Notícias, Golpes

O kit de phishing Kali365 contorna a autenticação multifator (MFA) e rouba credenciais de login da Microsoft

por Pieter Arntz | 27 de maio de 2026
phishing em grande escala

Quando o FBI (Federal Bureau of Investigation) publica um comunicado de serviço público específico sobre um novo kit de phishing, vale a pena prestar atenção.

A agência alerta agora para o «Kali365», uma plataforma de phishing como serviço (PhaaS) que permite até mesmo a atacantes com poucos conhecimentos técnicos sequestrar contas do Microsoft 365, roubando tokens de acesso em vez de palavras-passe.

Embora os primeiros relatos se centrem em ataques contra organizações, a técnica subjacente funciona com a mesma facilidade contra utilizadores individuais do Microsoft 365 que são levados a introduzir um código curto num site autêntico da Microsoft. Por outras palavras, não se trata apenas de um problema das empresas ou dos departamentos de TI. Pode afetar qualquer pessoa com uma subscrição do Outlook, do OneDrive ou do Microsoft 365.

Para os cibercriminosos que utilizam o kit, este oferece três vantagens claras:

  • Contorna a autenticação multifator (MFA) através do roubo de tokens de acesso, pelo que os códigos adicionais ou as aplicações deixam de ser úteis assim que o token é comprometido.
  • O Kali365 proporciona acesso contínuo. Os atacantes podem continuar a utilizar o Outlook, Teams e o OneDrive sem terem de iniciar sessão repetidamente, desde que o token de atualização roubado se mantenha válido.
  • Não é necessário ter muitos conhecimentos técnicos. Os cibercriminosos podem subscrever o Kali365 e lançar imediatamente campanhas de roubo de tokens em grande escala.

Como é que o ataque se apresenta?

As vítimas recebem uma mensagem de phishing que parece ter sido enviada por um serviço na nuvem ou uma ferramenta de colaboração, como uma notificação de partilha de documentos ou Teams . A mensagem inclui um «código do dispositivo» curto e instruções do tipo: «Aceda à página de verificação da Microsoft e introduza este código para visualizar o documento.»

É uma fraude ou é legítimo? O Scam Guard sabe.

Ao contrário de muitos e-mails de phishing, este redireciona-o para um URL real da Microsoft utilizado nos processos de início de sessão dos dispositivos. Para o utilizador, a página parece-lhe familiar e totalmente legítima, o que diminui a desconfiança.

As vítimas veem então os ecrãs habituais de início de sessão e de consentimento da Microsoft e podem pensar que estão simplesmente a realizar uma verificação de segurança normal. Nunca veem uma página falsa, nunca introduzem a sua palavra-passe num formulário suspeito e podem até ver a identidade visual da sua organização.

Mas o que não percebem é que deram acesso ao invasor.

Assim que a vítima aprovar o pedido, o dispositivo do atacante recebe tokens de acesso e de atualização OAuth associados à conta do Microsoft 365 da vítima. Estes tokens são o que a Microsoft utiliza para «lembrar» que já iniciou sessão e podem ser reutilizados para aceder ao Outlook, ao OneDrive, Teams e a outros serviços da Microsoft sem ter de introduzir novamente a palavra-passe.

Com tokens de atualização válidos, os atacantes podem manter o acesso a longo prazo até que os tokens sejam revogados ou expirem, muitas vezes misturando-se à atividade normal da conta.

Esse acesso pode permitir que os cibercriminosos:

  • Ler e-mails do Outlook, incluindo mensagens de redefinição de palavra-passe
  • Aceder a ficheiros armazenados no OneDrive ou no SharePoint
  • Enviar e-mails de phishing a colegas de trabalho, clientes, amigos ou familiares a partir da conta da vítima

Como se proteger

Uma vez no Outlook, os atacantes podem não só ler as suas mensagens, como também enviar novas mensagens convincentes a partir do seu endereço, utilizando a sua identidade para comprometer outras contas e contactos.

Algumas dicas para evitar esta situação:

  • Nunca introduza um código numa página de início de sessão da Microsoft apenas porque um e-mail ou uma mensagem lhe diz para o fazer. Só deve fazê-lo quando for você mesmo a iniciar o processo de início de sessão no seu próprio dispositivo.
  • Vá com calma e leia as instruções. Apressar-se nas aprovações de início de sessão sem as ler com atenção pode sair caro.
  • Desconfie de partilhas inesperadas de documentos, Teams ou pedidos de início de sessão, mesmo que utilizem páginas legítimas da Microsoft.
  • Verifique quais os dispositivos que estão ligados à sua conta em https://account.microsoft.com/devices/. Se encontrar dispositivos ou sessões de início de sessão desconhecidos, elimine-os, altere a palavra-passe da sua conta Microsoft e reveja as suas definições de segurança.

Dica profissional: Malwarebytes Guardpode ajudá-lo a descobrir se uma mensagem é uma fraude.

Sejamos realistas, uma janela de navegação anónima tem as suas limitações.

Violações de segurança, comércio na dark web, fraude de cartões de crédito. Malwarebytes Identity Theft monitoriza tudo isto, alerta-o rapidamente e inclui um seguro contra roubo de identidade. 

Sobre o autor

Pieter Arntz

Pieter Arntz

Investigador de Inteligência de Malware

Foi um Microsoft MVP em segurança do consumidor durante 12 anos consecutivos. Sabe falar quatro línguas. Cheira a mogno rico e a livros encadernados em pele.

ÚLTIMOS ARTIGOS

Notícias
Telemóvel em cima da mesa

A empresa gabava-se de que os microfones dos telemóveis conseguiam ouvir as conversas. Mas não conseguiam.

maio 27, 2026

A Cox Media afirmou que poderia espiar os utilizadores através dos seus dispositivos e utilizar essas informações para publicidade direcionada, mas isso não era verdade.

Privacy
LinkedIn

LinkedIn falsos LinkedIn utilizam o Adobe para rastrear as vítimas

maio 27, 2026

Os phishers estão a roubar LinkedIn , ao mesmo tempo que utilizam indevidamente o Adobe Target para rastrear as vítimas e redirecioná-las para LinkedIn reais LinkedIn .

Insectos
O ClickFix imita o Windows

Mais de 700 sites de educação e tecnologia foram alvo de um ataque na âmbito de uma vasta campanha do malware ClickFix

maio 26, 2026

Hackers explorar uma falha num site que utiliza o CMS Ghost para apresentar páginas falsas de verificação da Cloudflare, que pressionam os utilizadores a infetar os seus próprios computadores.

Artigos relacionados

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes