FBI alerta: nova ameaça rouba contas da Microsoft sem nem precisar da senha

Tempo de leitura: 3 minutos


O FBI emitiu um alerta sobre o Kali365, plataforma de phishing como serviço (PhaaS) identificada em abril com foco no Microsoft 365. O golpe não rouba a senha das vítimas, mas engana o usuário para que ele mesmo autorize o acesso de cibercriminosos a e-mails do Outlook, documentos do OneDrive, mensagens do Teams, entre outras informações.

Segundo o investigador de segurança da informação da ESET Latinoamérica, Mario Micucci, a ameaça captura tokens de acesso do Microsoft 365 para sequestrar sessões e contornar a autenticação multifator (MFA). Para isso, o ataque explora o fluxo de autenticação por código de dispositivo do OAuth, um mecanismo legítimo da Microsoft. 

“A vítima recebe um e-mail ou mensagem que simula vir de um serviço confiável, como uma ferramenta de documentos ou colaboração, e é orientada a inserir um código em uma página legítima da Microsoft”, disse o especialista. Ao fazer isso, o usuário está autorizando o acesso do atacante, que obtém tokens de acesso e atualização para serviços como Outlook, Teams, OneDrive ou SharePoint.”


Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.

A ameaça, conforme informado pelo FBI, é distribuída como um serviço por assinatura no Telegram. Além disso, o Kali365 oferece modelos de campanha automatizados, iscas geradas por IA e painéis em tempo real para monitorar vítimas, o que torna o ataque escalável e acessível a qualquer um.

Como se proteger do Kali365

Para se proteger do Kali365, Micucci recomenda a não compartilhar códigos de autenticação que não foram solicitados. Mesmo que a página seja real, o processo pode estar sendo manipulado.

“Nunca se deve inserir um código de dispositivo se esse processo não foi iniciado voluntariamente”, afirmou. “Também é fundamental reportar e-mails suspeitos, revisar alertas de login e encerrar sessões ativas diante de qualquer dúvida.”

Para empresas, o especialista da ESET orienta a restringir o fluxo de autenticação por código de dispositivo no Microsoft Entra ID, aplicar políticas de acesso condicional, revogar tokens em incidentes e treinar equipes sobre ataques que sequestram sessões, e não senhas.

Leia a matéria no Canaltech.



TucanoWeb – Especialista em Soluções Web: Sites à partir de R$299

TucanoCloud – Especialista em Hospedagens: 30 Dias Grátis

SitesProntosBR – Venda de Sites Prontos e Scripts: À partir de R$49

Cursos de Programação Grátis com Certificado – Digital Innovation One: Gratuito e 100% Online



Tags: hospedagem barata, hospedagem de sites wordpress, hospedagem de sites, hospedagem vps barata, servidores dedicados, hospedagem de sites barata, criação de sites, criação de sites barata, criação de sites em wordpress, wordpress, sites wordpress, certificado ssl, manutenção de sites, loja online, criação de loja online, criação de loja online barata, hospedagem nacional, servidor vps nacional, servidores vps, vender site online, vender script online.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *