Alerta do FBI: Nova ameaça consegue invadir contas da Microsoft sem usar senhas

O FBI emitiu um alerta urgente sobre o Kali365, uma plataforma de phishing como serviço (PhaaS) detectada em abril com foco em usuários do Microsoft 365. Diferente dos golpes tradicionais, essa ameaça não rouba a senha da vítima. Em vez disso, ela engana o próprio usuário para que ele autorize o acesso de cibercriminosos a e-mails do Outlook, arquivos do OneDrive, conversas do Teams e outros dados confidenciais.

Como funciona o golpe?

De acordo com Mario Micucci, investigador de segurança da informação da ESET Latinoamérica, a tática consiste em capturar tokens de acesso para sequestrar as sessões ativas e burlar a autenticação multifator (MFA). O ataque se aproveita de um recurso legítimo da própria Microsoft: o fluxo de autenticação por código de dispositivo do OAuth.

“A vítima recebe uma mensagem ou e-mail falso que imita um serviço confiável — como uma ferramenta de documentos ou colaboração — e é instruída a inserir um código em uma página oficial da Microsoft”, explica Micucci. “Ao fazer isso, o usuário valida o acesso do invasor, que passa a ter controle sobre ferramentas como Outlook, Teams, OneDrive ou SharePoint.”

Crime sob assinatura e uso de IA

O FBI informou que o Kali365 funciona como um serviço de assinatura vendido pelo Telegram. O pacote cibercriminoso inclui:

  • Modelos de campanhas automatizadas;
  • Iscas de phishing geradas por Inteligência Artificial;
  • Painéis em tempo real para monitorar as vítimas.

Essa estrutura permite que qualquer pessoa, mesmo sem conhecimento técnico avançado, consiga aplicar o golpe em larga escala.

Como se proteger da ameaça

Para evitar cair no golpe do Kali365, o especialista da ESET reforça que a regra de ouro é nunca inserir códigos de autenticação que você não tenha solicitado voluntariamente, mesmo que a página da internet pareça legítima. Caso desconfie de algo, a recomendação é relatar e-mails suspeitos, verificar os alertas de login e encerrar imediatamente as sessões ativas.

Recomendações para empresas:

Para proteger o ambiente corporativo, as orientações incluem:

  • Restringir o fluxo de autenticação por código de dispositivo no Microsoft Entra ID;
  • Implementar políticas rigorosas de acesso condicional;
  • Revogar tokens de acesso imediatamente se houver suspeita de incidente;
  • Capacitar os colaboradores sobre ataques focados em sequestro de sessões, e não apenas no roubo de senhas.

WhatsApp