מה זה Kali365 ולמה ה-FBI מזהיר ממנו

ה-FBI פרסם לאחרונה אזהרה רשמית מפלטפורמת פישינג חדשה בשם Kali365 — שירות מנוי שמופץ דרך טלגרם ומאפשר לתוקפים לגנוב גישה לחשבונות Microsoft 365 גם כשמופעל אימות דו-שלבי (MFA). המחיר? 250 דולר לחודש. הכישורים הנדרשים? כמעט אפס.

Kali365 לא שובר סיסמאות ולא מיירט קודי SMS. הוא עובד בשיטה שנקראת Device Code Phishing — מתקפה שמנצלת תהליך אימות לגיטימי של מיקרוסופט נגד המשתמש עצמו.

איך המתקפה עובדת

התוקף שולח מייל פישינג שנראה כמו הודעה ממערכת ענן מוכרת — OneDrive, SharePoint, Teams. בתוך המייל יש קוד מכשיר (Device Code) והפניה לדף ההתחברות האמיתי של מיקרוסופט. הקורבן נכנס לדף הלגיטימי, מזין את הקוד, ובלי לדעת — מאשר לתוקף גישה לחשבון שלו.

ברגע שהתוקף מקבל את ה-OAuth Token, הוא יכול להיכנס ל-Outlook, Teams ו-OneDrive בלי סיסמה ובלי MFA נוסף. הגישה נשארת פעילה עד שמישהו שולל את ה-Token באופן ידני.

למה MFA רגיל לא עוצר את זה

כי המשתמש כבר עבר את ה-MFA בעצמו. המתקפה לא עוקפת את האימות — היא גורמת למשתמש לבצע אותו בשביל התוקף. זו הנדסה חברתית בצורתה הכי מתוחכמת.

לפי נתוני מיקרוסופט, קמפייני פישינג מבוססי AI כבר מגיעים לשיעורי לחיצה של 54%, לעומת 12% בפישינג הישן. ו-Kali365 מגיע עם תבניות מוכנות, מעקב בזמן אמת אחרי קורבנות, ופיתיונות שנוצרו באמצעות AI. בקיצור — תעשייה.

איך מגנים על הארגון

הצעד הראשון: לחסום Device Code Flow ב-Conditional Access של Entra ID. רוב העסקים הקטנים לא צריכים את זה בכלל. הצעד השני: לעבור לאימות Phishing-Resistant — כלומר Passkeys, FIDO2 Keys או Windows Hello. הצעד השלישי: לנטר כניסות חריגות — כתובות IP לא מוכרות, User Agents חדשים, כניסות Impossible Travel.

וזה בדיוק מה שעושה שירות ניטור האבטחה של M-Challenge. אנחנו עוקבים אחרי דפוסי כניסה חריגים, מזהים העברות דואר חשודות, ומתריעים לפני שתוקף מספיק לעשות נזק.

רוצים לדעת אם הארגון שלכם חשוף? פנו אלינו לבדיקה.