FBI varoittaa Kali365 PhaaS-palvelusta, joka ohittaa MFA:n OAuth device code -hyväksikäytöllä ja kaappaa Microsoft 365 -sessioita varkain.
FBI julkaisi varoituksen Kali365-nimisestä phishing-as-a-service -palvelusta, joka erikoistuu Microsoft 365 -tilien kaappaamiseen. Palvelu hyödyntää OAuth device code -autentikointivirhettä varastaakseen sessiotokeneita ja ohittaakseen monivaiheisen tunnistautumisen täysin. Kali365 toimii tilauspohjaisena palveluna, jossa rikolliset voivat ostaa pääsyn valmiiseen tietojenkalastelualustaan ilman teknistä osaamista.
Palvelu käyttää kehittynyttä tekniikkaa, jossa uhri ohjataan väärennetylle Microsoft-kirjautumissivulle. Kun uhri syöttää tunnuksensa, järjestelmä pyytää häntä vahvistamaan kirjautumisen toisessa laitteessa syöttämällä näytöllä näkyvän koodin. Todellisuudessa tämä koodi on aidosta Microsoft-palvelusta peräisin, ja sen syöttäminen antaa hyökkääjälle täyden pääsyn uhriin tiliin.
FBI:n mukaan Kali365 on ollut aktiivisessa käytössä useiden kuukausien ajan, ja sen avulla on onnistuneesti kaapattu tuhansia Microsoft 365 -tilejä ympäri maailmaa. Palvelu tarjoaa asiakkailleen valmiit tietojenkalastelusivu-pohjat, automaattiset token-varastustyökalut sekä yksityiskohtaiset ohjeet kampanjoiden toteuttamiseen.
IT-ammattilaiset suositeltu tarkistamaan organisaatioidensa OAuth-sovellusten käyttöoikeudet säännöllisesti ja kouluttamaan käyttäjiä tunnistamaan epäilyttäviä device code -pyyntöjä. Microsoft on tietoinen haavoittuvuudesta ja kehittää parannuksia OAuth-autentikointiprosessiin tulevissa päivityksissä.
Tärkeimmät pointit
- Kali365 PhaaS-palvelu ohittaa MFA:n OAuth device code -hyväksikäytöllä
- Varastaa Microsoft 365 -sessiotokeneita väärennetyillä kirjautumissivuilla
- Toimii tilauspohjaisena palveluna ilman teknistä osaamista
- Tuhansia tilejä kaapattu useiden kuukausien aikana maailmanlaajuisesti
- Tarjoaa valmiit phishing-pohjat ja automaattiset token-varastustyökalut
- Suositus: tarkista OAuth-sovellukset ja kouluta käyttäjiä device code -uhkista
Lähde: Bleeping Computer — alkuperäinen artikkeli julkaistu 25.5.2026
