ФБР предупреждава: Нова фишинг платформа „Kali365“ хаква Microsoft 365 без парола и заобикаля двуфакторната защита

Нова и изключително опасна фишинг платформа позволява на киберпрестъпниците да получат пълен достъп до потребителските акаунти в Microsoft 365, без дори да се налага да знаят вашата парола. Федералното бюро за разследване (ФБР) на САЩ издаде официално предупреждение към бизнеса и широката общественост относно бързо разпространяващия се инструмент, наречен Kali365.

Какво представлява Kali365 и как работи измамата?

Киберплатформата Kali365 е засечена за първи път в началото на пролетта и се разпространява предимно чрез популярното приложение за съобщения Telegram. Това, което я прави толкова опасна за съвременната корпоративна и лична сигурност, е способността ѝ изцяло да заобикаля многофакторната автентикация (MFA) – защитна стена, която доскоро се смяташе за една от най-сигурните бариери срещу хакерски атаки.

Измамата започва с класическа, но изключително прецизно маскирана стръв. Обикновено жертвата получава фишинг имейл, който перфектно имитира доверен източник – например услуга за споделяне на документи, легитимно фирмено известие или платформа за електронни подписи.

„Този фишинг имейл съдържа т.нар. ‘код на устройството’ (device code) заедно с инструкции потребителят да посети напълно легитимна страница за проверка на Microsoft и да въведе въпросния код там“, предупреждават от ФБР.

Тук се крие и най-големият капан на атаката: потребителят наистина бива пренасочен към официалния и реален сайт на Microsoft за вход чрез външно устройство. Тъй като уеб страницата е истинска, антивирусните програми, защитните стени и браузърите не сигнализират за никаква опасност. Когато обаче въведете предоставения от хакерите код в истинското поле на Microsoft, вие неволно, но напълно официално упълномощавате атакуващия да влезе във вашия профил.

Веднага след като кодът бъде въведен, платформата Kali365 прихваща автоматично генерираните от Microsoft „токени за оторизация“ (authorization tokens). Тези цифрови ключове дават на престъпниците дългосрочен достъп до целия софтуерен пакет Microsoft 365. Те получават незабавен контрол над имейлите ви в Outlook, съобщенията и разговорите в Teams, както и над личните и корпоративни файлове, съхранявани в облачното пространство OneDrive. От този момент нататък нападателите нямат нужда да знаят вашата парола, нито пък се сблъскват с досадната за тях двуфакторна защита.

Силата на изкуствения интелект в ръцете на неквалифицирани хакери

Според детайлния анализ на ФБР, Kali36минус функционира на принципа „Фишинг като услуга“ (Phishing-as-a-Service или PaaS). Това е притеснителна тенденция в киберпрестъпния свят, тъй като позволява дори на нападатели без никакви технически познания и умения да „наемат“ софтуера и да провеждат сложни и успешни кибератаки срещу големи организации.

Инструментът използва вграден изкуствен интелект (AI) за автоматично генериране на персонализирани и изключително убедителни фишинг имейли, в които липсват традиционните правописни или стилистични грешки. Освен това платформата позволява на хакерите да таргетират и проследяват действията на своите мишени в реално време, което прави атаката динамична и трудна за улавяне от стандартните защити.

Как да се защитите: Препоръките на ФБР и Microsoft

За да предпазят бизнеса и индивидуалните потребители от атаки тип Kali365, експертите от ФБР съветват системните администратори и ИТ мениджърите да внедрят следните сериозни мерки за сигурност:

Създаване на „политика за условен достъп“ (Conditional Access Policy): Тази софтуерна настройка трябва изцяло да блокира потока от кодове за устройства (device code flow) за масовите потребители, като се оставят само строго контролирани и редки изключения. Одит на активния достъп: Проверете детайлно кои профили в мрежата ви в момента имат право да използват вход чрез код на устройство и се уверете, че това право е раздадено на легитимна основа. Блокиране на трансфера на автентикация: Прекъснете възможността потребителите да прехвърлят вече одобрена и валидна автентикация от настолни компютри директно към мобилни устройства. Защита при извънредни ситуации: Задължително изключете акаунтите за спешен административен достъп (т.нар. break-glass акаунти) от тези рестрикции, за да предотвратите пълно и фатално заключване на мениджърите извън системата в случай на реална криза.

Представител на технологичния гигант Microsoft потвърди, че компанията е напълно съгласна с официалните насоки на ФБР, и добави няколко основни правила за лична дигитална хигиена, които всеки служител трябва да следва:

Развивайте бдителността си: Научете се да разпознавате фишинг опитите още на ранен етап. Винаги подлагайте на сериозно съмнение неочаквани подкани за въвеждане на кодове, авторизации или промяна на достъпа, особено ако не сте ги заявили лично в същия момент. Внимание с непознати файлове: Никога не отваряйте прикачени документи и не изтегляйте файлове от непознати или несигурни податели, тъй като те могат скрито да инсталират зловреден софтуер (malware) на компютъра ви. Редовни актуализации: Поддържайте операционната си система и всички използвани бизнес приложения постоянно обновени с най-новите дефиниции и пачове за сигурност.

От Microsoft допълват, че в момента работят изключително активно по разрушаването на глобалните киберпрестъпни екосистеми, стоящи зад платформите за фишинг като услуга и дейностите по незаконно превземане на акаунти, за да осигурят максимално защитена среда за своите клиенти.