Un atac de phishing greu de detectat vizează acum conturile Microsoft 365, chiar și pe cele protejate cu autentificare în doi pași. FBI a emis un avertisment public despre platforma Kali365, un serviciu de phishing-as-a-service care exploatează un mecanism legitim Microsoft pentru a prelua controlul conturilor fără să declanșeze niciun semnal de alarmă vizibil.
Cum funcționează atacul
Hackerii exploatează sistemul Microsoft de autentificare prin cod de dispozitiv — o funcție concepută inițial pentru televizoare smart și playere media, care nu au tastatură completă. Atacatorii inițiază procesul de autentificare, apoi conving victima prin phishing sau inginerie socială să introducă un cod scurt pe site-ul real Microsoft. Odată introdus, Microsoft generează automat un token de acces pe care atacatorul îl folosește pentru a prelua contul.
Există și o a doua metodă de atac. Prin cookie-uri de browser, utilizatorul este direcționat printr-o infrastructură controlată de hackeri, care redirecționează cererile către pagina reală de autentificare Microsoft. Victima nu vede nimic suspect — pagina arată exact ca cea originală.
Ce pot accesa atacatorii
Odată cu accesul la cont, atacatorii pot citi emailurile din Outlook, fișierele din OneDrive și datele din aplicații terțe conectate, precum Salesforce. Pot înregistra dispozitive noi pe cont și pot configura reguli personalizate de inbox prin Outlook pentru a-și masca activitatea. Practic, un cont compromis devine un instrument de atac invizibil.
De ce este Kali365 deosebit de periculos
Cercetătorii de la Arctic Wolf, care au documentat campania în aprilie, subliniază că pericolul vine din ușurința de utilizare a platformei. Kali365 permite generarea automată cu ajutorul inteligenței artificiale a unor emailuri de phishing, șabloane și sisteme de urmărire a victimelor. Chiar și hackeri fără cunoștințe tehnice avansate pot produce daune semnificative, potrivit FBI. Platforma este distribuită preponderent prin conversații private pe Telegram.
Relaționat
Cum poți recunoaște un email de tip Kali365
Potrivit Arctic Wolf, atacurile se bazează deocamdată pe opt șabloane fixe, personalizate parțial. Subiectele de email care ar trebui să ridice un semnal de alarmă includ notificări false de fișiere partajate prin SharePoint sau OneDrive, mesaje Teams, mesagerie vocală Microsoft 365, solicitări de semnătură DocuSign sau Adobe Acrobat Sign, facturi și notificări de securitate a contului. Fișierele atașate sau linkuite mimează documente Excel, PDF, PowerPoint și Word, cu layout-uri variate pentru a părea cât mai credibile.
Ce poți face pentru a te proteja
Pentru utilizatorii individuali, cea mai simplă măsură este să ignore orice email cu subiectele menționate mai sus și să nu introducă niciodată un cod de dispozitiv dacă nu au inițiat ei înșiși procesul. Pentru administratorii IT din companii și instituții publice, FBI recomandă blocarea autentificării prin cod de dispozitiv acolo unde nu este strict necesară și restricționarea transferului de autentificare de pe PC pe mobil. Conturile de urgență ar trebui excluse din fluxul de autentificare prin cod, pentru a evita blocarea completă a accesului.
Relevanță pentru România
Atacurile de tip phishing care vizează Microsoft 365 sunt în creștere și în România, unde platforma este larg utilizată atât în mediul corporate, cât și în instituțiile publice și educaționale. Companiile românești care folosesc Microsoft 365 — incluzând Outlook, Teams și OneDrive — sunt potențiale ținte, indiferent de dimensiunea lor. Detaliile privind incidente locale nu au fost confirmate public, însă natura globală a platformei Kali365 face ca riscul să fie real și imediat.
Atacurile prin cod de dispozitiv au devenit o metodă tot mai răspândită la nivel global și nu se limitează la Kali365 — servicii similare precum EvilTokens și Tycoon2FA sunt folosite în același scop, potrivit Bleeping Computer. Tendința arată că simpla activare a autentificării în doi pași nu mai este suficientă: contează și tipul de MFA folosit și modul în care utilizatorii răspund la solicitările de autentificare.
