Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Kali365 to platforma phishing-as-a-service zaprojektowana do przejmowania kont Microsoft 365 poprzez nadużywanie legalnego mechanizmu OAuth Device Code. W odróżnieniu od klasycznych kampanii phishingowych atak nie koncentruje się na kradzieży hasła, lecz na skłonieniu ofiary do zatwierdzenia kodu urządzenia na prawdziwej stronie logowania Microsoft.
Po zakończeniu procesu uwierzytelnienia napastnik uzyskuje ważny token sesyjny, który może zapewnić dostęp do poczty, aplikacji chmurowych oraz usług objętych pojedynczym logowaniem. To sprawia, że samo MFA nie zawsze wystarcza do zatrzymania tego typu operacji.
W skrócie
Federalne Biuro Śledcze ostrzegło przed Kali365 jako usługą wykorzystywaną do ataków na środowiska Microsoft 365 i Microsoft Entra. Narzędzie obniża próg wejścia dla cyberprzestępców, ponieważ dostarcza gotową infrastrukturę, automatyzację kampanii i elementy ułatwiające prowadzenie oszustw socjotechnicznych.
- ataki wykorzystują mechanizm device code phishing,
- platforma może przechwytywać tokeny i sesje bez kradzieży hasła,
- Kali365 oferuje także tryb adversary-in-the-middle,
- skutkiem może być pełny dostęp do kont Microsoft 365 oraz powiązanych usług SaaS.
Kontekst / historia
Device Authorization Grant powstał z myślą o urządzeniach, które mają ograniczone możliwości wprowadzania danych, takich jak telewizory smart, drukarki, systemy konferencyjne czy sprzęt IoT. Użytkownik otrzymuje krótki kod i wpisuje go na zaufanym portalu logowania, aby powiązać urządzenie z kontem.
Z czasem mechanizm ten zaczął być wykorzystywany przez przestępców. Kluczowy problem polega na tym, że ofiara loguje się na legalnej stronie i samodzielnie kończy proces MFA, przez co atak nie wygląda jak klasyczna próba wyłudzenia poświadczeń. W 2026 roku tego typu kampanie wyraźnie zyskały na znaczeniu, a Kali365 stało się przykładem komercjalizacji tego modelu działania.
Analiza techniczna
Model ataku jest prosty, ale skuteczny. Operator rozpoczyna proces autoryzacji urządzenia, generuje kod logowania, a następnie dostarcza go ofierze za pomocą wiadomości phishingowej lub innego komunikatu socjotechnicznego. Użytkownik trafia na prawdziwy proces logowania Microsoft, wpisuje kod i zatwierdza dostęp.
W efekcie platforma uzyskuje token dostępu powiązany z kontem użytkownika. Atakujący nie musi znać hasła ani przechwytywać jednorazowego kodu MFA, ponieważ z punktu widzenia systemu to użytkownik legalnie udzielił zgody na uwierzytelnienie.
Według opisywanych analiz Kali365 udostępnia funkcje charakterystyczne dla dojrzałych platform PhaaS. Obejmują one gotowe szablony kampanii, panele do śledzenia ofiar, automatyzację działań oraz elementy wspierane przez AI, które pomagają przygotowywać przynęty phishingowe. Model operacyjny przypomina strukturę usługową z administratorami, resellerami i afiliantami.
Drugim istotnym elementem jest funkcja określana jako „Cookie Link”, działająca w modelu adversary-in-the-middle. W takim scenariuszu ruch ofiary przechodzi przez infrastrukturę kontrolowaną przez napastnika, co umożliwia przechwycenie uwierzytelnionej sesji przeglądarkowej, tokenów i ciasteczek po zakończeniu logowania.
W zaobserwowanych przypadkach po przejęciu kont napastnicy uzyskiwali dostęp do skrzynek pocztowych, tworzyli złośliwe reguły wiadomości ukrywające aktywność i rejestrowali nowe urządzenia w środowisku ofiary. Takie działania zwiększają trwałość dostępu i utrudniają szybkie wykrycie incydentu.
Konsekwencje / ryzyko
Największe ryzyko wiąże się z błędnym założeniem, że wdrożenie MFA automatycznie chroni organizację przed wszystkimi formami phishingu. W przypadku nadużycia device code użytkownik przechodzi prawidłowy proces uwierzytelnienia, a napastnik otrzymuje legalny token sesyjny.
- dostęp do poczty elektronicznej i poufnej korespondencji,
- kompromitacja aplikacji chmurowych połączonych z SSO,
- wyciek danych i dokumentów biznesowych,
- wykorzystanie przejętego konta do dalszego phishingu,
- ukrywanie śladów przez reguły skrzynki odbiorczej,
- utrwalenie obecności dzięki rejestracji urządzeń i aktywnym sesjom.
Kali365 zwiększa skalę zagrożenia także dlatego, że upraszcza prowadzenie kampanii dla mniej doświadczonych operatorów. Gotowe zaplecze techniczne, automatyzacja i model usługowy sprawiają, że podobne ataki mogą być prowadzone szybciej i szerzej niż wcześniej.
Rekomendacje
Organizacje korzystające z Microsoft 365 i Entra powinny w pierwszej kolejności ocenić, czy przepływ uwierzytelniania device code jest im rzeczywiście potrzebny. Jeśli nie ma uzasadnienia biznesowego, warto go ograniczyć lub zablokować przy użyciu polityk dostępu warunkowego.
- przeprowadzić audyt użycia mechanizmu device code w tenantach,
- monitorować nietypowe logowania, wydania tokenów i nowe urządzenia,
- analizować reguły skrzynek pocztowych pod kątem ukrywania wiadomości i przekierowań,
- wymuszać Conditional Access oparty na ryzyku, stanie urządzenia i zaufanych lokalizacjach,
- szkolić użytkowników, że legalna strona logowania nie zawsze oznacza bezpieczny proces,
- wdrożyć procedury reagowania obejmujące unieważnianie tokenów, wylogowanie sesji, reset poświadczeń i przegląd zgód aplikacyjnych.
W przypadku podejrzenia incydentu należy zabezpieczyć wiadomości phishingowe, logi uwierzytelnień, informacje o nowych urządzeniach oraz artefakty związane z tokenami i sesjami. Szybka analiza tych danych może znacząco ograniczyć skutki naruszenia.
Podsumowanie
Kali365 pokazuje, że nowoczesny phishing coraz częściej nie polega na kradzieży haseł, lecz na nadużywaniu legalnych mechanizmów uwierzytelniania. Ataki wykorzystujące OAuth Device Code i przechwytywanie sesji skutecznie omijają ochronę opartą wyłącznie na MFA.
Dla organizacji oznacza to potrzebę wdrożenia warstwowego modelu bezpieczeństwa obejmującego kontrolę tożsamości, monitorowanie tokenów, polityki dostępu warunkowego, analizę sesji oraz regularną edukację użytkowników. Bez takiego podejścia ryzyko przejęcia kont w środowiskach Microsoft 365 będzie nadal rosło.