FBI varuje pred nebezpečným phishingom Kali365. Microsoft 365 účet ti vie ukradnúť aj bez hesla cez legitímne overenie
FBI varuje pred nástrojom Kali365. Útočníkom stačí zneužiť overovací kód a môžu sa dostať do Microsoft 365 účtu aj bez hesla.
Americká FBI varuje pred novým phishingovým nástrojom, ktorý našiel nový spôsob, ako užívateľom kradnúť Microsoft 365 účty bez toho, aby poznali heslo. Federálny vyšetrovací úrad upozornil na platformu Kali365, ktorá útočníkom umožní obísť viacfaktorové overenie, pričom stačí jediný chybný krok zo strany používateľa aby útočník získal dlhodobý prístup k Outlooku, Teams či OneDrivu.
Kali365 funguje ako takzvaný „Phishing-as-a-Service“. Ide teda o hotový balík nástrojov, ktorý si útočník prenajme podobne jednoducho ako bežnú online službu. Platforma sa objavila v apríli 2026 a podľa FBI sa šírila najmä cez Telegram. Najnebezpečnejšia časť útoku spočíva v tom, že nekradne heslo klasickým spôsobom. Namiesto toho zneužije autorizačné tokeny systému Microsoft 365. Tie fungujú ako digitálny preukaz, ktorý potvrdzuje, že používateľ sa už úspešne prihlásil.
„Útočníci dokážu získať OAuth tokeny a obísť viacfaktorové overenie bez zachytenia hesla,“ upozorňuje FBI.
Celý útok začína pomerne tradične, ako väčšina phishingových útokov na internete. Používateľ dostane falošný e-mail, ktorý sa tvári ako správa od Microsoftu alebo cloudovej služby na zdieľanie dokumentov. Správa často pôsobí profesionálne a obsahuje pokyny na „overenie zariadenia“.
Hackeri ukradnú účet cez autentické overovacie domény Microsoftu
Najväčšie riziko útoku spočíva v tom, že hoci ide o podvodný e-mail, stránka, na ktorú ťa odkáže falošná nie je. Ide o skutočnú overovaciu stránku Microsoftu, čiže aj keď patríš medzi technicky zdatnejších užívateľov a kontroluješ domény, v tomto prípade neuvidíš nič podozrivé. Podvodník ťa v maili požiada, aby si zadal na stránke autorizačný kód. V skutočnosti ale ide o kód, ktorý autorizuje zariadenie hackera. Stačí teda, že ti nenapadne skontrolovať priamo podvodný mail alebo nie si oboznámený s autorizačnými postupmi Microsoftu a ľahko sa môžeš stať obeťou aj ty.
Týmto momentom útočník získa prístupové tokeny, ktoré mu otvoria účet bez ďalšieho zadávania hesla či MFA overenia. Token funguje ako digitálny „kľúč“, ktorý systém považuje za dôveryhodný.
Neprehliadni
„Útočník následne získa prístup k Outlooku, Teams alebo OneDrivu bez ďalších bezpečnostných kontrol,“ uviedla FBI.
Práve preto ide o výrazne sofistikovanejší útok než klasické phishingové kampane. Používateľ síce neprezradí heslo priamo, ale sám odovzdá autorizáciu. Keďže ide o phishing, ktorý hackeri ponúkajú ako službu, Kali365 zároveň výrazne znižuje bariéru vstupu pre menej skúsených kyberzločincov. Aj začiatočníci si totiž vedia jednoducho zaplatiť hotové phishingové šablóny, AI generované správy, sledovacie panely aj automatizované kampane. Nemusia pritom vôbec ovládať ani základy programovania.
Práve model „kyberkriminality ako služby“ patrí medzi najväčšie problémy súčasnej bezpečnosti. Podobné platformy robia z phishingu komerčný produkt, ktorý dokáže používať takmer ktokoľvek. FBI upozorňuje aj na to, že útok cieli priamo na mechanizmus Device Code Flow. Ide o legitímny systém Microsoftu, ktorý pomáha prihlasovať zariadenia s obmedzeným vstupom, napríklad televízory alebo konzoly.
FBI preto odporúča firmám aj administrátorom obmedziť alebo úplne vypnúť Device Code Flow tam, kde nie je nevyhnutný. Organizácie by mali zároveň kontrolovať, ktoré zariadenia získali prístup k firemným účtom.
Podvodníci ticho vyčkávajú v sieti a zbierajú citlivé informácie
Nebezpečenstvo nespočíva len v samotnom prístupe k e-mailom. Po získaní tokenov môže útočník čítať internú komunikáciu, sťahovať dokumenty, pristupovať ku cloudovým úložiskám alebo rozposielať ďalšie phishingové správy z legitímneho účtu. Získané dáta môžu následne predať na čiernom trhu, alebo ich využiť na vydieranie, ako v prípade podobného podvodu, pred ktorým FBI nedávno varovala.
Ďalším rizikovým faktorom, ktorý predlžuje pôsobenie hackera v internej sieti je to, že používateľ si častokrát nič nevšimne. Hacker sa nepokúša vymknúť užívateľa z účtu, no nenápadne existuje a číta si všetky prichádzajúce materiály. Zariadenie podvodníka sa tvári ako dôveryhodné zariadenie a útok sa odhalí až vtedy, ak si majiteľ všimne neznáme zariadenie v zozname pripojených zariadení.
FBI odporúča pravidelne kontrolovať zoznam pripojených alebo dôveryhodných zariadení, aby sa predišlo dlhodobej perzistencii hackera v sieti. Dôležitú úlohu hrá aj opatrnosť. Ak ti príde do schránky autentifikačný e-mail, je lepšie otvoriť si legitímny link služby, najlepšie ten uložený v záložkách a prihlásiť sa tak. Ak totiž ide o legitímny problém s účtom, ten môžeš vyriešiť aj normálnym prihlásením, nemusíš sa nutne prihlasovať cez odkaz v e-maily.
Kali365 zároveň ukazuje širší problém moderného phishingu. Útoky sa už nespoliehajú iba na krádež hesiel, ale čoraz častejšie cielia priamo na autentifikačné procesy, tokeny a dôveryhodné prihlasovacie mechanizmy.
