FBI avertizează că platforma „Kali365” vinde atacuri de tip phishing asupra Microsoft 365 - metoda „device-code” ocolește furtul de parole și poate livra acces prin tokenuri valide

FBI avertizează că o nouă platformă „phishing ca serviciu” poate compromite conturi Microsoft 365 fără furt de parole sau coduri MFA , prin abuzarea unui mecanism legitim de autentificare, potrivit WinFuture . Miza pentru companii este una operațională: atacatorii pot obține acces la e-mail și pot persista în mediu fără să „spargă” efectiv contul în sensul clasic. Cum funcționează: „device-code phishing” pe fluxul OAuth al Microsoft Platforma, numită Kali365, folosește așa-numitul „device-code phishing”, o tehnică ce exploatează procesul OAuth de autentificare oferit de Microsoft pentru dispozitive cu posibilități limitate de introducere a datelor (de exemplu smart TV-uri, imprimante, sisteme de conferință). În mod normal, utilizatorul introduce un cod scurt pe o pagină oficială de autentificare, de pe un alt dispozitiv (PC sau telefon). În scenariul abuziv descris, atacatorii inițiază ei înșiși procesul de autentificare, generează un cod valid și își conving victima (prin mesaje de tip phishing sau inginerie socială) să introducă acel cod pe pagina oficială Microsoft. După ce victima finalizează autentificarea, inclusiv pașii de autentificare multifactor (MFA), atacatorul primește un „token” (jeton) de acces valid, care îi permite intrarea în cont fără verificări suplimentare imediate. Ce aduce Kali365: „phishing” industrializat și accesibil atacatorilor fără expertiză Conform informațiilor prezentate, Kali365 ar fi apărut în aprilie și este distribuită prin canale de Telegram. Oferta ar viza inclusiv atacatori cu cunoștințe tehnice reduse, punând la dispoziție instrumente „la cheie”, precum: campanii de phishing generate automat; mesaje-capcană generate cu ajutorul inteligenței artificiale; panouri de control pentru monitorizarea victimelor în timp real; funcții pentru interceptarea tokenurilor de autentificare; un mod „Cookie Link”, pentru interceptarea datelor de sesiune și a cookie-urilor de autentificare. Ce au observat cercetătorii: acces la e-mail și mecanisme de persistență Cercetători de securitate de la Arctic Wolf au raportat că au observat încă din aprilie o campanie de amploare bazată pe această metodă, care a vizat organizații la nivel global. Potrivit descrierii, atacatorii au obținut acces la căsuțe de e-mail, au creat reguli de inbox manipulate și, în unele cazuri, au înregistrat dispozitive noi în mediile Microsoft ale victimelor pentru a-și menține accesul pe termen mai lung. Recomandarea FBI: limitați sau blocați autentificările cu „device code” În alerta publicată de IC3 (Internet Crime Complaint Center) al FBI, instituția recomandă organizațiilor să restricționeze sau să blocheze, acolo unde este posibil, autentificările prin „device code”, să revizuiască periodic utilizările existente și să investigheze evenimentele de autentificare suspecte. WinFuture notează că metoda se răspândește, iar alte platforme, precum EvilTokens și Tycoon2FA, ar folosi deja aceeași abordare pentru compromiterea conturilor Microsoft 365 și Entra . Pentru companii, mesajul practic este că o parte din riscul de phishing se mută de la „furtul de credențiale” la „abuzul de fluxuri legitime”, ceea ce cere controale mai stricte pe tipurile de autentificare permise și pe monitorizarea semnalelor de acces. [...]