(NEXSTAR) – Uma nova ferramenta de phishing está permitindo que invasores cibernéticos obtenham acesso às contas de usuários do Microsoft 365 sem precisar saber sua senha, disse o FBI em um alerta emitido ao público na quinta-feira.
A plataforma de phishing, chamada Kali365, foi vista pela primeira vez em abril, segundo o FBI. É distribuído principalmente por meio do aplicativo de mensagens Telegram e permite que invasores cibernéticos contornem a autenticação multifator.
O golpe começa com uma isca, normalmente um e-mail de phishing que se faz passar por uma fonte confiável, como um serviço de compartilhamento de documentos. “Este e-mail de phishing contém um código de dispositivo com instruções para visitar uma página legítima de verificação da Microsoft e inserir o código”, alerta o FBI.
Depois de navegar até a página real da Microsoft e colar o código, você autorizará involuntariamente o invasor a acessar sua conta. A partir daí, eles podem capturar tokens de autorização que lhes concedem acesso ao software Microsoft 365, incluindo email do Outlook, mensagens do Teams e arquivos do OneDrive. Eles não precisarão saber sua senha ou usar autenticação multifator para acessar sua conta.
Esta nova plataforma de phishing, Kali365, torna mais fácil para invasores não qualificados roubar códigos de autorização, usando iscas de phishing geradas por IA, e direcionar e rastrear indivíduos em tempo real, afirma o FBI.
Para se proteger de um ataque Kali365, o FBI recomenda:
-
Criação de uma “política de acesso condicional”, que bloqueará o fluxo de código do dispositivo a todos os usuários, com exceções limitadas
-
Verificar quem atualmente tem acesso ao uso do fluxo de código, certificando-se de que são legítimos
-
Bloqueando a capacidade dos usuários de transferir autenticação de computadores para dispositivos móveis
-
Exclua contas de acesso de emergência para evitar bloqueios
Um porta-voz da Microsoft disse à Nexstar que a empresa concorda com as orientações do FBI e adiciona mais algumas práticas recomendadas:
-
Aprenda a detectar tentativas de phishing em primeiro lugar para não ser vítima de golpistas
-
Não abra arquivos de remetentes desconhecidos, pois podem baixar malware para o seu dispositivo
-
Certifique-se de que seu sistema operacional e aplicativos estejam atualizados com as correções mais recentes
A empresa acrescenta que está “trabalhando ativamente para perturbar os ecossistemas cibercriminosos por trás das atividades de phishing como serviço e controle de contas para proteger nossos clientes”.
Copyright 2026 Nexstar Media, Inc. Todos os direitos reservados. Este material não pode ser publicado, transmitido, reescrito ou redistribuído.
Para obter as últimas notícias, previsão do tempo, esportes e streaming de vídeo, vá para The Hill.
