Wiadomości, oszustwa

Zestaw phishingowy Kali365 omija uwierzytelnianie wieloskładnikowe (MFA) i kradnie dane logowania do usług Microsoftu

autor: Pieter Arntz | 27 maja 2026 r.
phishing na dużą skalę

Kiedy Federalne Biuro Śledcze (FBI) publikuje specjalny komunikat społeczny dotyczący nowego zestawu do phishingu, warto zwrócić na to uwagę.

Agencja ostrzega obecnie przed platformą „Kali365” typu phishing-as-a-service (PhaaS), która umożliwia nawet mało doświadczonym hakerom przejęcie kontroli nad kontami Microsoft 365 poprzez kradzież tokenów dostępu zamiast haseł.

Chociaż wczesne doniesienia skupiają się na atakach wymierzonych w organizacje, ta sama technika działa równie skutecznie w przypadku indywidualnych użytkowników Microsoft 365, których nakłania się do wpisania krótkiego kodu na prawdziwej stronie internetowej Microsoftu. Innymi słowy, nie jest to problem dotyczący wyłącznie firm czy działów IT. Może to dotknąć każdego, kto korzysta z Outlooka, OneDrive’a lub posiada subskrypcję Microsoft 365.

Dla cyberprzestępców korzystających z tego zestawu ma on trzy wyraźne zalety:

  • Ominięto w ten sposób uwierzytelnianie wieloskładnikowe (MFA) poprzez kradzież tokenów dostępu, więc dodatkowe kody lub aplikacje przestają być skuteczne, gdy token zostanie naruszony.
  • Usługa Kali365 zapewnia stały dostęp. Atakujący mogą nadal korzystać z programów Outlook, Teams i OneDrive bez konieczności wielokrotnego logowania się, o ile skradziony token odświeżający pozostaje ważny.
  • Nie wymaga to dużych umiejętności technicznych. Cyberprzestępcy mogą wykupić subskrypcję Kali365 i od razu rozpocząć zakrojone na szeroką skalę kampanie mające na celu kradzież tokenów.

Jak wygląda ten atak?

Ofiary otrzymują wiadomość phishingową, która wygląda, jakby pochodziła z serwisu w chmurze lub narzędzia do współpracy, na przykład powiadomienie o udostępnieniu dokumentu lub Teams . Wiadomość zawiera krótki „kod urządzenia” oraz instrukcje w stylu: „Przejdź na stronę weryfikacyjną firmy Microsoft i wprowadź ten kod, aby wyświetlić dokument”.

Oszustwo czy uczciwa oferta? Scam Guard to wie.

W odróżnieniu od wielu wiadomości phishingowych ta przekierowuje użytkownika na prawdziwy adres URL firmy Microsoft, wykorzystywany w procesie logowania na urządzeniach. Dla użytkownika strona wygląda znajomo i całkowicie wiarygodnie, co zmniejsza jego podejrzliwość.

Ofiary widzą wtedy standardowe ekrany logowania i wyrażania zgody firmy Microsoft i mogą sądzić, że po prostu przechodzą zwykłą procedurę weryfikacji bezpieczeństwa. Nigdy nie widzą fałszywej strony, nigdy nie wpisują hasła w podejrzanym formularzu, a nawet mogą dostrzec elementy identyfikacji wizualnej swojej organizacji.

Nie zdają sobie jednak sprawy, że w ten sposób umożliwili atakującemu dostęp do systemu.

Gdy ofiara zatwierdzi prośbę, urządzenie atakującego otrzymuje tokeny dostępu i odświeżania OAuth powiązane z kontem Microsoft 365 ofiary. Tokeny te służą firmie Microsoft do „zapamiętania”, że użytkownik jest już zalogowany, i można ich używać ponownie w celu uzyskania dostępu do aplikacji Outlook, OneDrive, Teams oraz innych usług Microsoftu bez konieczności ponownego wprowadzania hasła.

Dysponując ważnymi tokenami odświeżającymi, osoby atakujące mogą utrzymać długotrwały dostęp do momentu unieważnienia lub wygaśnięcia tokenów, często wtapiając się w normalną aktywność na koncie.

Dostęp ten może umożliwić cyberprzestępcom:

  • Czytaj wiadomości e-mail z programu Outlook, w tym wiadomości dotyczące resetowania hasła
  • Uzyskaj dostęp do plików przechowywanych w usłudze OneDrive lub SharePoint
  • Wysyłaj wiadomości phishingowe do współpracowników, klientów, znajomych lub rodziny z konta ofiary

Jak się chronić

Po uzyskaniu dostępu do programu Outlook osoby atakujące mogą nie tylko przeglądać Twoje wiadomości, ale także wysyłać nowe, wiarygodne wiadomości z Twojego adresu, wykorzystując Twoją tożsamość do przejęcia kolejnych kont i kontaktów.

Kilka wskazówek, jak tego uniknąć:

  • Nigdy nie wpisuj kodu na stronie logowania Microsoftu tylko dlatego, że tak nakazuje Ci wiadomość e-mail lub komunikat. Powinieneś to robić wyłącznie wtedy, gdy sam zainicjowałeś logowanie na swoim urządzeniu.
  • Zatrzymaj się na chwilę i przeczytaj instrukcje. Pośpieszne zatwierdzanie logowań bez dokładnego zapoznania się z nimi może drogo kosztować.
  • Należy zachować ostrożność w przypadku nieoczekiwanych próśb o udostępnienie dokumentów, Teams lub próśb o logowanie, nawet jeśli wykorzystują one autentyczne strony firmy Microsoft.
  • Sprawdź, jakie urządzenia są zalogowane na Twoim koncie pod adresem https://account.microsoft.com/devices/. Jeśli zauważysz nieznane urządzenia lub logowania, usuń je, zmień hasło do konta Microsoft i sprawdź ustawienia zabezpieczeń.

Wskazówka: Funkcja Malwarebytes Guardpomoże Ci ustalić, czy dana wiadomość jest oszustwem.

Spójrzmy prawdzie w oczy – okno incognito ma swoje ograniczenia.

Naruszenia bezpieczeństwa, handel na dark webie, oszustwa kredytowe. Theft Malwarebytes Identity Theft monitoruje wszystkie te zagrożenia, szybko Cię o nich powiadamia i obejmuje ubezpieczenie od kradzieży tożsamości. 

O autorze

Pieter Arntz

Pieter Arntz

Badacz złośliwego oprogramowania

Przez 12 lat z rzędu był Microsoft MVP w dziedzinie bezpieczeństwa konsumentów. Mówi w czterech językach. Pachnie bogatym mahoniem i oprawionymi w skórę książkami.

NAJNOWSZE ARTYKUŁY

Aktualności
Telefon na stole

Firma chwaliła się, że mikrofony w telefonach mogą podsłuchiwać rozmowy. Okazało się, że nie potrafiły tego robić.

May 27, 2026

Firma Cox Media twierdziła, że może śledzić użytkowników za pośrednictwem ich urządzeń i wykorzystywać te informacje do wyświetlania reklam ukierunkowanych, ale okazało się, że to nieprawda.

Ochrona prywatności
LinkedIn

Fałszywe LinkedIn wykorzystują oprogramowanie Adobe do śledzenia ofiar

May 27, 2026

Oszuści kradną LinkedIn , wykorzystując narzędzie Adobe Target do śledzenia ofiar i przekierowywania ich na prawdziwe LinkedIn .

Błędy
ClickFix naśladuje Windows

Ponad 700 stron internetowych poświęconych edukacji i technologii zostało przejętych w ramach zakrojonej na szeroką skalę kampanii złośliwego oprogramowania ClickFix

May 26, 2026

Hackers lukę w zabezpieczeniach serwisu opartego na systemie CMS Ghost, aby wyświetlać fałszywe strony weryfikacyjne Cloudflare, które nakłaniają użytkowników do zainfekowania własnych komputerów.

Powiązane artykuły

Ikona współtwórców

Współtwórcy

Ikona Centrum zagrożeń

Centrum ds. zagrożeń

Ikona podcastów

Podcast

Ikona słowniczka

Słowniczek

Ikona oszustwa

Oszustwa