В ФБР предупредили о фишинговых атаках на Microsoft 365

ФБР предупредило пользователей Teams, Outlook и OneDrive о новой платформе фишинга как услуги (PhaaS) под названием Kali365. По данным ведомства, инструмент распространяется через Telegram и позволяет злоумышленникам красть аккаунты Microsoft 365, обходя многофакторную аутентификацию.

Kali365 не требует кражи логинов и паролей. Вместо этого злоумышленники перехватывают OAuth‑токены, которые дают доступ к учётной записи.

Схема атаки следующая: пользователь получает сгенерированное ИИ фишинговое письмо, замаскированное под уведомление от легитимного сервиса. В письме содержится исходник устройства (device code) и инструкция по переходу на страницу авторизации Microsoft. Жертва вводит исходник, предоставляя доступ устройству злоумышленника. 

Платформа работает по подписке и предлагает готовые сгенерированные ИИ фишинговые шаблоны, инструменты для запуска кампаний и панели для отслеживания жертв в реальном времени, что снижает порог входа даже для менее опытных киберпреступников.

ФБР рекомендует заблокировать вход по коду устройства, ограничив Device Code Flow, и настроить политики условного доступа. Также в ведомстве советуют заблокировать перенос аутентификации, чтобы пользователи не могли передать авторизацию с ПК на мобильные устройства. При подозрении на взлом аккаунта пользователям рекомендуют обратиться в Центр по борьбе с интернет‑преступлениями (IC3).