Noua escrocherie care poate trece de autentificarea în doi pași: utilizatorii Microsoft 365, vizați de atacuri phishing tot mai sofisticate
' fill='%23FBBC05' d='M0 37V11l17 13z'/%3e%3cpath clip-path='url(%23b)' fill='%23EA4335' d='M0 11l17 13 7-6.1L48 14V0H0z'/%3e%3cpath clip-path='url(%23b)' fill='%2334A853' d='M0 37l30-23 7.9 1L48 0v48H0z'/%3e%3cpath clip-path='url(%23b)' fill='%234285F4' d='M48 48L17 24l-4-3 35-10z'/%3e%3c/svg%3e){kind=small}
:format(webp)/https://playtech.ro/wp-content/uploads/2025/10/Microsoft-365.jpg)
Autentificarea multifactor a devenit, în ultimii ani, una dintre cele mai importante bariere împotriva atacurilor informatice. Pentru milioane de companii și utilizatori, ideea era simplă: chiar dacă parola ajunge pe mâna cui nu trebuie, contul rămâne protejat printr-un cod suplimentar, o aplicație de verificare sau o confirmare pe telefon. Numai că atacatorii nu mai încearcă neapărat să fure parola. Încep să fure direct accesul deja autorizat.
Utilizatorii Microsoft 365 sunt vizați de o nouă amenințare de tip phishing, bazată pe o platformă numită Kali365, avertizează FBI. Este vorba despre un serviciu de tip Phishing-as-a-Service, adică o infrastructură gata făcută, vândută sau distribuită către infractori cibernetici care nu au neapărat cunoștințe tehnice avansate. Platforma ar fi fost observată pentru prima dată în aprilie 2026 și este distribuită prin Telegram.
Miza atacului este una extrem de importantă: tokenurile de acces Microsoft 365. Cu ajutorul lor, atacatorii pot obține acces la servicii precum Outlook, Teams sau OneDrive, fără să aibă nevoie de parola victimei și fără să declanșeze mereu o nouă verificare MFA.
Cum funcționează atacul care păcălește utilizatorul
Atacul se bazează pe o metodă cunoscută drept „device code phishing”. În loc să trimită victima către o pagină falsă evidentă, atacatorii folosesc un flux legitim de autentificare Microsoft. Tocmai acest detaliu face schema periculoasă, pentru că utilizatorul poate avea impresia că se află într-un proces normal de conectare.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1748332487/aa4ab190a0226510bca5b4ac950dad89-t.jpg)
Totul începe cu un e-mail de phishing care imită servicii cloud, platforme de partajare de documente sau notificări de business aparent credibile. Mesajul include un cod de dispozitiv și instrucțiuni prin care utilizatorul este îndemnat să intre pe o pagină reală de verificare Microsoft. Acolo, victima introduce codul primit, crezând că își confirmă propria autentificare.
În realitate, prin acel gest, utilizatorul autorizează dispozitivul atacatorului. Odată finalizat procesul, infractorul cibernetic poate captura tokenuri OAuth de acces și de refresh. Acestea îi permit să mențină sesiunea activă și să intre în conturi Microsoft 365 fără să mai ceară parola și fără să treacă printr-un nou pas de autentificare multifactor.
Asta înseamnă că un cont poate fi compromis chiar dacă parola nu a fost introdusă pe un site fals și chiar dacă MFA este activat. Pentru companii, pericolul este major: accesul la e-mailuri, fișiere din OneDrive, conversații din Teams sau documente interne poate deschide calea către fraude, furt de date sau atacuri ulterioare asupra altor angajați.
:format(webp)/https://playtech.ro/wp-content/uploads/2026/03/microsoft--316x158.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/05/jocuri-noi-xbox-316x158.jpg)
Kali365 scade pragul pentru atacatorii fără experiență
FBI avertizează că platforma Kali365 face atacurile mai ușor de lansat pentru persoane cu abilități tehnice limitate. Serviciul pune la dispoziție momeli de phishing generate cu AI, șabloane automate de campanii, panouri de urmărire în timp real a victimelor și instrumente pentru capturarea tokenurilor OAuth.
Cu alte cuvinte, atacatorii nu mai trebuie să construiască de la zero infrastructura. Primesc un pachet aproape complet, cu mesaje, automatizări și mecanisme de monitorizare. Acest model de „phishing la cheie” transformă atacurile complexe într-un produs accesibil, iar Telegram pare să joace din nou rolul de canal de distribuție pentru astfel de servicii.
Kali365 nu este singurul exemplu. Cercetătorii au identificat recent și EvilTokens, o altă platformă de tip Phishing-as-a-Service, vândută tot prin Telegram. Aceasta oferă pagini false de autentificare, automatizări pentru API-uri Microsoft și e-mailuri generate cu AI, toate ambalate în campanii care pot părea mesaje obișnuite de lucru.
Printre temele folosite frecvent se numără cererile de acces la SharePoint, notificările despre expirarea parolei sau alertele legate de documente partajate. Sunt exact tipurile de mesaje pe care angajații le primesc zilnic și pe care le pot trata cu mai puțină atenție, mai ales într-un mediu de lucru aglomerat.
Ce poți face ca să nu cazi în capcană
Primul semn de alarmă este orice mesaj care îți cere să introduci un cod de dispozitiv pe o pagină de verificare, mai ales dacă tu nu ai inițiat procesul de autentificare. Chiar dacă pagina pare legitimă, întrebarea esențială este simplă: ai cerut tu acel cod sau ai primit instrucțiunea dintr-un e-mail neașteptat?
Nu introduce coduri de verificare primite prin e-mailuri suspecte și nu aproba conectări pe care nu le recunoști. Dacă lucrezi într-o companie, raportează mesajele ciudate către departamentul IT, chiar dacă par să vină de la servicii cunoscute precum Microsoft, SharePoint, OneDrive sau Teams.
Pentru organizații, protecția trebuie să meargă dincolo de simpla activare MFA. Administratorii ar trebui să monitorizeze autentificările neobișnuite, utilizarea fluxurilor de tip device code, sesiunile persistente și accesul anormal la servicii Microsoft 365. De asemenea, instruirea angajaților devine esențială, pentru că atacurile moderne nu mai arată ca phishingul rudimentar de acum câțiva ani.
Amenințarea Kali365 arată o schimbare importantă în peisajul securității cibernetice: atacatorii nu mai vânează doar parole, ci încearcă să fure încrederea deja acordată de sistem. Iar când un simplu cod introdus pe o pagină reală poate deschide ușa unui cont Microsoft 365, vigilența devine la fel de importantă ca tehnologia de protecție.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1667480684/eed2ddd48da1d2d434876de67102d1a4-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737978465/d628c26f37cf6148cb6a261d94c9bb49-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737972417/bcbc84b825fd043a3c7f5b749a985325-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1646818613/a79b0aa72cb2fc068e1220a42daf3e22-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1683783849/98626f909d0f09818ea282f815fabfed-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/04/1610191967/3e1e9c8604d18a7adf9a19a95f891678-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778138107/1b564643a198b6d2b732ef651f39d772-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778137329/5b3ff70040eee659d8755126955a1de0-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Hyperboost-Euphoria.jpeg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/03/OpenAi-lanseaza-chatgpt-5-4-si-nano.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/profimedia-0926128152-1.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/profimedia-0163510428-2.jpg)