FBI je upozorio na novu kampanju krađe identiteta koja cilja Microsoft 365 račune, a posebno je opasna jer napadačima može omogućiti pristup korisničkim računima bez klasične krađe lozinke. Riječ je o alatu Kali365, takozvanom Phishing-as-a-Service servisu, odnosno gotovom paketu za phishing koji kriminalcima omogućuje da napade provode jednostavnije, brže i uz manje tehničkog znanja. Takve platforme sve više pretvaraju kibernetički kriminal u svojevrsni pretplatnički model, u kojem napadači ne moraju sami graditi infrastrukturu za prijevare, piše TechRadar.
Kali365 koristi lažne, često vrlo uvjerljive poruke koje mogu biti generirane uz pomoć umjetne inteligencije. Žrtve se zatim usmjeravaju na legitimne Microsoftove stranice za provjeru identiteta. Upravo zato napad može izgledati uvjerljivo: korisnik ne završava na očito lažnoj stranici, nego sam potvrđuje pristup kroz pravi Microsoftov proces.
Ključ napada su OAuth tokeni, digitalni “ključevi” koji aplikacijama omogućuju pristup računima i servisima bez ponovnog unosa lozinke. Ako ih napadač uspije ukrasti, može pristupiti Outlooku, Teamsu i OneDriveu, i to bez dodatne provjere identiteta. Stručnjaci upozoravaju da je problem posebno ozbiljan jer ovakvi napadi mogu zaobići višefaktorsku autentifikaciju. Drugim riječima, korisnik ne mora otkriti lozinku da bi račun bio kompromitiran. Dovoljno je da, misleći kako potvrđuje legitimni zahtjev, odobri pristup napadaču.
Phishing poruke u takvim kampanjama mogu izgledati kao poziv na razgovor za posao, zahtjev za pristup dokumentu, interna obavijest ili bilo koja druga svakodnevna poslovna komunikacija. Zbog korištenja AI alata sve ih je teže prepoznati jer su često gramatički ispravne, dobro sročene i prilagođene kontekstu.
FBI zato preporučuje tvrtkama da posebnu pozornost posvete edukaciji zaposlenika i redovitom praćenju novih phishing obrazaca. Zaposlenici bi trebali biti oprezni prema neočekivanim Microsoftovim zahtjevima za prijavu ili potvrdu pristupa, osobito ako sami nisu pokušali otvoriti račun ili aplikaciju.
Druga važna mjera odnosi se na postavke pristupa u Microsoft 365 okruženju. FBI preporučuje blokiranje takozvanog device code flowa za sve korisnike, ako se ne koristi za legitimne poslovne potrebe. Upravo se taj mehanizam u Kali365 napadu zloupotrebljava: napadač generira kod na svom uređaju, a žrtva ga unosi na Microsoftovoj stranici, čime nesvjesno odobrava pristup.
Ako je ta metoda autentifikacije blokirana, napad neće uspjeti čak ni ako korisnik nasjedne i unese kod. Ipak, stručnjaci savjetuju da se prije potpunog blokiranja provjeri koristi li se device code flow u organizaciji za legitimne uređaje ili aplikacije, kako se ne bi poremetilo svakodnevno poslovanje.
Treća preporuka odnosi se na ograničavanje takozvanih authentication transfer politika. Microsoft je tu mogućnost uveo kako bi korisnicima olakšao prijavu s jednog uređaja na drugi, primjerice skeniranjem QR koda. No ista pogodnost može pomoći napadačima da svoje uređaje učine “pouzdanima” nakon što dobiju pristup računu.
Blokiranjem takvih prijenosa autentifikacije tvrtke mogu smanjiti rizik da napadači produže pristup kompromitiranom računu. Istodobno se smanjuje mogućnost da zaposlenici poslovne račune koriste na neupravljanim privatnim uređajima, što također može predstavljati sigurnosni rizik.
Stručnjakinja za kibernetičku sigurnost Deborah Galea iz tvrtke Filigran upozorava da su PhaaS platforme poput Kali365 sve dostupnije i opasnije jer značajno spuštaju prag za ulazak u kibernetičke prevate. Prema njezinim riječima, Kali365 je posebno problematičan jer omogućuje preuzimanje Microsoft 365 računa bez izravne krađe vjerodajnica.
Andrea Sivieri iz tvrtke CoreView ističe da napadači sve češće ne “provaljuju” u Microsoft 365, nego se prijavljuju koristeći funkcije koje je Microsoft izgradio za legitimne potrebe. Upravo zato klasična višefaktorska autentifikacija nije uvijek dovoljna ako korisnik sam, nesvjesno, odobri pristup.