FBI, Microsoft 365 hesaplarını ele geçirmek için kullanılan ve çok faktörlü kimlik doğrulama korumalarını atlamak için kullanılan Kali365 adlı hızla büyüyen bir oltalama hizmet olarak platformu hakkında bir warning açıklama yayınladı.
İnternet Suçu Şikayet Merkezi (IC3) aracılığıyla yayımlanan yeni bir FBI Kamu Hizmeti Duyurusu’na göre, Kali365 ilk olarak Nisan 2026’da ortaya çıktı ve esas olarak siber suçlular tarafından kullanılan Telegram kanalları üzerinden dağıtılıyor. Platform, saldırganların Microsoft 365 OAuth erişim tokenlarını doğrudan şifre veya MFA kodlarını ele geçirmeden çalmalarını sağlıyor.
FBI, Kali365’in hazır oltalama altyapısı, yapay zeka tarafından oluşturulmuş oltalama yemleri, otomatik kampanya şablonları, mağdur takip panelleri ve token yakalama araçları sağlayarak daha az vasıflı siber suçlular için engeli azalttığını belirtti.
Sahte giriş sayfalarına dayanan geleneksel oltalama saldırılarının aksine, Kali365 Microsoft’un yasal cihaz kimlik doğrulama sürecini kötüye kullanır. Tipik bir saldırıda, mağdurlar güvenilir bulut veya belge paylaşım hizmetlerini taklit eden e-postalar alır. Mesajlar, kullanıcıları Microsoft’un gerçek doğrulama sayfasına yönlendiren ve verilen cihaz kodunu girmeleri için yönlendiren talimatlar içeriyor.
Kod girildikten sonra, mağdurlar farkında olmadan saldırganın cihazına Microsoft 365 ortamlarına erişim izni veriyor. Saldırganlar daha sonra OAuth erişimini ele geçirip tokenları yeniler; böylece ek MFA istemleri olmadan Outlook, Teams ve OneDrive gibi servislere kalıcı erişim sağlanır.
Güvenlik araştırmacıları bu tekniği “cihaz kodu oltalama” olarak tanımlıyor; bulut kimlik doğrulama sistemlerini hedef alan büyüyen bir saldırı yöntemi. Giriş meşru Microsoft altyapısı üzerinden gerçekleştiği için, geleneksel oltalama tespit araçları genellikle etkinliği kötü niyetli olarak tanımlamakta zorlanır.
Arctic Wolf araştırmacıları daha önce Kali365’i Kuzey Amerika ve Avrupa’daki üretim, sağlık, finans, hükümet ve eğitim sektörlerindeki kuruluşları etkileyen büyük ölçekli kampanyalarla ilişkilendirmişti. Şirket, saldırganların, Microsoft’un meşru cihaz giriş akışıyla birleştirilmiş gerçekçi oltalama yemleri kullanarak kalıcı erişim tokenları elde ettiğini söyledi.
Siber güvenlik uzmanları, çalınan tokenların kurumsal ortamlara uzun vadeli erişim sağlayabileceği ve iş e-posta ele geçirme, iç keşif, veri hırsızlığı, finansal dolandırıcılık ve fidye yazılımı dağıtımı için kullanılabileceği konusunda uyarıda bulunuyor.
FBI, kuruluşların mümkün olduğunda cihaz kodu kimlik doğrulama akışlarını kısıtlamalarını veya devre dışı bırakmalarını ve riskli giriş girişlerini engelleyen koşullu erişim politikaları uygulamalarını önerdi. Ajans ayrıca şirketlere OAuth uygulama izinlerini izlemeleri, şüpheli kimlik doğrulama olaylarını incelemeleri ve tehlikeli etkinlik tespit ettikten hemen sonra yetkisiz tokenları iptal etmelerini tavsiye etti.
Ajans ayrıca, kullanıcıları, bağlantılar yasal Microsoft alan adlarına işaret etse bile, kimlik doğrulama işlemleri talep eden istenmeyen e-postalara karşı dikkatli olmaları konusunda uyardı.
Kali365, gelişmiş saldırı tekniklerini Telegram ve yeraltı siber suç toplulukları aracılığıyla satılan abonelik tabanlı platformlara paketleyen büyüyen bir oltalama hizmet olarak operasyon ekosistemine katılıyor. Araştırmacılar, bu hizmetlerin gelişmiş hesap ele geçirme saldırılarını deneyimsiz tehdit aktörleri için giderek daha erişilebilir hale getirdiğini söylüyor.