Kali365 rozszerza ataki phishingowe i omija MFA przez nadużycie OAuth Device Code

Wprowadzenie do problemu / definicja

Kali365 to platforma phishing-as-a-service, która wykorzystuje legalny mechanizm OAuth 2.0 Device Authorization Grant, znany jako device code flow, do przejmowania dostępu do kont użytkowników. Zamiast kraść hasło w klasyczny sposób, napastnicy nakłaniają ofiarę do wpisania poprawnego kodu na prawdziwej stronie logowania, a następnie przejmują wydane tokeny dostępu.

To podejście jest szczególnie groźne, ponieważ nie polega na łamaniu wieloskładnikowego uwierzytelniania, lecz na obejściu go poprzez skłonienie użytkownika do samodzielnego zakończenia legalnie wyglądającego procesu autoryzacji. W efekcie organizacja może błędnie uznać takie logowanie za wiarygodne.

W skrócie

Kali365 początkowo był kojarzony głównie z atakami na środowiska Microsoft 365, jednak obecnie rozszerza zakres działania na inne platformy tożsamościowe i usługi internetowe. To oznacza przejście od wyspecjalizowanego zestawu phishingowego do bardziej uniwersalnego narzędzia kompromitacji tożsamości.

• nadużywa legalnego przepływu OAuth device code,
• pozwala przejmować tokeny bez poznania hasła ofiary,
• może skutecznie obchodzić MFA, jeśli użytkownik dokończy autoryzację,
• jest oferowany w modelu usługowym, co obniża próg wejścia dla cyberprzestępców,
• zwiększa zasięg kampanii dzięki dynamicznemu generowaniu kodów urządzeń.

Kontekst / historia

Phishing oparty na device code flow stał się w ostatnim czasie jednym z wyraźniejszych trendów w atakach na tożsamość. Rosnące zainteresowanie tym wektorem wynika z faktu, że wiele organizacji koncentruje się na ochronie przed kradzieżą haseł lub sesji, podczas gdy nadużycia prawidłowych procesów OAuth nadal bywają słabiej monitorowane.

Kali365 zwrócił uwagę służb federalnych i dostawców bezpieczeństwa, ponieważ umożliwia przejęcie tokenów dostępowych bez konieczności uzyskania danych logowania użytkownika. Najnowsze obserwacje wskazują jednak, że platforma nie ogranicza się już do ekosystemu Microsoft i zaczyna imitować również inne usługi chmurowe, systemy SSO oraz platformy komunikacyjne.

Ta zmiana ma istotne znaczenie operacyjne. Im szersza lista podszywanych usług, tym łatwiej dopasować kampanię do konkretnej branży, regionu czy wykorzystywanego stosu technologicznego. Oznacza to większą powierzchnię ataku i wyższą skuteczność socjotechniki.

Analiza techniczna

Sednem działania Kali365 jest nadużycie przepływu OAuth 2.0 Device Authorization Grant. Mechanizm ten został zaprojektowany dla urządzeń z ograniczonym interfejsem, takich jak telewizory smart, drukarki czy terminale, które nie mogą przeprowadzić pełnego logowania w standardowej przeglądarce.

W typowym scenariuszu użytkownik otrzymuje krótki kod, a następnie wpisuje go na osobnym urządzeniu na autentycznej stronie dostawcy tożsamości. Napastnik wykorzystuje ten sam proces, ale to on inicjuje żądanie autoryzacji urządzenia. Ofiara otrzymuje wiadomość phishingową i zostaje nakłoniona do wpisania poprawnego kodu oraz przejścia wszystkich wymaganych etapów uwierzytelnienia, w tym MFA.

Jeżeli użytkownik zakończy proces powodzeniem, tokeny dostępu są wydawane inicjatorowi sesji, czyli w praktyce atakującemu. Dzięki temu przeciwnik może uzyskać dostęp do poczty, dokumentów, usług chmurowych lub innych zasobów bez znajomości hasła ofiary.

Kluczową przewagą tego modelu jest to, że użytkownik wykonuje prawidłowe czynności bezpieczeństwa, ale w kontekście kontrolowanym przez napastnika. MFA nie zostaje więc przełamane technicznie, tylko obchodzone poprzez wykorzystanie legalnego procesu autoryzacji.

Dodatkowo Kali365 stosuje dynamiczne generowanie kodów urządzeń. Oznacza to, że kod może zostać utworzony dopiero wtedy, gdy ofiara wchodzi w interakcję z kampanią. Takie podejście zwiększa szansę, że kod pozostanie ważny w momencie użycia, a tym samym poprawia skuteczność ataku.

Platforma wpisuje się również w model PhaaS. Operatorzy otrzymują gotowe szablony wiadomości, pulpity do śledzenia ofiar i elementy automatyzacji, co sprawia, że uruchamianie zaawansowanych kampanii nie wymaga już głębokiej znajomości OAuth ani samodzielnego budowania infrastruktury phishingowej.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem użycia Kali365 jest przejęcie tokenów dostępu i uzyskanie trwałego lub półtrwałego dostępu do zasobów organizacji. W praktyce może to oznaczać kompromitację skrzynki pocztowej, dokumentów, usług współdzielonych, systemów tożsamości oraz dalszą eskalację uprawnień.

Ryzyko jest wysokie, ponieważ użytkownik często nie widzi nic podejrzanego. Kod wpisuje na prawdziwej stronie logowania, a sam proces wygląda jak zgodna z polityką bezpieczeństwa autoryzacja. W wielu organizacjach udane MFA nadal jest traktowane jako silny sygnał zaufania, co może opóźniać wykrycie incydentu.

Jeżeli atak obejmuje konta uprzywilejowane, aplikacje federacyjne lub usługi administracyjne, skala szkód może szybko wyjść poza pojedynczego użytkownika. W takiej sytuacji napastnik może wykorzystać przejęte tokeny do poruszania się po środowisku, zbierania danych i przygotowania kolejnych etapów ataku.

Rozszerzenie katalogu usług imitowanych przez Kali365 dodatkowo zwiększa ryzyko. Zagrożona staje się nie tylko jedna platforma biurowa, lecz szerzej cała warstwa tożsamości cyfrowej organizacji.

Rekomendacje

Organizacje powinny traktować phishing oparty na device code flow jako osobny scenariusz zagrożenia w obszarze ochrony tożsamości. Kluczowe jest ustalenie, gdzie taki mechanizm jest rzeczywiście potrzebny biznesowo, a następnie ograniczenie go lub wyłączenie wszędzie tam, gdzie nie ma uzasadnienia.

• monitorować logowania i autoryzacje OAuth ze szczególnym uwzględnieniem device code flow,
• blokować lub ograniczać ten przepływ za pomocą polityk dostępu warunkowego, jeśli platforma to umożliwia,
• stosować zasadę najmniejszych uprawnień dla aplikacji, zgód i tokenów,
• skracać czas życia sesji oraz regularnie przeglądać aktywne tokeny i zgody aplikacyjne,
• wykrywać nietypowe logowania po udanym MFA, zwłaszcza z nowych lokalizacji, adresów IP i klientów,
• szkolić użytkowników w zakresie scenariuszy, w których ktoś prosi o wpisanie kodu na legalnym portalu logowania,
• przygotować procedury reagowania obejmujące unieważnianie tokenów, reset sesji i cofanie zgód OAuth.

Z perspektywy zespołów SOC i IAM szczególnie ważne jest odróżnienie kradzieży poświadczeń od kradzieży tokenów. W tym drugim przypadku sam reset hasła może nie wystarczyć, jeśli ważne tokeny lub zgody aplikacyjne nadal pozostają aktywne.

Podsumowanie

Kali365 pokazuje, że współczesny phishing coraz częściej nie opiera się na fałszywej stronie logowania, lecz na nadużywaniu prawidłowych mechanizmów autoryzacji. To zmienia sposób myślenia o obronie, ponieważ samo MFA nie zapewnia pełnej ochrony, jeśli użytkownik zostanie skłoniony do zatwierdzenia procesu rozpoczętego przez napastnika.

Rozszerzenie działania Kali365 poza Microsoft 365 wskazuje, że ataki na tokeny i przepływy OAuth będą coraz częściej wymierzone w wiele platform jednocześnie. Dla organizacji oznacza to konieczność silniejszego nadzoru nad tożsamością, autoryzacją aplikacji i nietypowymi scenariuszami logowania.

Źródła

• https://www.ic3.gov/PSA/2026/PSA260521
• https://www.darkreading.com/cyber-risk/fbi-flagged-phishing-kit-kali365-expands-its-reach
• https://arcticwolf.com/resources/blog/token-bingo-dont-let-your-code-be-the-winner/
• https://www.microsoft.com/en-us/security/blog/2026/04/06/ai-enabled-device-code-phishing-campaign-april-2026/
• https://learn.microsoft.com/en-us/entra/fundamentals/zero-trust-protect-identities