Kali365: o Kit de Phishing-as-a-Service que Rouba Contas Microsoft 365 Sem Precisar da Sua Senha
O FBI emitiu, em 21 de maio de 2026, um alerta público urgente sobre o Kali365 — uma plataforma de Phishing-as-a-Service (PhaaS) que permite a qualquer criminoso, mesmo sem conhecimento técnico avançado, sequestrar contas do Microsoft 365 sem precisar da senha da vítima e sem ser bloqueado pelo MFA.
O alerta (número I-052126-PSA), publicado pelo Internet Crime Complaint Center (IC3), descreve como a plataforma — detectada pela primeira vez em abril de 2026 e distribuída via Telegram — combina inteligência artificial, automação e uma técnica chamada device code phishing para roubar tokens OAuth e manter acesso contínuo às contas comprometidas.
O que é o Kali365
O Kali365 é um kit de Phishing-as-a-Service: uma plataforma “pronta para usar” que empacota toda a infraestrutura necessária para conduzir ataques sofisticados contra usuários do Microsoft 365 — e a oferece via Telegram para qualquer interessado, com ou sem conhecimento técnico.
Antes de plataformas como essa, um ataque desse nível exigia domínio técnico considerável: configuração de servidores, desenvolvimento de páginas de captura, gerenciamento de tokens OAuth e análise de logs. O Kali365 elimina essa barreira ao oferecer:
- Iscas geradas por IA — e-mails de phishing que imitam perfeitamente comunicações do Microsoft 365, Teams, OneDrive e Outlook
- Modelos de campanhas automatizadas — o atacante escolhe o alvo e o tipo de ataque; a plataforma cuida do restante
- Painel de rastreamento em tempo real — monitoramento de quem clicou, inseriu o código e teve o token capturado
- Captura e armazenamento de tokens OAuth — prontos para uso imediato pelo atacante
Toda essa sofisticação cabe dentro de uma assinatura no Telegram. O custo de entrada para comprometer contas corporativas caiu drasticamente.
Como o ataque funciona em 4 fases
O Kali365 usa uma técnica chamada device code phishing (phishing de código de dispositivo), que subverte um fluxo de autenticação legítimo da Microsoft. Entender cada fase é fundamental para reconhecer e bloquear o ataque.
Fase 1 — A isca
A vítima recebe um e-mail fraudulento que imita uma comunicação oficial da Microsoft. A mensagem pode simular:
- Um aviso de acesso suspeito pedindo verificação do dispositivo
- Uma notificação do Teams sobre um arquivo compartilhado
- Um comunicado sobre renovação de licença do Microsoft 365
- Um pedido de autenticação de dispositivo enviado pela TI corporativa
O e-mail instrui a vítima a acessar aka.ms/devicelogin — que é, de fato, uma página genuína da Microsoft — e inserir um código de dispositivo fornecido na mensagem.
Fase 2 — A autorização involuntária
Este é o núcleo do ataque: o código que a vítima insere na página real da Microsoft não autentica o dispositivo da vítima. É o código gerado pelo atacante para autorizar o aplicativo do atacante a acessar a conta da vítima.
A vítima navega até um site verdadeiro (Microsoft), realiza uma autenticação legítima — podendo inclusive completar o MFA normalmente — e ao final autoriza, sem perceber, o acesso externo à sua própria conta.
Do ponto de vista da Microsoft, a autorização foi concedida pelo usuário legítimo, no site legítimo, com autenticação bem-sucedida. Não há nenhum sinal de alerta no processo.
Fase 3 — O roubo do token OAuth
Com a autorização concedida, o Kali365 captura o token OAuth emitido pela Microsoft. Esse token é uma credencial de acesso digital que:
- Não requer senha para ser utilizado
- Não requer MFA para ser utilizado (o MFA já foi completado pela vítima durante a autorização)
- Tem validade longa — tipicamente dias ou semanas, podendo ser renovado automaticamente
- Funciona em múltiplos serviços — e-mail, calendário, OneDrive, Teams, SharePoint
O token é armazenado no painel do Kali365 e fica disponível para o atacante usar imediatamente.
Fase 4 — Persistência silenciosa
Com o token em mãos, o atacante opera dentro do ambiente Microsoft 365 da vítima de forma praticamente invisível:
- Lê e-mails e acessa documentos confidenciais
- Configura encaminhamento automático de e-mails para contas externas
- Acessa e exfiltra arquivos do OneDrive e SharePoint
- Adiciona novos dispositivos ou aplicativos para garantir acesso mesmo após a expiração do token
- Age como se fosse o usuário legítimo — sem senha, sem MFA
Para equipes de TI, esse acesso é frequentemente indistinguível de uma sessão legítima.
Por que o MFA não é suficiente para bloquear o Kali365
Este é o ponto mais crítico — e mais contraintuitivo — de todo o ataque: o MFA é contornado, não quebrado.
A autenticação multifator protege contra o uso indevido de senhas roubadas. Mas no ataque do Kali365, a senha nunca é usada pelo atacante. O que ele obtém é um token OAuth — e esse token só é emitido depois que a vítima completou com sucesso toda a autenticação, incluindo o MFA.
Em outras palavras: o MFA da vítima funcionou perfeitamente. O problema é que ela, ao concluir o MFA, autorizou involuntariamente o acesso do atacante.
Isso demonstra por que MFA sozinho não é suficiente em ambientes corporativos. É necessário combinar MFA com:
- Políticas de Acesso Condicional no Microsoft Entra
- Monitoramento de consentimentos OAuth
- Restrições ao fluxo de código de dispositivo
Quem está em risco
Qualquer organização que utiliza o Microsoft 365 como plataforma de e-mail e colaboração está exposta — mas o impacto é mais crítico em:
| Perfil | Risco |
|---|---|
| Empresas com dados confidenciais no M365 | Alto |
| Usuários executivos e com acesso privilegiado | Muito alto |
| Organizações sem políticas de Acesso Condicional | Muito alto |
| Setores de saúde, finanças, advocacia e governo | Alto (dados sensíveis + obrigações regulatórias) |
| Ambientes com MFA mas sem auditoria de OAuth | Alto |
No Brasil, onde a adoção do Microsoft 365 cresceu expressivamente nos últimos anos, o vetor é especialmente relevante. A LGPD exige notificação à ANPD e aos titulares afetados em caso de acesso não autorizado a dados pessoais — e um token OAuth roubado que permitiu acesso a e-mails e documentos com dados de clientes ou colaboradores se enquadra plenamente nessa obrigação.
Como se proteger: recomendações do FBI
O FBI publicou recomendações específicas junto ao alerta. Veja como implementá-las:
1. Restringir o fluxo de código de dispositivo via Acesso Condicional
No Microsoft Entra admin center, crie uma política de Acesso Condicional que bloqueie ou exija aprovação explícita para o fluxo de código de dispositivo. O FBI orienta a auditar o uso existente antes de implementar o bloqueio — alguns dispositivos legítimos (impressoras, TVs corporativas) usam esse fluxo.
Caminho: Entra admin center → Proteção → Acesso Condicional → Nova política → Condições → Fluxos de autenticação → Fluxo de código de dispositivo.
2. Auditar consentimentos OAuth ativos
Revise quais aplicativos de terceiros possuem tokens OAuth ativos nas contas da organização. Revogue consentimentos suspeitos ou não reconhecidos.
Caminho: Entra admin center → Aplicativos empresariais → Permissões → Revisão de permissões de usuários.
3. Bloquear políticas de transferência de autenticação
Configure políticas que impeçam tokens de serem usados fora do contexto esperado — como de IPs ou regiões geográficas não reconhecidos.
4. Alertas de monitoramento de identidade
Ative alertas automáticos para:
- Autorizações de novos aplicativos OAuth por usuários comuns
- Acessos via tokens a partir de IPs não reconhecidos
- Adição de novos dispositivos à conta
- Regras de encaminhamento de e-mail criadas sem solicitação do usuário
5. Treinamento específico sobre device code phishing
Oriente todos os usuários: nunca inserir um código em aka.ms/devicelogin a menos que eles próprios tenham iniciado o processo (ex: conectando uma TV ou impressora). Solicitações legítimas desse tipo nunca chegam por e-mail espontâneo.
O que fazer se você foi vítima
Se suspeitar que uma conta foi comprometida pelo Kali365 ou técnica similar:
- Revogue imediatamente todos os tokens OAuth da conta — no Entra: Usuários → selecionar usuário → Revogar sessões
- Redefina a senha do usuário afetado
- Remova aplicativos não reconhecidos com acesso à conta
- Verifique e remova regras de encaminhamento de e-mail não autorizadas
- Audite a atividade recente: e-mails lidos, arquivos acessados, compartilhamentos criados
- Registre uma denúncia no IC3 em www.ic3.gov, incluindo e-mails suspeitos recebidos, logins não autorizados e dispositivos adicionados
- Notifique o DPO ou equipe de segurança para avaliação de impacto e verificação de obrigações sob a LGPD
Perguntas frequentes
O Kali365 afeta apenas o Microsoft 365? Sim, segundo o alerta do FBI, o Kali365 é direcionado especificamente ao ecossistema Microsoft 365. Técnicas similares de token hijacking existem para outras plataformas (Google Workspace, por exemplo), mas o Kali365 foca no fluxo OAuth da Microsoft.
Com MFA ativo, estou protegido? Não completamente. O Kali365 não rouba sua senha nem tenta driblar o MFA tecnicamente — ele induz você a autorizar voluntariamente o acesso por meio de um fluxo de autenticação legítimo. O MFA é completado pela própria vítima durante o ataque. Políticas de Acesso Condicional são a camada de proteção mais eficaz contra essa técnica.
Como identificar o e-mail de phishing do Kali365? Os e-mails são difíceis de distinguir visualmente — a IA os torna convincentes. O sinal de alerta é comportamental: qualquer e-mail que solicite acesso a aka.ms/devicelogin com um código que você não gerou é um ataque de device code phishing. Solicitações legítimas só ocorrem quando o usuário está ativamente conectando um novo dispositivo.
Preciso trocar minha senha se fui vítima? Sim, mas não é suficiente. O atacante possui um token OAuth válido que funciona independentemente da senha. É imprescindível revogar as sessões explicitamente no Microsoft Entra e, só então, redefinir a senha.
Antivírus ou EDR detectam o Kali365? Em geral, não. O Kali365 não instala malware no dispositivo — o ataque acontece inteiramente dentro do ecossistema Microsoft, sem execução de código local. A detecção deve ser feita por ferramentas de monitoramento de identidade como o Microsoft Defender for Identity ou Defender for Cloud Apps.
O Kali365 representa uma mudança de patamar no cenário de ameaças a organizações: ataques altamente sofisticados, tornados acessíveis a qualquer criminoso com uma assinatura no Telegram. A combinação de IA para geração de iscas convincentes, automação de campanhas e um vetor que contorna o MFA cria um cenário em que as defesas tradicionais são insuficientes.
A resposta passa por três frentes simultâneas: tecnologia (Acesso Condicional, auditoria de OAuth), processos (monitoramento contínuo de logs de identidade) e pessoas (treinamento específico sobre device code phishing). As três, juntas.
Fontes e referências:
- FBI IC3 — PSA I-052126-PSA: Kali365 Phishing-as-a-Service Kit Hijacks Microsoft 365 Access Tokens
- Microsoft Entra — Proteção contra phishing de código de dispositivo
- NIST SP 800-63B — Digital Identity Guidelines
Alertas de Segurança
Sem spam. Cancele quando quiser. Ao se inscrever você concorda com nossa política de privacidade.
Equipe Saferinfo
Especialistas em cibersegurança dedicados a tornar a segurança digital acessível para todos os brasileiros. Nosso objetivo é educar e proteger.
Leia também
Engenharia Social: Táticas dos Hackers e Como se Proteger
Entenda as principais técnicas de engenharia social usadas por criminosos digitais no Brasil — do pretexting ao vishing — e aprenda como identificar e resistir a essas manipulações.
FortiBleed: Vazamento Expõe Credenciais de 73.932 Firewalls Fortinet em 194 Países
FortiBleed: 73.932 firewalls FortiGate expostos em 194 países. Credenciais vazadas, impacto para empresas brasileiras e checklist de resposta ao incidente.
Invasão ao Sistema de Alertas da Defesa Civil: 30 Milhões de Brasileiros Receberam Falso Alerta Extremo
Credenciais roubadas dispararam alerta falso 'Extremo' da Defesa Civil para 30 milhões de brasileiros. Invasão ao IDAP: o que aconteceu, os impactos e como evitar.