattomia tilimuutoksia, jotta tietoturvatiimit voivat tutkia niitä aikaisemmin.

Vahvemman tietoturvakulttuurin rakentaminen tilille pääsyn ympärille

Tilikaappaukset yleistyvät, kun tilille pääsyä pidetään mukavuuskysymyksenä eikä tietoturvatoimenpiteenä.

Vahvempi tietoturvakulttuuri tarkoittaa, että työntekijät ymmärtävät, etteivät kirjautumistiedot ole vain henkilökohtaisia tunnuksia. Ne ovat pääsyavaimia yrityksen järjestelmiin, asiakkaiden luottamukseen ja toiminnan jatkuvuuteen. Se tarkoittaa myös sitä, että organisaatiot tekevät turvallisesta polusta helpon tarjoamalla tiimeille asianmukaiset työkalut, selkeät käytännöt ja keskitetyn tuen.

Tässä yritysten salasananhallintaohjelmat, pääsyavaimet, pimeän verkon valvonta, vahvemmat 2FA-käytännöt ja turvallinen poistumisprosessi toimivat yhdessä. Nämä hallintakeinot auttavat vähentämään kirjautumistietojen uudelleenkäyttöä, parantavat tilihygieniaa ja rajoittavat sitä, kuinka paljon vahinkoa yksi altistunut tili voi aiheuttaa.

Havainnointi kuuluu laajempaan valvontakerrokseen, mutta salasananhallintaohjelmat voivat silti tukea sitä luomalla lokeja ja raportteja, joita syötetään tutkinta- ja hälytysjärjestelmiin. Yhdessä nämä hallintakeinot tekevät tilikaappauksista vaikeampia toteuttaa ja helpompia hallita.

Miten Proton Pass for Business vähentää tilikaappauksen riskiä

Monet tilikaappaustapaukset alkavat paljastuneista, heikoista tai uudelleenkäytetyistä kirjautumistiedoista, ja ne eskaloituvat, koska työntekijöillä ei ole yhtenäistä tapaa luoda vahvoja salasanoja, säilyttää niitä turvallisesti, käyttää kaksivaiheista tunnistautumista (2FA) luotettavasti tai havaita varhaisia merkkejä tietovuodoista. Proton Pass for Business vähentää tätä riskiä tekemällä vahvemmista tilikäytännöistä helpompia soveltaa kaikissa tiimeissä pelkän suosittelemisen sijaan.

Vahvempi salasanahygienia laajassa mittakaavassa

Turvallinen salasananhallinta tukee vahvojen salasanojen luontia, automaattitäyttöä, turvallista tallennusta ja turvallista jakamista, mikä auttaa tiimejä luopumaan salasanojen uudelleenkäytöstä, selainten hallitsemattomasta leviämisestä ja epävirallisesta kirjautumistietojen käsittelystä.

Tämä on välttämätöntä tilikaappausten estämiseksi, koska hyökkääjät luottavat usein salasanojen uudelleenkäyttöön ja ennakoitaviin kirjautumistapoihin hyödyntääkseen yhtä paljastunutta kirjautumistietoa päästäkseen useisiin palveluihin. Proton Pass tukee myös pääsyavaimia, jotka vähentävät riippuvuutta salasanoista tuetuissa palveluissa ja tarjoavat tietojenkalastelulta suojatun sisäänkirjautumisen. Se tarjoaa myös sisäänrakennetun 2FA-todentajan ja automaattisesti täyttyvät TOTP-koodit, mikä tekee vahvemmista kirjautumistavoista helpompia käyttää johdonmukaisesti.

Parempi näkyvyys paljastuneisiin ja riskialttiisiin kirjautumistietoihin

Proton Pass sisältää Pass Monitorin, joka tarjoaa tietoa salasanaterveydestä, pimeän verkon valvontahälytyksiä murretuista sähköposteista ja näkyvyyttä käyttämättömään kaksivaiheiseen tunnistautumiseen (2FA). Käytännössä tämä auttaa organisaatioita tunnistamaan heikot, uudelleenkäytetyt tai jo paljastuneet kirjautumistiedot ennen kuin niitä käytetään väärin hyökkäyksissä tai tilikaappausyrityksissä.

Yritysten salasananhallintaohjelma on ihanteellinen tilikaappausten estämiseen. Se auttaa tiimin jäseniä tallentamaan ja hallitsemaan kirjautumistietoja turvallisesti sekä auttaa tiimejä tunnistamaan ne tiedot, jotka todennäköisimmin aiheuttavat jatkoriskejä.

Käytettävämpi 2FA päivittäisessä työssä

Kaksivaiheinen tunnistautuminen (2FA) auttaa tekemään varastetusta salasanasta vähemmän hyödyllisen, mutta sen käyttöönotto usein epäonnistuu, jos se tuntuu epämukavalta tai hajanaiselta. Proton Pass auttaa tässä tukemalla sisäänrakennettua 2FA-todentajaa ja OTP-koodien automaattitäyttöä, mikä tekee vahvemmista kirjautumistavoista helpompia käyttää johdonmukaisesti kaikilla tuetuilla tileillä. Tämä ei korvaa laajempia identiteetinhallinnan keinoja, mutta se kuroo umpeen yhden käytännön aukon, jota hyökkääjät usein hyödyntävät.

Ylläpitäjän hallintatyökalut ja tietoturvasignaalit tutkinnan tukena

Proton Pass tarjoaa myös hyödyllistä näkyvyyttä ylläpitäjille ja tietoturvasta vastaaville raportoinnin, lokien ja toimintatietojen avulla. Tämä auttaa organisaatioita tarkastelemaan kirjautumistietoihin liittyvää toimintaa, tukemaan sisäisiä tutkintoja ja syöttämään asiaankuuluvia signaaleja laajempiin tietoturvatyönkulkuihin tarvittaessa.

Miten Proton Sentinel täydentää Proton Pass for Businessia

Proton Sentinel on edistynyt tilinsuojausohjelma, joka on saatavilla soveltuviin Proton-tilauksiin. Se luo vahvemman suojaustason Proton-tileille itselleen, mukaan lukien tiukemmat tarkistukset epäilyttävien kirjautumisyritysten yhteydessä, paremman näkyvyyden kirjautumisiin ja tiliasetusten muutoksiin sekä epäilyttävien tapahtumien 24/7-eskalaation tietoturva-analyytikoille.

Tämä tekee siitä keskeisen Proton-tilin pääsyn suojaamisessa ja siten myös Proton-palveluihin tallennettujen arkaluonteisten tietojen suojaamisessa. Sitä ei kuitenkaan tule esittää ikään kuin se havaitsisi epäilyttäviä kirjautumisia yrityksen koko SaaS-pinossa.

Proton Pass for Business auttaa vähentämään tilikaappauksen riskiä parantamalla salasanahygieniaa, tekemällä monivaiheisesta tunnistautumisesta (MFA) helpompaa käyttää, tuomalla paljastuneet tai heikot kirjautumistiedot esiin aikaisemmin ja antamalla tiimeille paremman hallinnan siihen, miten kirjautumistietoja hallitaan organisaatiossa. Proton Pass for Business vahvistaa niitä kirjautumistapoja, joita hyökkääjät useimmiten hyödyntävät, kun taas Proton Sentinel voi lisätä toisen suojaustason itse Proton-tilille.

Oletteko valmiita aloittamaan? Suojatkaa yritystilinne kaappauksilta Proton Passin avulla – kokeilkaa ilmaiseksi tai ottakaa yhteyttä myyntitiimiimme.