O FBI publicou um alerta sobre o Kali365, uma plataforma de phishing usada por criminosos para tomar contas do Microsoft 365. O serviço apareceu em abril de 2026 e é comercializado em canais do Telegram. Entre suas funções, está a capacidade de roubar tokens de sessão e driblar a autenticação em dois fatores sem a necessidade de capturar senhas ou códigos de verificação.
Phishing é uma modalidade de fraude digital em que golpistas tentam enganar usuários para obter dados sensíveis, como senhas, informações bancárias e códigos de acesso. Normalmente, esse tipo de ataque acontece por e-mail, SMS, redes sociais ou páginas falsas que imitam empresas conhecidas e induzem a vítima a clicar em links maliciosos ou a informar dados pessoais.
Tecnologia e Segurança: como o Kali365 funciona
A plataforma Kali365 oferece recursos avançados mesmo para atacantes com pouca experiência técnica. Entre eles estão iscas de phishing criadas com inteligência artificial, modelos automatizados de campanhas, painéis para acompanhar vítimas em tempo real e captura automática de tokens de acesso.
Como a plataforma usa uma função legítima da Microsoft
O Kali365 explora um recurso real de autenticação da Microsoft chamado OAuth 2.0 Device Authorization. Esse método foi criado para permitir o login em dispositivos com pouca capacidade de digitação.
Smart TVs, impressoras, sistemas de videoconferência e dispositivos IoT, por exemplo, precisam de um processo diferente de autenticação, já que não contam com teclado completo.
Na prática, esses aparelhos geram um código curto que o usuário precisa inserir em outro dispositivo, no site microsoft[.]com/devicelogin. Depois que o código é digitado e a autenticação em dois fatores é concluída, a Microsoft libera um token de acesso à conta.
Os criminosos abusam exatamente desse fluxo legítimo. Eles iniciam o processo para gerar o código e, em seguida, usam phishing e engenharia social para convencer a vítima a digitá-lo na página oficial da Microsoft.
O passo a passo do ataque
O golpe começa com um e-mail de phishing que imita serviços confiáveis de produtividade e compartilhamento de documentos. A mensagem traz um código e orientações para que a vítima acesse a página oficial de verificação da Microsoft e faça a inserção desse código.
A autenticação em dois fatores não impede esse tipo de ataque, porque os invasores conseguem capturar tokens OAuth depois que a vítima conclui a verificação.
Sem perceber, a vítima acessa o site verdadeiro da Microsoft e cola o código, autorizando o dispositivo do atacante a entrar na conta. Quando a autenticação em dois fatores é finalizada, o criminoso obtém os tokens de acesso e de atualização OAuth.
Com esses tokens em mãos, o invasor passa a ter acesso total à conta do Microsoft 365. Isso acontece porque o token funciona como uma chave mestra, permitindo entrar no Outlook, Teams, OneDrive e outros serviços sem senha e sem novos desafios de autenticação.
O alcance do ataque não se limita aos serviços da Microsoft. Como muitas empresas usam login único, os criminosos também conseguem acessar outras plataformas conectadas à conta, como Salesforce e diferentes sistemas SaaS corporativos.
A operação do Kali365 funciona como um negócio organizado, com administradores, revendedores e afiliados responsáveis por rodar campanhas em massa de phishing contra organizações.
O que os invasores fazem com o acesso
Pesquisadores da Arctic Wolf identificaram uma campanha ampla do Kali365 em abril de 2026. Os ataques atingiram organizações em várias partes do mundo, com foco principal em ambientes Microsoft 365.
Depois de comprometer as contas, os invasores passam a acessar as caixas de entrada das vítimas. Eles também criam regras maliciosas de e-mail para esconder suas ações.
Em alguns casos, os criminosos ainda registram novos dispositivos nos ambientes Microsoft das vítimas, ampliando o acesso à rede comprometida.
A Arctic Wolf concluiu que o Kali365 opera de forma estruturada. Há administradores responsáveis pelo desenvolvimento da plataforma, revendedores que divulgam o serviço para outros criminosos e afiliados que executam as campanhas de phishing.
O serviço oferece dois modos de operação. O primeiro é o device code phishing, já descrito acima. O segundo é chamado Cookie Link e funciona como um ataque do tipo adversário no meio.
Nesse modelo, as vítimas são redirecionadas por uma infraestrutura controlada pelos criminosos. O sistema captura sessões autenticadas do navegador, cookies de sessão e tokens depois que a pessoa faz login e conclui os desafios de autenticação em dois fatores.
Recomendações do FBI para bloquear o fluxo de autenticação
O FBI orienta empresas a restringirem ou bloquearem totalmente os fluxos de autenticação por código de dispositivo sempre que isso for possível, usando políticas de acesso condicional. Antes de aplicar um bloqueio completo, a agência recomenda auditar o uso atual desse recurso.
Outra medida sugerida é bloquear políticas de transferência de autenticação, já que elas permitem que sessões autenticadas migrem entre dispositivos.
A agência também pede que organizações afetadas comuniquem os incidentes ao Internet Crime Complaint Center e preservem e-mails de phishing, informações de login suspeitas e registros de dispositivos não autorizados.
O device code phishing ganhou grande adoção em 2026. Outras plataformas de Phishing-as-a-Service, como EvilTokens e Tycoon2FA, também passaram a usar essa técnica para comprometer contas do Microsoft 365 e do Entra.