O FBI emitiu um alerta sobre o Kali365, uma plataforma de phishing como serviço (PhaaS) que foi identificada em abril e tem como alvo o Microsoft 365. Este golpe se diferencia por não roubar a senha das vítimas, mas por enganar os usuários para que autorizem o acesso de cibercriminosos a seus e-mails do Outlook, documentos do OneDrive, mensagens do Teams, entre outras informações.
Segundo o investigador de segurança da informação da ESET Latinoamérica, Mario Micucci, a ameaça captura tokens de acesso do Microsoft 365 para sequestrar sessões e contornar a autenticação multifator (MFA). O ataque explora o fluxo de autenticação por código de dispositivo do OAuth, um mecanismo legítimo da Microsoft.
“A vítima recebe um e-mail ou mensagem que simula vir de um serviço confiável, como uma ferramenta de documentos ou colaboração, e é orientada a inserir um código em uma página legítima da Microsoft”, explica Micucci. Ao seguir essas instruções, o usuário acaba autorizando o acesso do atacante, que obtém tokens de acesso e atualização para serviços como Outlook, Teams, OneDrive ou SharePoint.
Como o Kali365 opera
A ameaça, conforme informado pelo FBI, é distribuída como um serviço por assinatura no Telegram. O Kali365 oferece modelos de campanha automatizados, iscas geradas por IA e painéis em tempo real para monitorar vítimas, tornando o ataque escalável e acessível a qualquer um.
Recomendações de segurança
Para se proteger do Kali365, Micucci recomenda não compartilhar códigos de autenticação que não foram solicitados. Mesmo que a página pareça legítima, o processo pode estar sendo manipulado. “Nunca se deve inserir um código de dispositivo se esse processo não foi iniciado voluntariamente”, alerta.
Além disso, é fundamental reportar e-mails suspeitos, revisar alertas de login e encerrar sessões ativas diante de qualquer dúvida. Para empresas, o especialista da ESET orienta a restringir o fluxo de autenticação por código de dispositivo no Microsoft Entra ID, aplicar políticas de acesso condicional, revogar tokens em incidentes e treinar equipes sobre ataques que sequestram sessões, e não senhas.
Opinião
A crescente sofisticação dos ataques de phishing como o Kali365 exige atenção redobrada dos usuários e empresas, que precisam estar sempre atualizados sobre as melhores práticas de segurança.
