NYHETER

1 min read

FBI varnar: ny phishing-tjänst Kali365 kapar Microsoft 365-konton trots MFA

FBI varnar: ny phishing-tjänst Kali365 kapar Microsoft 365-konton trots MFA

FBI varnar för en ny phishing-plattform som gör det enkelt för angripare att kapa Microsoft 365-konton, även när flerfaktorsautentisering (MFA) är aktiverat.

Plattformen heter Kali365 och säljs som en prenumerationstjänst via Telegram sedan april 2026. Till skillnad från traditionell phishing som försöker lura till sig lösenord, stjäl Kali365 så kallade OAuth-tokens. Det innebär att angriparen får direkt tillgång till offrets Microsoft 365-miljö utan att behöva lösenordet eller klara en MFA-kontroll.

Så fungerar attacken

Offret får ett mejl som ser ut att komma från en betrodd molntjänst. Mejlet innehåller en enhetskod och instruktioner om att besöka Microsofts riktiga verifieringssida. När offret klistrar in koden godkänner de omedvetet att angriparens enhet får åtkomst till kontot.

Angriparen fångar sedan upp OAuth-tokens som ger full tillgång till Outlook, Teams och OneDrive. Eftersom det inte handlar om stulna lösenord triggas ingen MFA-kontroll, och åtkomsten kan bestå under lång tid.

Lägre tröskel för angripare

Det som gör Kali365 extra oroande är att plattformen sänker tröskeln rejält. Prenumeranter får tillgång till AI-genererade phishing-mejl, färdiga kampanjmallar och realtidsövervakning av offer. Även angripare utan djupare teknisk kunskap kan genomföra avancerade attacker.

Så skyddar du organisationen

FBI rekommenderar flera åtgärder:

  • Blockera device code flow via Conditional Access i Entra ID. Det är den autentiseringsmetod som Kali365 utnyttjar.
  • Granska befintlig användning av device code flow innan du blockerar, så att legitima processer inte påverkas.
  • Blockera autentiseringsöverföring mellan enheter för att förhindra att tokens flyttas.
  • Övervaka inloggningar efter ovanliga enheter, platser eller sessioner i Microsoft 365-miljön.

Varför det här är viktigt för svenska företag

De flesta svenska företag använder Microsoft 365 som sin primära arbetsplattform. En kapad session ger angriparen tillgång till mejl, filer, Teams-konversationer och potentiellt känslig affärsinformation. Eftersom attacken kringgår MFA räcker det inte att bara ha aktiverat tvåstegsverifiering.

Organisationer som använder Microsoft 365 bör omedelbart granska sina Conditional Access-policyer och säkerställa att device code flow är begränsat till de fall där det verkligen behövs.

Källa: FBI IC3 Public Service Announcement, 21 maj 2026