Notícias, Golpes

O kit de phishing Kali365 contorna a autenticação de duas etapas (MFA) e rouba credenciais de login da Microsoft

por Pieter Arntz | 27 de maio de 2026
phishing em grande escala

Quando o FBI (Federal Bureau of Investigation) divulga um comunicado de utilidade pública específico sobre um novo kit de phishing, vale a pena prestar atenção.

A agência está alertando sobre o “Kali365”, uma plataforma de phishing como serviço (PhaaS) que ajuda até mesmo invasores pouco experientes a sequestrar contas do Microsoft 365 roubando tokens de acesso em vez de senhas.

Embora os primeiros relatos se concentrem em ataques contra organizações, a técnica subjacente funciona com a mesma facilidade contra usuários individuais do Microsoft 365 que são levados a inserir um código curto em um site oficial da Microsoft. Em outras palavras, este não é apenas um problema das empresas ou dos departamentos de TI. Isso pode afetar qualquer pessoa com uma assinatura do Outlook, do OneDrive ou do Microsoft 365.

Para os cibercriminosos que utilizam o kit, ele oferece três vantagens claras:

  • Ele contorna a autenticação multifatorial (MFA) roubando tokens de acesso; assim, códigos adicionais ou aplicativos deixam de ser úteis assim que o token é comprometido.
  • O Kali365 oferece acesso contínuo. Os invasores podem continuar usando o Outlook, Teams e o OneDrive sem precisar fazer login repetidamente, desde que o token de atualização roubado permaneça válido.
  • Não é necessário ter muitos conhecimentos técnicos. Os cibercriminosos podem se inscrever no Kali365 e, imediatamente, lançar campanhas de roubo de tokens em grande escala.

Como é esse ataque?

As vítimas recebem uma mensagem de phishing que parece ter sido enviada por um serviço em nuvem ou uma ferramenta de colaboração, como uma notificação de compartilhamento de documentos ou Teams . A mensagem inclui um breve “código do dispositivo” e instruções como: “Acesse a página de verificação da Microsoft e insira este código para visualizar o documento.”

É fraude ou é legítimo? O Scam Guard sabe.

Ao contrário de muitos e-mails de phishing, este redireciona você para um URL real da Microsoft usado nos processos de login de dispositivos. Para o usuário, a página parece familiar e totalmente legítima, o que diminui a desconfiança.

As vítimas veem então as telas padrão de login e consentimento da Microsoft e podem pensar que estão simplesmente passando por uma verificação de segurança normal. Elas nunca veem uma página falsa, nunca digitam sua senha em um formulário suspeito e podem até mesmo ver a identidade visual da sua organização.

Mas o que eles não percebem é que acabaram de dar acesso ao invasor.

Assim que a vítima aprova a solicitação, o dispositivo do invasor recebe tokens de acesso e de atualização OAuth vinculados à conta do Microsoft 365 da vítima. Esses tokens são o que a Microsoft usa para “lembrar” que você já está conectado e podem ser reutilizados para acessar o Outlook, o OneDrive, Teams e outros serviços da Microsoft sem precisar digitar a senha novamente.

Com tokens de atualização válidos, os invasores podem manter o acesso por um longo período até que os tokens sejam revogados ou expirem, muitas vezes passando despercebidos em meio à atividade normal da conta.

Esse acesso pode permitir que os cibercriminosos:

  • Leia e-mails do Outlook, incluindo mensagens de redefinição de senha
  • Acessar arquivos armazenados no OneDrive ou no SharePoint
  • Enviar e-mails de phishing para colegas de trabalho, clientes, amigos ou familiares a partir da conta da vítima

Como se proteger

Uma vez no Outlook, os invasores podem não apenas ler suas mensagens, mas também enviar novas mensagens convincentes a partir do seu endereço, usando sua identidade para comprometer outras contas e contatos.

Algumas dicas para evitar essa situação:

  • Nunca digite um código na página de login da Microsoft apenas porque um e-mail ou mensagem lhe pede para fazê-lo. Você só deve fazer isso quando for você mesmo quem iniciar o login no seu próprio dispositivo.
  • Vá com calma e leia as instruções. Apressar-se nas aprovações de login sem lê-las com atenção pode sair caro.
  • Desconfie de compartilhamentos inesperados de documentos, Teams ou solicitações de login, mesmo que utilizem páginas legítimas da Microsoft.
  • Verifique quais dispositivos estão conectados à sua conta em https://account.microsoft.com/devices/. Se encontrar dispositivos ou sessões desconhecidas, remova-os, altere a senha da sua conta da Microsoft e verifique suas configurações de segurança.

Dica profissional: Malwarebytes Guardpode ajudar você a descobrir se uma mensagem é uma fraude.

Vamos ser sinceros: uma janela anônima tem suas limitações.

Violações de dados, comércio na dark web, fraudes de crédito. Malwarebytes Identity Theft monitora tudo isso, avisa você rapidamente e inclui um seguro contra roubo de identidade. 

Sobre o autor

Pieter Arntz

Pieter Arntz

Pesquisador de inteligência de malware

Foi Microsoft MVP em segurança do consumidor por 12 anos consecutivos. Fala quatro idiomas. Cheira a mogno e a livros encadernados em couro.

ÚLTIMOS ARTIGOS

Notícias
Celular sobre a mesa

A empresa se gabava de que os microfones dos telefones podiam escutar conversas. Mas não podiam.

Maio 27, 2026

A Cox Media afirmou que poderia espionar os usuários por meio de seus dispositivos e usar essas informações para publicidade direcionada, mas isso não era verdade.

Privacy
LinkedIn

LinkedIn falsos LinkedIn se aproveitam do Adobe para rastrear as vítimas

Maio 27, 2026

Os phishers estão roubando LinkedIn enquanto se valem do Adobe Target para rastrear as vítimas e redirecioná-las para LinkedIn reais LinkedIn .

Insetos
O ClickFix imita o Windows

Mais de 700 sites de educação e tecnologia foram invadidos em uma grande campanha do malware ClickFix

Maio 26, 2026

Hackers explorando uma falha no CMS Ghost para exibir páginas falsas de verificação da Cloudflare, que pressionam os usuários a infectarem seus próprios computadores.

Artigos relacionados

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes