O cenário de phishing no Microsoft 365 evoluiu significativamente em 2026, com a emergência de plataformas que automatizam ataques em escala industrial. Um novo alerta emitido pelo FBI chama atenção para o Kali365, uma plataforma de Phishing as a Service (PhaaS) projetada para roubar credenciais e, principalmente, sequestrar sessões ativas de usuários corporativos.
O foco dessa campanha criminosa é claro: comprometer contas do Microsoft 365 explorando fluxos legítimos de autenticação do OAuth 2.0, especialmente o método de código de dispositivo, originalmente criado para dispositivos como Smart TVs e sistemas IoT. O resultado é preocupante, pois mesmo com MFA (autenticação multifator) ativado, atacantes conseguem acessar contas corporativas sem disparar alertas tradicionais.
Esse tipo de ataque evidencia uma mudança de paradigma na segurança digital. Em vez de quebrar senhas, criminosos agora preferem roubar tokens de sessão, que funcionam como chaves de acesso contínuo. Isso torna o combate ao phishing no Microsoft 365 muito mais complexo e exige novas estratégias de defesa.
Phishing no microsoft 365: o que é o kali365 e o modelo phishing as a service
O Kali365 é uma plataforma de crime digital que surgiu em abril de 2026 e rapidamente ganhou notoriedade por sua abordagem acessível. Distribuída principalmente via Telegram, ela permite que criminosos sem conhecimento técnico avançado executem campanhas completas de phishing contra usuários do Microsoft 365.
O modelo de Phishing as a Service (PhaaS) funciona como um “kit pronto para o crime”. A plataforma oferece painéis automatizados, páginas falsas de login do Microsoft Entra, sistemas de coleta de credenciais e até infraestrutura de proxy reverso. Isso reduz drasticamente a barreira de entrada para ataques sofisticados.
O diferencial do Kali365 é a automação avançada. Ele não apenas replica páginas de login, mas também simula fluxos legítimos de autenticação, dificultando a detecção por soluções tradicionais de segurança.
O uso de inteligência artificial no crime organizado
Um dos aspectos mais preocupantes do Kali365 é o uso de inteligência artificial (IA) para otimizar ataques de phishing no Microsoft 365. A plataforma utiliza modelos generativos para criar e-mails altamente personalizados, mensagens de phishing convincentes e até variações de páginas falsas adaptadas ao perfil da vítima.
Essa automação permite campanhas de spear phishing em larga escala, aumentando significativamente a taxa de sucesso. Além disso, a IA ajuda a ajustar conteúdos em tempo real com base nas respostas das vítimas, tornando o ataque mais dinâmico e difícil de rastrear.
Entendendo o golpe: como funciona o phishing de código de dispositivo
O ponto central do ataque envolve o abuso do fluxo de autenticação por código de dispositivo do OAuth 2.0. Esse mecanismo foi criado para dispositivos com entrada limitada, como consoles e Smart TVs, permitindo que o usuário autentique uma sessão digitando um código em outro dispositivo.
No ataque do Kali365, a vítima recebe uma página ou mensagem solicitando que acesse um link e insira um código gerado pelo sistema. Esse código, na verdade, pertence à sessão iniciada pelo atacante.
Quando o usuário insere o código em uma página falsa que imita o login da Microsoft, ele está, sem saber, vinculando sua conta a uma sessão controlada pelo criminoso.
O desvio do token e o bypass do mfa
O ponto crítico desse tipo de ataque é o roubo do token de acesso. Após a autenticação legítima da vítima, o atacante não precisa mais da senha ou do MFA. Ele simplesmente captura o token gerado e o reutiliza para acessar serviços do Microsoft 365.
Esse método é extremamente perigoso porque o MFA (autenticação multifator) é totalmente contornado. Em vez de quebrar a autenticação, o criminoso reutiliza uma sessão já validada, o que torna a detecção muito mais difícil para sistemas tradicionais de segurança.
Esse tipo de phishing no Microsoft 365 baseado em tokens é uma das razões pelas quais especialistas têm reforçado a necessidade de soluções baseadas em identidade e comportamento, e não apenas em credenciais.
O modo cookie link e o ataque do tipo adversário no meio
Além do fluxo de código de dispositivo, o Kali365 também utiliza uma técnica conhecida como ataque adversário no meio (AitM). Nesse cenário, a plataforma atua como um proxy entre a vítima e o serviço legítimo da Microsoft.
Quando o usuário realiza o login, o sistema intercepta cookies de sessão e tokens em tempo real. Esses dados são então repassados ao atacante, que passa a ter acesso completo à conta sem levantar suspeitas imediatas.
O chamado modo Cookie Link é particularmente perigoso em ambientes corporativos, pois permite manter sessões ativas mesmo após redefinições de senha, dependendo da configuração de segurança.
Phishing no microsoft 365: como se proteger segundo o fbi e especialistas
As recomendações emitidas pelo FBI e por empresas de cibersegurança como a Arctic Wolf apontam para uma mudança estratégica na defesa contra esse tipo de ameaça. O foco deixa de ser apenas a senha e passa a ser a proteção do ciclo completo de autenticação.
Uma das principais orientações é monitorar e restringir fluxos de autenticação baseados em código de dispositivo OAuth 2.0, especialmente em ambientes corporativos onde esse método não é necessário.
Além disso, recomenda-se implementar detecção de anomalias em tokens de sessão, identificando padrões incomuns de uso, como acessos simultâneos de regiões diferentes ou mudanças abruptas de comportamento.
Bloqueio por políticas de acesso condicional
Uma das defesas mais eficazes contra o phishing no Microsoft 365 envolvendo o Kali365 é o uso de Acesso Condicional no Microsoft Entra.
Administradores podem configurar políticas que restringem autenticações baseadas em risco, localização, dispositivo e tipo de fluxo. Isso permite, por exemplo, bloquear completamente o uso de código de dispositivo em contas corporativas sensíveis.
Outra medida importante é exigir dispositivos gerenciados e certificados para acesso ao Microsoft 365, reduzindo a superfície de ataque mesmo que tokens sejam comprometidos.
Conclusão e os próximos passos para a segurança digital
O avanço do Kali365 reforça uma tendência clara no cibercrime moderno: ataques focados em identidade e sessões ativas, em vez de simples roubo de senhas. O phishing no Microsoft 365 evoluiu para um modelo muito mais sofisticado, onde tokens, cookies e fluxos de autenticação são os principais alvos.
Nesse novo cenário, a proteção baseada apenas em MFA já não é suficiente. Organizações precisam adotar estratégias mais robustas, como análise contínua de risco, controle de sessões e políticas avançadas de identidade.
Compartilhar esse alerta com equipes de TI e segurança é essencial para reduzir a exposição a esse tipo de ameaça. Também é um bom momento para revisar políticas internas de autenticação e discutir quais fluxos realmente precisam estar habilitados no ambiente corporativo.
