FBI alerta sobre plataforma de phishing Kali365

O FBI publicou um alerta sobre a plataforma Kali365, um serviço de phishing por assinatura identificado em abril de 2026. A ferramenta permite que criminosos capturem tokens de acesso a ambientes Microsoft 365 sem a necessidade de interceptar senhas ou enfrentar barreiras de autenticação multifator. A distribuição ocorre principalmente pelo Telegram.

O ataque começa com um e-mail que imita serviços legítimos de armazenamento em nuvem. A mensagem contém um código de dispositivo e instruções para que a vítima acesse uma página verdadeira da Microsoft e insira o código ali. Ao fazer isso, o usuário autoriza, sem saber, o equipamento do criminoso a acessar sua conta.

Token capturado

O invasor então obtém os tokens de acesso e de atualização do OAuth, o que concede entrada em serviços como Outlook, Teams e OneDrive. Segundo os especialistas do FBI, a persistência do acesso dispensa novas solicitações de senha ou desafios adicionais de autenticação.

A modalidade reduz a barreira técnica para ataques: a plataforma oferece engodos gerados por inteligência artificial, modelos automatizados de campanha, painéis de monitoramento em tempo real e a própria captura de tokens. O comunicado da agência norte-americana não informa números de vítimas nem setores específicos afetados até o momento.

Proteção

Como medida de bloqueio, o FBI recomenda criar políticas de acesso condicional que restrinjam o fluxo de códigos de dispositivo para todos os usuários, com exceções apenas para processos de negócio que realmente exijam o recurso. Antes disso, orienta auditar o uso atual desse tipo de código para identificar dependências legítimas.

A agência sugere ainda bloquear políticas de transferência de autenticação que permitam migrar a autorização de computadores para dispositivos móveis. Caso a restrição total não seja viável, a orientação é excluir contas de acesso de emergência da política para evitar bloqueios acidentais.