FBI, Kali365 adlı yeni bir hizmet olarak kimlik avı (PhaaS) platformunun öncelikle Telegram aracılığıyla dağıtıldığı konusunda uyardı.
İlk olarak Nisan 2026'da tespit edilen Kali365, siber tehdit aktörlerine yapay zeka tarafından oluşturulan kimlik avı tuzaklarına, otomatik kampanya şablonlarına, gerçek zamanlı hedefli birey ve varlık izleme kontrol panellerine erişim sağlar.
Ayrıca teknik açıdan düşük seviyeli kişilerin OAuth belirteçlerini (Microsoft 365 erişim belirteçleri) yakalamasına ve kullanıcının kimlik bilgilerine müdahale etmeden çok faktörlü kimlik doğrulama (MFA) protokollerini atlamasına olanak tanır.
Kali365 platformu aboneliği sayesinde siber tehdit aktörleri, hedeflenen kişilerin/kurumların Microsoft 365 ortamlarına kalıcı erişim sağlayabilir.
Kali365 Saldırı Zinciri
FBI tarafından 21 Mayıs'ta yayınlanan bir danışma belgesinde ayrıntılı olarak açıklanan tipik bir saldırı zincirinde, bir saldırgan, güvenilir bulut üretkenliğini ve belge paylaşım hizmetlerini taklit eden bir kimlik avı e-postası göndererek dolandırıcılığı başlatır.
Bu e-posta, yasal bir Microsoft doğrulama sayfasını ziyaret etme ve kodu girme talimatlarının yanı sıra bir cihaz kodu içerir.
Teknik Analiz
Kurbanlar gerçek Microsoft sayfasına gider ve cihaz kodunu yapıştırır, böylece farkında olmadan saldırganın cihazının kendi hesaplarına erişmesine izin verir.
Saldırgan daha sonra OAuth erişimini yakalar ve belirteçleri yenileyerek hedeflenen kişi veya kuruluşların Microsoft 365 hesabına erişim sağlar.
Sonuç ve Değerlendirme
Saldırgan, elindeki bu belirteçlerle artık bir parolaya ihtiyaç duymadan veya herhangi bir ek MFA sorgulamasını tamamlamadan Outlook, Teams ve OneDrive gibi Microsoft 365 hizmetlerine erişebilir, böylece ele geçirilen hesapta kalıcılık sağlanır.
Kali365 Benzeri Tehditleri Azaltma
Önemli Gelişmeler
Kali365 özellikli siber suçluların hedefi olma tehdidini azaltmak için FBI aşağıdaki önlemleri önerdi:
Cihaz kimlik doğrulama kodlarını sınırlamak veya engellemek için cihaz kodu akışını kısıtlayın
Sistem Güvenliği
Gerekli iş süreçleri için sınırlı istisnalar dışında, tüm kullanıcılar için cihaz kodu akışını engellemek üzere koşullu bir erişim politikası oluşturun
Kullanıcıların kimlik doğrulamasını bilgisayarlardan mobil cihazlara aktarmalarını önlemek için kimlik doğrulama aktarım ilkelerini engelleyin
Gelecekte Ne Bekleniyor?
Kilitlenmeleri önlemek için acil erişim hesaplarını hariç tutun
Uzmanların Görüşleri
Resim kredisi: Ed Hardie / Unsplash