Microsoft Teams, Outlook і OneDrive опинилися в центрі нового попередження ФБР: кіберзлочинці використовують фішингову платформу Kali365, яка дозволяє отримати доступ до облікових записів Microsoft 365 без викрадення пароля. Про це повідомляє редакція сайту Realnist, посилаючись на INC.
Ключова небезпека цієї схеми — не у підробленій сторінці входу, а у зловживанні легальним механізмом Microsoft для входу через код пристрою. Користувач сам переходить на справжню сторінку Microsoft, вводить код із фішингового листа і фактично дозволяє пристрою зловмисника отримати доступ до свого акаунта. Після цього атакувальник може працювати з поштою Outlook, файлами OneDrive і комунікаціями Teams без пароля та без повторного проходження MFA.
Що саме попередило ФБР
ФБР описує Kali365 як платформу Phishing-as-a-Service — тобто фішинг “як послуга”. Це не одиничний лист і не проста сторінка для крадіжки логіна. Це набір інструментів, який продається або поширюється серед кіберзлочинців і дає їм готову інфраструктуру для атак на Microsoft 365.
За даними ФБР, Kali365 вперше зафіксували у квітні 2026 року. Платформа переважно поширювалася через Telegram і дозволяла атакувальникам отримувати токени доступу Microsoft 365, обходячи багатофакторну автентифікацію без перехоплення облікових даних користувача. Саме це робить атаку особливо небезпечною для компаній, які вважають, що MFA автоматично закриває більшість ризиків.
ФБР прямо вказує, що через підписку на Kali365 злочинці можуть захоплювати OAuth-токени та отримувати стійкий доступ до середовищ Microsoft 365 окремих людей або організацій.
У попередженні бюро зазначено: “Kali365 lowers the barrier of entry” — тобто платформа знижує поріг входу для менш технічно підготовлених атакувальників.
Це означає, що складні атаки тепер можуть запускати не лише досвідчені групи, а й шахраї з мінімальними технічними навичками. Вони отримують готові шаблони кампаній, фішингові приманки, згенеровані за допомогою ШІ, панелі моніторингу цілей у реальному часі та інструменти для перехоплення OAuth-токенів.
Як працює атака Kali365
Схема виглядає просто, але саме в цьому її сила. Людина отримує лист, який імітує повідомлення від хмарного сервісу, платформи для обміну документами або іншого знайомого інструмента. У листі є код пристрою та інструкція перейти на справжню сторінку підтвердження Microsoft.
Далі користувач вводить код на легітимному домені Microsoft. Тут немає очевидної “червоної лампочки”: адреса виглядає справжньою, SSL-сертифікат дійсний, парольний менеджер не сигналізує про фейковий сайт. Але код належить не користувачу, а пристрою або сесії атакувальника.
Після введення коду відбувається авторизація пристрою злочинця. Атакувальник отримує OAuth access token і refresh token — технічні ключі, які дозволяють працювати з акаунтом без знання пароля. ФБР окремо підкреслює, що після цього зловмисник може отримати доступ до Outlook, Teams і OneDrive без нового пароля та без додаткового MFA-виклику.
Коротко схема виглядає так:
- користувач отримує фішинговий лист із кодом пристрою;
- лист просить перейти на справжню сторінку Microsoft;
- жертва вводить код, думаючи, що підтверджує доступ до документа або сервісу;
- Microsoft авторизує пристрій атакувальника;
- злочинець отримує OAuth-токени;
- акаунт Microsoft 365 стає доступним без пароля;
- через Outlook, Teams або OneDrive можуть викрадати листування, файли, контакти й внутрішні документи.
Чому ця схема небезпечніша за звичайний фішинг
Класичний фішинг зазвичай тримається на підробленій сторінці входу. Людину змушують ввести логін і пароль на сайті, який лише схожий на Microsoft, Google або банк. У Kali365 інший підхід: атакувальники використовують справжній механізм Microsoft — device code flow.
Цей механізм потрібен для пристроїв, де складно вводити пароль: телевізорів, консолей, деяких службових пристроїв або застосунків. Користувач бачить короткий код на одному пристрої, відкриває сторінку Microsoft на іншому та підтверджує доступ. У нормальному сценарії це зручно. У фішинговому сценарії — це спосіб віддати доступ чужому пристрою.
Дослідники Huntress у червні 2026 року описали Kali365 як не просто одну фішингову сторінку, а цілу екосистему. Вони виявили понад 240 IP-адрес із панелями або пов’язаною інфраструктурою, щонайменше 33 шаблони приманок, білінг, ринок доменів, рольову модель доступу та інструменти для подальших атак через скомпрометовані поштові скриньки.
Окрема проблема — стійкість доступу. Якщо організація просто змінить пароль користувача, це не завжди прибере ризик, бо атакувальник може мати refresh token і продовжувати сесію. Тому реакція має включати не лише зміну пароля, а й відкликання токенів, перевірку активних сесій, журналів входу, підключених пристроїв і правил доступу.
Кого це стосується
Попередження ФБР насамперед важливе для компаній, державних установ, освітніх організацій, медичних закладів і всіх, хто використовує Microsoft 365 як робоче середовище. Але ризик не обмежується великим бізнесом. Якщо людина користується Outlook, Teams або OneDrive для роботи з документами, рахунками, контрактами, клієнтськими базами чи внутрішніми чатами, її акаунт може стати ціллю.
Для бізнесу компрометація одного акаунта часто відкриває шлях до ширшої атаки.
Через Outlook — можна знайти фінансове листування, рахунки, реквізити, переговори з партнерами.
Через Teams — отримати внутрішній контекст, імена співробітників, робочі процеси.
Через OneDrive — завантажити документи, таблиці, презентації, договори або персональні дані.
Huntress також вказує, що Kali365 може використовуватися для наступних етапів шахрайства, зокрема business email compromise — атак, коли злочинці зламують або імітують корпоративну пошту, щоб змінювати реквізити платежів, виманювати гроші або запускати нові фішингові листи вже з довіреної адреси.
Що радить ФБР користувачам і адміністраторам
ФБР радить організаціям обмежити або заблокувати використання device code flow, якщо цей механізм не потрібен для реальних бізнес-процесів. Найпряміший захист — політика умовного доступу, яка блокує автентифікацію через коди пристроїв для всіх користувачів, крім чітко визначених винятків.
Перед повним блокуванням варто провести аудит: у деяких компаніях device code flow може використовуватися легітимними пристроями або службами. Але якщо такої потреби немає, залишати цей канал відкритим небезпечно.
Основні дії для захисту:
- не вводити коди пристрою Microsoft, якщо ви самі не ініціювали вхід;
- не переходити за інструкціями з листів, які обіцяють “захищений документ”, “терміновий файл” або “підтвердження доступу”;
- перевіряти активні сесії та підключені пристрої в акаунті Microsoft;
- адміністраторам — переглянути журнали входу, особливо device code authentication;
- налаштувати conditional access policy для блокування device code flow;
- відкликати токени та сесії для акаунтів, де є підозрілі входи;
- окремо перевірити Outlook rules, forwarding, делегований доступ і нові пристрої;
- навчити співробітників: справжня сторінка Microsoft не гарантує безпеки, якщо код прийшов у підозрілому листі.
ФБР також радить постраждалим подавати скаргу через IC3. У зверненні потрібно додати максимум технічних даних: фішинговий лист із заголовками, час підозрілого входу, IP-адресу, геолокацію, дані про невідомі пристрої або активні сесії.
Читайте також: Огляд застосунку Дія 2026: усі функції та послуги
