W połowie maja 2026 roku FBI opublikowało ostrzeżenie dotyczące nowej platformy Phishing-as-a-Service o nazwie Kali365. Mechanizm tego ataku zasługuje na uwagę każdego administratora Microsoft 365 - również tych, którzy uznają, że uwierzytelnianie wieloskładnikowe wystarczająco zabezpiecza ich środowisko.
Najważniejsza obserwacja jest następująca: Kali365 nie obchodzi MFA. Wykorzystuje je jako element budujący zaufanie ofiary.

Jak działa atak
Operator Kali365 wykorzystuje legalny mechanizm Microsoft - OAuth 2.0 device code flow. Przepływ ten powstał z myślą o urządzeniach bez klawiatury (telewizory, drukarki, urządzenia IoT) i nie wymaga drugiego składnika uwierzytelnienia, jeśli użytkownik samodzielnie wprowadzi kod na zaufanym urządzeniu.
Typowy scenariusz wygląda następująco:
- Operator inicjuje device code flow w środowisku ofiary.
- Wysyła do użytkownika wiadomość udającą wewnętrzny komunikat IT - “proszę zalogować się i wpisać kod”.
- Użytkownik loguje się na własnym koncie i przepisuje kod, w dobrej wierze.
- Atakujący otrzymuje token sesji ze wszystkimi uprawnieniami ofiary.
- MFA nie zostało obejście - zostało wykorzystane jako element budujący zaufanie.
Próg wejścia dla atakującego jest niski, a skuteczność wysoka - szczególnie w organizacjach, które nie skonfigurowały odpowiednich polityk Conditional Access.
Pięć kroków, które warto wdrożyć w najbliższych 48 godzinach
- Conditional Access - polityka blokująca device code flow z lokalizacji i urządzeń niezaufanych.
- Entra ID - włączenie sign-in risk policies oraz user risk policies (wymaga licencji Entra ID P2).
- Defender for Cloud Apps - aktywne monitorowanie nietypowych przepływów OAuth i alertowanie na anomalie tokenów.
- Token lifetime policies - skrócenie czasu życia tokenów sesji i wymuszenie częstszej reautoryzacji.
- Komunikacja do użytkowników - krótka instrukcja: “Microsoft nigdy nie prosi o przepisanie kodu z innej wiadomości”.
Dlaczego ten temat dziś
Znaczna część polskich organizacji korzystających z Microsoft 365 nie ma jeszcze aktywnej polityki blokującej device code flow w niezaufanych scenariuszach. Mechanizm pozostaje domyślnie włączony, a wektor ataku - dostępny.
Jako Microsoft Solutions Partner pomagamy klientom przeprowadzić hardening Entra ID, skonfigurować Conditional Access i wdrożyć monitoring OAuth na Defender for Cloud Apps. Jeśli chcieliby Państwo omówić konfigurację we własnej organizacji, zapraszamy do rozmowy.
Źródło: FBI Public Service Announcement (maj 2026) dotyczący platformy Kali365 Phishing-as-a-Service.