PSA FBI: Platform Phishing-as-a-Service Kali365 Berbantuan AI Melewati MFA Microsoft 365 melalui Pencurian Kode Perangkat OAuth

Internet Crime Complaint Center (IC3) FBI mempublikasikan PSA260521 pada 21 Mei 2026, memperingatkan tentang Kali365, platform Phishing-as-a-Service yang sedang berkembang dan pertama kali terdeteksi pada April 2026. Kali365 menggunakan umpan phishing yang dihasilkan AI, templat kampanye otomatis, dan dasbor pelacakan korban waktu-nyata untuk memungkinkan penyerang yang kurang terampil mencuri akses OAuth Microsoft 365 dan token refresh dengan menyalahgunakan aliran Device Authorization (kode perangkat) OAuth 2.0 yang sah. Korban ditipu untuk memasukkan kode perangkat yang dibuat penyerang di halaman verifikasi Microsoft yang sah, tanpa disadari memberi otorisasi kepada perangkat penyerang untuk menerima token persisten yang sepenuhnya melewati MFA. Token memberikan akses ke Outlook, Teams, OneDrive, dan platform SaaS yang terhubung SSO mana pun.

Penyerang menghasilkan kode perangkat melalui aliran OAuth Device Authorization Grant Microsoft, mengirim email phishing yang menyamar sebagai layanan produktivitas cloud dengan kode dan instruksi untuk mengunjungi microsoft.com/devicelogin. Korban menyelesaikan autentikasi (dan memenuhi MFA) di halaman Microsoft yang asli; penyerang menangkap token akses OAuth + refresh yang dihasilkan dan menggunakannya dari infrastruktur mereka sendiri. Tidak ada pencegatan kata sandi atau teknik bypass MFA yang diperlukan — aliran yang sah adalah serangan.

Organisasi apa pun yang menggunakan Microsoft 365 / Microsoft Entra dengan autentikasi kode perangkat yang diaktifkan; risiko sangat tinggi bagi organisasi yang mengandalkan MFA sebagai satu-satunya perlindungan terhadap pencurian kredensial. Mode serangan sekunder ('Cookie Link') menggunakan proxy AitM untuk menangkap cookie sesi.

1) Batasi atau blokir aliran autentikasi kode perangkat melalui kebijakan Conditional Access di Microsoft Entra; 2) Audit log penggunaan dan pendaftaran kode perangkat yang ada; 3) Blokir kebijakan transfer autentikasi; 4) Terapkan MFA tahan phishing (FIDO2/passkeys) sebagai faktor utama; 5) Beri peringatan pada pengeluaran token OAuth dan pendaftaran perangkat baru yang anomali; 6) Latih pengguna untuk mengenali umpan phishing kode perangkat (baris subjek: 'SharePoint – Dokumen Dibagikan', 'OneDrive – File Dibagikan', 'DocuSign – Tanda Tangan Diperlukan'). Laporkan insiden ke ic3.gov.