FBI izdao upozorenje, proverite da li ste i vi prevareni! Suviše je lako "upecati" se, a ne biste ni primetili

Dakle, uključili ste višefaktorsku autentifikaciju. Naučili ste zaposlene da nikada ne unose lozinke na sumnjive stranice za prijavu. Vaši Microsoft 365 nalozi su sada sigurno bezbedni? Pa, razmislite ponovo.

Federalni istražni biro (FBI) izdao je upozorenje o novoj "phishing-as-a-service" platformi koja se nedavno pojavila i koja može da preuzme Microsoft 365 naloge bez krađe lozinke. Uz to bez problema zaobilazi i višefaktorsku autentifikaciju.

Kali365 je pretplatnička usluga za prevarante koja je prvi put primećena u aprilu 2026. godine, a uglavnom je promovisana preko platforme Telegram.

Reč je o gotovom alatu koji čak i tehnički neiskusnim prevarantima omogućava da pokreću sofisticirane phishing kampanje, navodno za samo 250 dolara mesečno ili 2.000 dolara godišnje.

Pretplatnici na Kali365 dobijaju pristup phishing mamcima generisanim veštačkom inteligencijom, automatizovanim šablonima kampanja, kontrolnim tablama za praćenje meta u realnom vremenu i mogućnosti krađe OAuth tokena. Drugim rečima, to je sve što je i potpunom početniku potrebno da pokrene phishing napad.

I pretnja nije hipotetička. Istraživači bezbednosti dokumentovali su stotine Kali365 napada samo tokom aprila, usmerenih na organizacije širom Severne Amerike i Evrope.

Zajednički faktor u svim tim napadima? Žrtve su koristile višefaktorsku autentifikaciju.

Ono što Kali365 čini toliko uspešnim jeste činjenica da ne mora da vara žrtve lažnom stranicom za prijavu. Umesto toga zloupotrebljava legitimnu Microsoftovu funkciju.

Ako ste se ikada prijavljivali na servis poput Amazon Prime-a ili Netfliksa preko pametnog televizora, verovatno ste dobili zahtev da unesete kratak kod na sajtu preko telefona.

Ako jeste, koristili ste "device code flow". To je tehnologija koja omogućava jednom uređaju da "pozajmi" autentifikovanu sesiju sa drugog uređaja.

Kali365 napad funkcioniše na isti način. Dobijate phishing imejl prerušen u poruku pouzdane cloud usluge, koja vas poziva da posetite Microsoftovu stranicu za verifikaciju i unesete kod.

Odlazite na pravu Microsoftovu stranicu i unosite kod. Možda mislite da ste postupili potpuno bezbedno.

Na kraju krajeva, domen je zaista Microsoftov, vaš menadžer lozinki ga pravilno prepoznaje, SSL sertifikat je validan i nema grešaka u URL adresi.

Međutim, ono što ste zapravo uradili jeste da ste autorizovali uređaj napadača da pristupi vašem nalogu.

Microsoft tada kriminalcu izdaje OAuth token - dokaz da ste prijavljeni - čime mu daje neograničen pristup vašem Outlook-u, Teams-u i OneDrive-u, bez lozinke i bez dodatnih MFA provera.

Ukratko, nema lažnog sajta koji biste mogli da prepoznate niti pogrešno napisanog domena. Jedan ukradeni token može otključati i druge cloud aplikacije, pretvarajući jedan nepažljiv klik u ozbiljan bezbednosni incident.

Ključna stvar koju treba razumeti jeste da MFA sprečava napadače da se prijave kao vi. Ali ne sprečava vas da sami odobrite pristup napadaču kroz proces koji Microsoft smatra potpuno legitimnim.

Kriminalci nikada ne moraju da odgovore na MFA proveru, jer iz Microsoftove perspektive žrtva je to već uradila.

Zbog toga je glavna preporuka FBI-ja da se blokira "device code flow" pomoću conditional access politike u Microsoft Entra ID-u, gde je to moguće. Verovatno ćete želeti da izuzmete hitne administratorske naloge kako se ne biste potpuno zaključali iz sistema.

Takođe je preporučljivo uvesti phishing-otpornu višefaktorsku autentifikaciju, poput hardverskih bezbednosnih ključeva, koji vezuju autentifikaciju za fizički uređaj i mnogo ih je teže zaobići.

FBI-jev Internet Crime Complaint Center poziva žrtve da prijave incidente preko sajta ic3.gov.

(Telegraf.rs)