ФБР предупредило пользователей Teams, Outlook и OneDrive о новой платформе фишинга как услуги (PhaaS) под названием Kali365. По данным ведомства, инструмент распространяется через Telegram и позволяет злоумышленникам красть аккаунты Microsoft 365, обходя многофакторную аутентификацию.
Kali365 не требует кражи логинов и паролей. Вместо этого злоумышленники перехватывают OAuth‑токены, которые дают доступ к учётной записи.
Схема атаки следующая: пользователь получает сгенерированное ИИ фишинговое письмо, замаскированное под уведомление от легитимного сервиса. В письме содержится код устройства (device code) и инструкция по переходу на страницу авторизации Microsoft. Жертва вводит код, предоставляя доступ устройству злоумышленника.
Платформа работает по подписке и предлагает готовые сгенерированные ИИ фишинговые шаблоны, инструменты для запуска кампаний и панели для отслеживания жертв в реальном времени, что снижает порог входа даже для менее опытных киберпреступников.
ФБР рекомендует заблокировать вход по коду устройства, ограничив Device Code Flow, и настроить политики условного доступа. Также в ведомстве советуют заблокировать перенос аутентификации, чтобы пользователи не могли передать авторизацию с ПК на мобильные устройства. При подозрении на взлом аккаунта пользователям рекомендуют обратиться в Центр по борьбе с интернет‑преступлениями (IC3).
ссылка на оригинал статьи https://habr.com/ru/articles/1048016/