FBI avertizează: un nou val de atacuri ocoleşte autentificarea multifactor în Microsoft 365

Autentificarea multifactor a fost considerată în ultimii ani una dintre cele mai eficiente metode de protecţie împotriva atacurilor cibernetice. Pentru milioane de utilizatori şi companii, principiul era simplu: chiar dacă parola este compromisă, contul rămâne în siguranţă datorită unui cod suplimentar, unei aplicaţii de autentificare sau unei confirmări pe telefon. Însă atacatorii nu mai încearcă neapărat să fure parola, ci să preia direct sesiunea deja validată.

Utilizatorii Microsoft 365 sunt vizaţi acum de o nouă campanie de phishing bazată pe o platformă numită Kali365, avertizează FBI. Este vorba despre un serviciu de tip „Phishing-as-a-Service”, o infrastructură completă pusă la dispoziţia infractorilor cibernetici, inclusiv a celor fără experienţă tehnică. Platforma ar fi apărut în aprilie 2026 şi este distribuită prin Telegram.

Ţinta principală o reprezintă tokenurile de acces Microsoft 365, care permit intrarea în servicii precum Outlook, Teams sau OneDrive fără parolă şi, în multe cazuri, fără a declanşa din nou autentificarea multifactor.

Metoda folosită se bazează pe o tehnică numită „device code phishing”. Spre deosebire de paginile false clasice, atacatorii exploatează un flux legitim de autentificare Microsoft, ceea ce face atacul mult mai greu de detectat.

Totul începe cu un e-mail de phishing care imită notificări de la servicii cloud sau platforme de lucru. Mesajul conţine un cod de dispozitiv şi instrucţiuni care trimit utilizatorul către o pagină reală de autentificare Microsoft. Acolo, victima introduce codul primit, crezând că finalizează o conectare obişnuită.

În realitate, acel pas autorizează dispozitivul atacatorului. Odată procesul finalizat, infractorii pot obţine tokenuri OAuth de acces şi de refresh, ceea ce le permite să menţină sesiunea activă şi să intre ulterior în conturi Microsoft 365 fără parolă şi fără noi verificări MFA.

Asta face ca un cont să poată fi compromis chiar şi în condiţiile în care parola nu a fost introdusă pe un site fals şi autentificarea multifactor este activă. Pentru companii, riscurile sunt majore: acces la e-mailuri, documente din OneDrive, conversaţii din Teams şi alte date interne care pot fi folosite ulterior pentru fraude sau atacuri suplimentare.

FBI avertizează că platforma Kali365 reduce semnificativ bariera de intrare pentru atacatori. Serviciul oferă şabloane de phishing generate cu AI, campanii automate, panouri de monitorizare în timp real şi instrumente pentru capturarea tokenurilor OAuth.

Practic, atacatorii nu mai trebuie să construiască infrastructura de la zero, ci primesc un pachet complet gata de utilizare. Acest model de „phishing la cheie” transformă atacurile sofisticate într-un produs uşor de folosit şi amplifică riscul global.

Nu este un caz izolat. Cercetătorii au identificat şi alte platforme similare, precum EvilTokens, distribuite tot prin Telegram, care oferă pagini false de autentificare şi automatizări pentru servicii Microsoft, inclusiv mesaje generate cu inteligenţă artificială.

Printre scenariile folosite frecvent se numără notificări de expirare a parolei, cereri de acces la SharePoint sau alerte privind documente partajate — exact tipurile de mesaje care par legitime într-un mediu de lucru obişnuit.

Primul semnal de alarmă este orice solicitare de introducere a unui cod de dispozitiv, mai ales dacă nu ai iniţiat tu procesul de autentificare. Chiar dacă pagina pare legitimă, întrebarea esenţială rămâne dacă acel cod a fost cerut sau a apărut din senin într-un e-mail.

Nu introduce coduri de verificare primite prin mesaje suspecte şi nu aproba autentificări pe care nu le recunoşti. În mediul organizaţional, astfel de tentative trebuie raportate imediat echipei IT, chiar dacă par să provină de la servicii cunoscute precum Microsoft, Teams sau OneDrive.

Pentru companii, protecţia nu se mai rezumă la activarea MFA. Este necesară monitorizarea autentificărilor neobişnuite, a sesiunilor persistente şi a utilizării fluxurilor de tip device code, alături de instruirea angajaţilor pentru a recunoaşte atacurile moderne.

Apariţia Kali365 arată o schimbare majoră în peisajul securităţii cibernetice: atacatorii nu mai vizează doar parolele, ci încearcă să fure sesiuni deja validate şi încrederea acordată de sistem. În acest context, vigilenţa utilizatorilor devine la fel de importantă ca tehnologiile de protecţie.