ФБР предупредило о Kali365 — фишинг-сервисе, который помогает злоумышленникам захватывать аккаунты Microsoft 365 без кражи паролей. Схема опирается на поддельные страницы входа и на легитимный механизм авторизации, из-за чего атака выглядит для жертвы привычной и почти безобидной.
Что это за схема
Kali365 — это платформа фишинга как услуги, то есть готовый набор инструментов, который продают или раздают другим злоумышленникам. По данным ФБР, сервис появился в апреле 2026 года и распространялся через Telegram-каналы для киберпреступников.
Смысл атаки прост: жертву заставляют ввести короткий код на странице входа Microsoft, а дальше злоумышленник получает доступ к сессии. Пароль может вообще не понадобиться — именно это делает схему особенно опасной для корпоративных аккаунтов.
Как это работает технически
Атака использует OAuth 2.0 Device Authorization flow — легальный сценарий, который придумали для устройств с неудобным вводом: телевизоров, принтеров, конференц-систем, IoT-устройств. Пользователь вводит код на отдельной странице, а система выдаёт токен доступа после подтверждения личности.
Проблема в том, что мошенник может сам запустить процесс авторизации, получить код и отправить его жертве под видом обычного шага входа. Если человек введёт код и пройдёт многофакторную проверку, сервис выдаст атакующему OAuth-токен и доступ к почте, файлам и облачным приложениям.
Именно так работают и другие кампании с device code phishing, о которых мы уже писали в разборе атаки через облачные учётные записи. Там злоумышленники тоже делали ставку не на взлом пароля, а на перехват доверенной сессии.
Почему это опасно
Такой подход ломает привычную логику защиты. Пользователь видит, что многофакторная проверка сработала, и успокаивается, хотя именно после неё атакующий получает токен и может действовать от имени жертвы.
Дальше злоумышленники читают почту, создают скрытые правила в ящике, добавляют новые устройства и расширяют доступ на другие сервисы компании. Если учётная запись связана с Microsoft 365, Salesforce или другими облачными системами, ущерб быстро выходит за рамки одной почты.
Kali365 опасен ещё и тем, что снижает порог входа для атакующих. По данным ФБР, платформа даёт готовые шаблоны кампаний, AI-генерацию приманок, панели отслеживания жертв и функции захвата токенов — то есть превращает сложную атаку в массовый конвейер.
Как понять, что вас это касается
Риск выше у компаний, где сотрудники регулярно входят в корпоративную почту и облачные сервисы с разных устройств. Особенно уязвимы те, кто привык быстро подтверждать вход по просьбе «службы поддержки», «админа» или коллеги.
Тревожные признаки — неожиданные письма с просьбой ввести короткий код, странные уведомления о входе, новые правила пересылки в почте и неизвестные устройства в списке подключений. Если сотрудники начали жаловаться, что почта сама отправляет письма или исчезают сообщения, это уже похоже на компрометацию.
Схема не зависит от бренда Microsoft как такового. Аналогичный принцип встречается и в других кампаниях с поддельными страницами входа, поэтому фокус должен быть не на названии платформы, а на поведении пользователя и контроле сессий.
Как защититься
Для компаний главный шаг — ограничить или отключить device code authentication там, где это возможно. ФБР советует настроить Conditional Access, проверить использование device code и запретить перенос авторизационных сессий между устройствами, если бизнес-процесс этого не требует.
Важно следить за журналами входа и за новыми устройствами в корпоративной среде. Если кто-то внезапно получил доступ с необычного адреса, а в почте появились скрытые правила, реагировать нужно сразу: менять учётные данные, отзывать токены и проверять весь контур.
Для обычных пользователей базовая защита проще: не вводить коды входа по просьбе из письма или чата, не подтверждать запросы, смысл которых не понимаете, и включить оповещения о входах. Если вы работаете из кафе, аэропорта или поезда, инструмент для приватности в открытых сетях поможет снизить риск лишней утечки данных через чужую инфраструктуру.
Практический чек-лист
- Проверьте, включён ли у вас вход по device code в корпоративных сервисах.
- Отключите или ограничьте этот способ там, где он не нужен.
- Настройте правила Conditional Access и контроль новых устройств.
- Попросите сотрудников не вводить коды входа по чужой просьбе.
- Проверьте почту на скрытые правила пересылки и фильтры.
- Сравните список подключённых устройств с тем, что реально используется.
- Включите уведомления о входах и быстро реагируйте на незнакомые сессии.
- Сохраните подозрительные письма и журналы входа для разбора инцидента.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.