ФБР выпустило экстренное предупреждение для пользователей Microsoft, обнаружив новый хакерский сервис, способный обходить распространенные средства защиты. В официальном уведомлении ведомство сообщило, что киберпреступники используют платформу под названием Kali365 для получения доступа к учетным записям Microsoft 365 с помощью изощренных фишинговых атак.
Схема работает так: жертвам отправляют электронные письма, замаскированные под уведомления от доверенных облачных сервисов или платформ для обмена документами. В сообщении содержится код устройства и инструкция перейти на легитимную страницу входа Microsoft. Ничего не подозревая, человек вводит код на официальном сайте и тем самым, сам того не ведая, разрешает устройству злоумышленника доступ к своей учетной записи.
После этого хакеры перехватывают специальные токены аутентификации — OAuth-токены доступа и обновления. Эти цифровые ключи работают как многоразовый пропуск: они позволяют злоумышленникам заходить в Outlook, Teams, OneDrive и другие сервисы Microsoft, не вводя пароль заново. Поскольку токены выдаются после успешного входа, киберпреступники зачастую обходят двухфакторную аутентификацию и способны сохранять доступ к аккаунтам в течение длительного времени.
Конвейер взлома по подписке
«Kali365 снижает порог входа, предоставляя технически неподкованным злоумышленникам доступ к сгенерированным ИИ фишинговым приманкам, автоматизированным шаблонам кампаний, панелям отслеживания конкретных лиц и организаций в реальном времени, а также к возможностям перехвата OAuth-токенов», — говорится в заявлении ФБР.
Примечательно, что весь этот арсенал продается мошенникам по скромной подписке — 250 долларов в месяц. По сути, любой желающий, не обладая глубокими техническими знаниями, может арендовать готовый инструментарий для кражи корпоративных и личных данных.
ФБР настоятельно рекомендует организациям заблокировать функцию аутентификации Microsoft, известную как «поток кода устройства», именно её и эксплуатируют злоумышленники. Однако прежде чем отключать её, бизнесу следует проверить, как эта функция используется внутри компании, чтобы не парализовать легитимные рабочие процессы. Также рекомендуется внедрить политики, запрещающие пользователям передавать аутентификацию с компьютеров на мобильные устройства — еще один метод, которым могут злоупотреблять преступники во время атак.
Для организаций, которые не могут полностью отключить поток кода устройства, ФБР советует сделать исключение для экстренных учетных записей доступа — это поможет администраторам не оказаться запертыми за дверью собственных критически важных систем при ужесточении мер безопасности.
Эра бесшумной оккупации аккаунтов
Главная опасность Kali365 не столько в сложности взлома, сколько в его элегантной незаметности. Злоумышленнику не нужно воровать пароль, преодолевать многофакторную защиту или устанавливать вредоносное ПО — он просто «подселяется» в уже авторизованную сессию и может месяцами читать корпоративную переписку, скачивать файлы и следить за календарями руководителей. Это не громкий взлом с требованиями выкупа, а тихая цифровая оккупация.
Особую тревогу вызывает демократизация киберпреступности: готовые фишинговые шаблоны, сгенерированные искусственным интеллектом, выглядят настолько убедительно, что их все труднее отличить от подлинных уведомлений Microsoft. А панель отслеживания в реальном времени превращает хаотичную рассылку в управляемый, почти маркетинговый процесс.
ФБР призывает немедленно сообщать о фишинговых письмах, подозрительных попытках входа в систему и любых неавторизованных устройствах или активных сессиях, привязанных к учетным записям, в Центр рассмотрения жалоб на интернет-преступления. Ключевое правило прежнее: никогда не переходите по ссылкам с кодами доступа, которые вы не запрашивали, и проверяйте адрес отправителя досконально. В мире, где ваша цифровая личность стоит 250 долларов в месяц, бдительность перестает быть рекомендацией и становится единственной линией обороны.
Ваш комментарий