O FBI emitiu um alerta sobre o Kali365, plataforma de phishing como serviço (PhaaS) identificada em abril com foco no Microsoft 365. O golpe não rouba a senha das vítimas, mas engana o usuário para que ele mesmo autorize o acesso de cibercriminosos a e-mails do Outlook, documentos do OneDrive, mensagens do Teams, entre outras informações.
- Código da Microsoft chegou do nada no e-mail? Veja se a sua conta está em risco
- Nova técnica cria "phishing perfeito" para roubar contas do Microsoft 365
Segundo o investigador de segurança da informação da ESET Latinoamérica, Mario Micucci, a ameaça captura tokens de acesso do Microsoft 365 para sequestrar sessões e contornar a autenticação multifator (MFA). Para isso, o ataque explora o fluxo de autenticação por código de dispositivo do OAuth, um mecanismo legítimo da Microsoft.
“A vítima recebe um e-mail ou mensagem que simula vir de um serviço confiável, como uma ferramenta de documentos ou colaboração, e é orientada a inserir um código em uma página legítima da Microsoft”, disse o especialista. Ao fazer isso, o usuário está autorizando o acesso do atacante, que obtém tokens de acesso e atualização para serviços como Outlook, Teams, OneDrive ou SharePoint.”
-
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
-
A ameaça, conforme informado pelo FBI, é distribuída como um serviço por assinatura no Telegram. Além disso, o Kali365 oferece modelos de campanha automatizados, iscas geradas por IA e painéis em tempo real para monitorar vítimas, o que torna o ataque escalável e acessível a qualquer um.
Como se proteger do Kali365
Para se proteger do Kali365, Micucci recomenda a não compartilhar códigos de autenticação que não foram solicitados. Mesmo que a página seja real, o processo pode estar sendo manipulado.
“Nunca se deve inserir um código de dispositivo se esse processo não foi iniciado voluntariamente”, afirmou. “Também é fundamental reportar e-mails suspeitos, revisar alertas de login e encerrar sessões ativas diante de qualquer dúvida.”
Para empresas, o especialista da ESET orienta a restringir o fluxo de autenticação por código de dispositivo no Microsoft Entra ID, aplicar políticas de acesso condicional, revogar tokens em incidentes e treinar equipes sobre ataques que sequestram sessões, e não senhas.
Leia a matéria no Canaltech.