O FBI emitiu um alerta urgente sobre o Kali365, uma plataforma de phishing como serviço (PhaaS) detectada em abril com foco em usuários do Microsoft 365. Diferente dos golpes tradicionais, essa ameaça não rouba a senha da vítima. Em vez disso, ela engana o próprio usuário para que ele autorize o acesso de cibercriminosos a e-mails do Outlook, arquivos do OneDrive, conversas do Teams e outros dados confidenciais.
Como funciona o golpe?
De acordo com Mario Micucci, investigador de segurança da informação da ESET Latinoamérica, a tática consiste em capturar tokens de acesso para sequestrar as sessões ativas e burlar a autenticação multifator (MFA). O ataque se aproveita de um recurso legítimo da própria Microsoft: o fluxo de autenticação por código de dispositivo do OAuth.
“A vítima recebe uma mensagem ou e-mail falso que imita um serviço confiável — como uma ferramenta de documentos ou colaboração — e é instruída a inserir um código em uma página oficial da Microsoft”, explica Micucci. “Ao fazer isso, o usuário valida o acesso do invasor, que passa a ter controle sobre ferramentas como Outlook, Teams, OneDrive ou SharePoint.”
Crime sob assinatura e uso de IA
O FBI informou que o Kali365 funciona como um serviço de assinatura vendido pelo Telegram. O pacote cibercriminoso inclui:
- Modelos de campanhas automatizadas;
- Iscas de phishing geradas por Inteligência Artificial;
- Painéis em tempo real para monitorar as vítimas.
Essa estrutura permite que qualquer pessoa, mesmo sem conhecimento técnico avançado, consiga aplicar o golpe em larga escala.
Como se proteger da ameaça
Para evitar cair no golpe do Kali365, o especialista da ESET reforça que a regra de ouro é nunca inserir códigos de autenticação que você não tenha solicitado voluntariamente, mesmo que a página da internet pareça legítima. Caso desconfie de algo, a recomendação é relatar e-mails suspeitos, verificar os alertas de login e encerrar imediatamente as sessões ativas.
Recomendações para empresas:
Para proteger o ambiente corporativo, as orientações incluem:
- Restringir o fluxo de autenticação por código de dispositivo no Microsoft Entra ID;
- Implementar políticas rigorosas de acesso condicional;
- Revogar tokens de acesso imediatamente se houver suspeita de incidente;
- Capacitar os colaboradores sobre ataques focados em sequestro de sessões, e não apenas no roubo de senhas.





