Kali365 phishing Microsoft 365: l’FBI avverte, aggira anche la MFA

Ecco gli ultimi aggiornamenti dai mercati delle attività digitali: L’FBI ha acceso i riflettori su Kali365 phishing Microsoft 365, un kit che secondo l’agenzia sta rendendo molto più semplice colpire account aziendali e professionali legati all’ecosistema Microsoft. Il rischio non si limita al furto di credenziali: il kit punta ai token OAuth di Microsoft 365 e riesce ad aggirare la MFA, uno dei controlli più usati contro gli accessi non autorizzati. Il kit, venduto su Telegram, viene descritto come uno strumento capace di abbassare la barriera d’ingresso anche per attaccanti poco esperti.

È questo l’aspetto che pesa di più: non serve un profilo tecnico elevato per avviare campagne di phishing efficaci contro ambienti Microsoft 365. La dinamica è insidiosa perché sfrutta pagine Microsoft legittime. Le vittime vengono convinte a inserire un codice dispositivo su una pagina di verifica autentica, ma così facendo autorizzano senza saperlo l’accesso dell’attaccante ai propri servizi, inclusi Outlook, Teams e OneDrive.

Dinamiche di mercato

Cosa sta segnalando l’FBI su Kali365 phishing Microsoft 365 Secondo l’avviso dell’FBI, Kali365 è un phishing kit distribuito attraverso Telegram e progettato per compromettere ambienti Microsoft 365. Il cuore dell’attacco è il furto di Microsoft 365 OAuth tokens, inclusi access token e refresh token, che permettono un accesso persistente all’account preso di mira. L’agenzia sottolinea anche un altro elemento chiave: Kali365 “abbassa la barriera d’ingresso”.

In pratica, mette a disposizione di soggetti meno tecnici una struttura già pronta per lanciare campagne di phishing e ottenere accesso agli account. Questo conta perché, quando un kit standardizza un attacco, il numero di potenziali aggressori aumenta. E quando il bersaglio è Microsoft 365, l’impatto non riguarda solo la posta elettronica, ma un’intera area di lavoro digitale usata da aziende, professionisti e organizzazioni.

Come funziona l’attacco contro Microsoft 365 Il meccanismo descritto dall’FBI ruota attorno al device code flow. Le vittime ricevono email di phishing che imitano servizi cloud affidabili per produttività o condivisione documentale. All’interno del messaggio trovano un codice dispositivo e istruzioni per visitare una pagina Microsoft autentica e inserirlo.

Impatto sui mercati

Qui l’attacco diventa particolarmente ingannevole. Non serve una pagina falsa costruita ad hoc: l’utente viene portato su un sito legittimo Microsoft. Se inserisce il codice, però, sta autorizzando il dispositivo dell’attaccante ad accedere al proprio account.

A quel punto Kali365 può catturare i token OAuth, inclusi gli OAuth access tokens e gli OAuth refresh tokens, ottenendo accesso continuativo all’ambiente Microsoft 365. I servizi citati come esposti sono Outlook, Teams e OneDrive. Questo schema rende il caso Kali365 phishing Microsoft 365 diverso dal phishing più tradizionale basato sul semplice furto di username e password.

Qui il bersaglio non è soltanto la credenziale, ma il meccanismo di autorizzazione stesso. Ed è per questo che il bypass della multi-factor authentication viene considerato così serio. Perché il bypass della MFA preoccupa così tanto Molti utenti associano la sicurezza dell’account alla sola presenza della MFA.

I mercati delle criptovalute seguono da vicino questo sviluppo, mentre gli investitori valutano il potenziale impatto sui prezzi.