O FBI publicou um alerta sobre a plataforma Kali365, um serviço de phishing por assinatura identificado em abril de 2026. A ferramenta permite que criminosos capturem tokens de acesso a ambientes Microsoft 365 sem a necessidade de interceptar senhas ou enfrentar barreiras de autenticação multifator. A distribuição ocorre principalmente pelo Telegram.
O ataque começa com um e-mail que imita serviços legítimos de armazenamento em nuvem. A mensagem contém um código de dispositivo e instruções para que a vítima acesse uma página verdadeira da Microsoft e insira o código ali. Ao fazer isso, o usuário autoriza, sem saber, o equipamento do criminoso a acessar sua conta.
Token capturado
O invasor então obtém os tokens de acesso e de atualização do OAuth, o que concede entrada em serviços como Outlook, Teams e OneDrive. Segundo os especialistas do FBI, a persistência do acesso dispensa novas solicitações de senha ou desafios adicionais de autenticação.
A modalidade reduz a barreira técnica para ataques: a plataforma oferece engodos gerados por inteligência artificial, modelos automatizados de campanha, painéis de monitoramento em tempo real e a própria captura de tokens. O comunicado da agência norte-americana não informa números de vítimas nem setores específicos afetados até o momento.
Proteção
Como medida de bloqueio, o FBI recomenda criar políticas de acesso condicional que restrinjam o fluxo de códigos de dispositivo para todos os usuários, com exceções apenas para processos de negócio que realmente exijam o recurso. Antes disso, orienta auditar o uso atual desse tipo de código para identificar dependências legítimas.
A agência sugere ainda bloquear políticas de transferência de autenticação que permitam migrar a autorização de computadores para dispositivos móveis. Caso a restrição total não seja viável, a orientação é excluir contas de acesso de emergência da política para evitar bloqueios acidentais.






