ФБР попередило про фішингову атаку Kali365 на Microsoft 365
- ФБР повідомило про кампанію Kali365, що атакує облікові записи Microsoft 365.
- Зловмисники викрадають OAuth-токени через фішингові листи.
- Атака дозволяє отримати доступ до Outlook, Teams і OneDrive.
- Рекомендується блокувати device code flow і передачу автентифікації.
- Також важливо навчати користувачів розпізнавати фішингові листи.
ФБР попередило про нову фішингову кампанію, спрямовану на облікові записи Microsoft 365. Йдеться про сервіс Phishing-as-a-Service під назвою Kali365, який використовує згенеровані штучним інтелектом листи для отримання доступу до облікових записів. Про це пише TechRadar.
Атака базується на викраденні OAuth-токенів через фішингові повідомлення, що ведуть на справжні сторінки авторизації Microsoft. Після отримання токена зловмисники можуть отримати доступ до Outlook, Teams і OneDrive без повторної автентифікації.
Фішингові листи можуть виглядати як запрошення на співбесіду або запити доступу до документів. Вони створюються таким чином, щоб відповідати звичайному електронному листуванню та обходити фільтри спаму.
ФБР рекомендує застосовувати політики умовного доступу, зокрема блокування device code flow — методу автентифікації, який використовується в атаці. У сценарії атаки користувач вводить код, згенерований зловмисником, на офіційній сторінці Microsoft, тим самим надаючи доступ до свого облікового запису.
Також рекомендується обмежити політики передачі автентифікації, які дозволяють входити за допомогою довірених пристроїв через QR-коди. Ця функція може бути використана для закріплення доступу зловмисника до облікового запису.
Окремо зазначається необхідність навчання користувачів розпізнаванню фішингових листів і відстеження підозрілих запитів на вхід у систему.
За оцінками експертів, подібні сервіси знижують поріг входу для проведення атак і дозволяють використовувати легітимні механізми автентифікації для доступу до облікових записів.
