FBI, Microsoft 365 OAuth Token'larını Çalan 'Kali365' Phishing Kitine Karşı Uyardı Siber Güvenlik

FBI, Microsoft 365 OAuth Token'larını Çalan 'Kali365' Phishing Kitine Karşı Uyardı

FBI, Kali365 adlı phishing-as-a-service platformunun Microsoft 365 OAuth token'larını çalarak MFA'yı aştığını açıkladı. İşte detaylar ve korunma yolla

FBI, siber suçluların Microsoft 365 hesaplarını ele geçirmek için kullandığı yeni bir phishing-as-a-service (PhaaS) platformu olan Kali365 hakkında uyarı yayınladı. İlk olarak Nisan 2026'da tespit edilen bu platform, özellikle Telegram üzerinden dağıtılıyor. Kali365, teknik bilgisi düşük saldırganların bile yapay zeka destekli phishing e-postaları oluşturmasına, otomatik kampanya şablonları kullanmasına ve gerçek zamanlı hedef takip panolarına erişmesine olanak tanıyor. En kritik özelliği ise kullanıcıların kimlik bilgilerini çalmadan OAuth token'larını (Microsoft 365 erişim token'ları) ele geçirerek çok faktörlü kimlik doğrulamayı (MFA) bypass etmesi.

Kali365'in saldırı zinciri oldukça sinsi. FBI'ın 21 Mayıs'ta yayınladığı danışma belgesine göre, saldırgan öncelikle güvenilir bulut üretkenlik ve dosya paylaşım hizmetlerini taklit eden bir phishing e-postası gönderiyor. E-postada, kullanıcıdan bir cihaz kodu ve bu kodu Microsoft'un resmi doğrulama sayfasına girmesi talimatı yer alıyor. Kullanıcı, meşru Microsoft sayfasına gidip kodu yapıştırdığında, farkında olmadan saldırganın cihazının hesabına erişmesine izin vermiş oluyor. Bu sayede saldırgan, OAuth erişim ve yenileme token'larını ele geçirerek hedefin Microsoft 365 hesabına kalıcı erişim sağlıyor.

Elde edilen token'larla saldırgan, Outlook, Teams ve OneDrive gibi Microsoft 365 hizmetlerine şifre girmeden veya ek MFA adımları tamamlamadan erişebiliyor. Bu durum, saldırganın ele geçirilen hesapta kalıcılık kurmasına ve hassas verilere uzun süre erişmesine olanak tanıyor. FBI, Kali365'in özellikle düşük teknik seviyedeki siber suçlular için bir 'hizmet olarak phishing' sunduğunu ve bu durumun tehdit aktörlerinin sayısını artırabileceğini belirtiyor.

FBI, Kali365 benzeri tehditlerden korunmak için şu önlemleri öneriyor: Cihaz kodu akışını sınırlayarak veya bloke ederek cihaz doğrulama kodlarının kullanımını kısıtlayın; tüm kullanıcılar için cihaz kodu akışını engelleyen bir koşullu erişim politikası oluşturun (gerekli iş süreçleri için istisnalar yapılabilir); kimlik doğrulamanın bilgisayarlardan mobil cihazlara aktarılmasını engelleyen politikalar uygulayın; ve acil durum hesaplarını kilitlenmeyi önlemek için hariç tutun. Bu adımlar, OAuth token hırsızlığına karşı etkili bir savunma sağlayabilir.

Paylaş: