De FBI heeft een verklaring warning uitgegeven over een snelgroeiend phishing-as-a-service platform genaamd Kali365, dat wordt gebruikt om Microsoft 365-accounts te compromitteren terwijl multifactorauthenticatiebescherming wordt omzeild.
Volgens een nieuwe FBI Public Service Announcement gepubliceerd via het Internet Crime Complaint Center (IC3), verscheen Kali365 voor het eerst in april 2026 en wordt het voornamelijk verspreid via Telegram-kanalen die door cybercriminelen worden gebruikt. Het platform stelt aanvallers in staat om Microsoft 365 OAuth-toegangstokens te stelen zonder direct wachtwoorden of MFA-codes vast te leggen.
De FBI zei dat Kali365 de drempel verlaagt voor minder ervaren cybercriminelen door kant-en-klare phishinginfrastructuur, door AI gegenereerde phishinglokken, geautomatiseerde campagnetemplates, slachtoffertrackingdashboards en token-capturetools te bieden.
In tegenstelling tot traditionele phishingaanvallen die vertrouwen op nep-inlogpagina’s, misbruikt Kali365 het legitieme apparaatauthenticatieproces van Microsoft. Bij een typische aanval ontvangen slachtoffers e-mails waarin ze zich voordoen als vertrouwde cloud- of documentdelingsservices. De berichten bevatten instructies die gebruikers naar de echte verificatiepagina van Microsoft leiden en hen vragen een verstrekte apparaatcode in te voeren.
Zodra de code is ingevoerd, machtigen slachtoffers onbewust het apparaat van de aanvaller om toegang te krijgen tot hun Microsoft 365-omgeving. Aanvallers krijgen vervolgens OAuth-toegang en ververstokens, waardoor persistente toegang tot diensten zoals Outlook, Teams en OneDrive mogelijk is zonder extra MFA-prompts te activeren.
Beveiligingsonderzoekers omschrijven de techniek als “device code phishing,” een groeiende aanvalsmethode gericht op cloudauthenticatiesystemen. Omdat de login via legitieme Microsoft-infrastructuur plaatsvindt, hebben traditionele phishingdetectietools vaak moeite om de activiteit als kwaadaardig te identificeren.
Onderzoekers van Arctic Wolf koppelden Kali365 eerder aan grootschalige campagnes die organisaties in de productie-, gezondheidszorg-, financiën-, overheids- en onderwijssectoren in Noord-Amerika en Europa beïnvloeden. Het bedrijf zei dat aanvallers realistische phishing-lokken gebruikten in combinatie met Microsofts legitieme apparaat-inlogstroom om persistente toegangstokens te verkrijgen.
Cybersecurity-experts waarschuwen dat de gestolen tokens langdurige toegang tot bedrijfsomgevingen kunnen bieden en mogelijk worden gebruikt voor zakelijke e-mailcompromittering, interne verkenning, datadiefstal, financiële fraude en het inzetten van ransomware.
De FBI adviseerde organisaties om waar mogelijk apparaatcode-authenticatiestromen te beperken of uit te schakelen en voorwaardelijke toegangsbeleid te implementeren dat risicovolle inlogpogingen blokkeren. De instantie adviseerde bedrijven ook om OAuth-applicatierechten te monitoren, verdachte authenticatiegebeurtenissen te beoordelen en ongeautoriseerde tokens onmiddellijk na het detecteren van compromitteringsactiviteit in te trekken.
Het agentschap waarschuwde gebruikers bovendien om voorzichtig te blijven met ongevraagde e-mails waarin authenticatieacties worden gevraagd, zelfs wanneer links wijzen naar legitieme Microsoft-domeinen.
Kali365 maakt deel uit van een groeiend ecosysteem van phishing-als-een-dienst-operaties die geavanceerde aanvalstechnieken bundelen in abonnementsgebaseerde platforms die via Telegram en ondergrondse cybercrime-gemeenschappen worden verkocht. Onderzoekers zeggen dat deze diensten geavanceerde accountover-aanvallen steeds toegankelijker maken voor onervaren dreigingsactoren.