A Kali365 adathalász platform a Microsoft 365- fiókokat célozza

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe
Beküldte kami911 -

Az FBI figyelmeztetést adott ki a Kali365 nevű phishing-as-a-service (PhaaS) platformmal kapcsolatban, amely a Microsoft 365-fiókok kompromittálására specializálódott. A szolgáltatás az OAuth 2.0 Device Authorization hitelesítési folyamatát kihasználva lehetővé teszi a támadók számára a többtényezős hitelesítés (MFA) megkerülését jelszavak vagy egyszer használatos kódok megszerzése nélkül.

A módszer eredetileg olyan eszközök hitelesítésére szolgál, amelyek korlátozott beviteli lehetőségekkel rendelkeznek, mint például az okostévék, a tárgyalótermi rendszerek vagy az IoT-eszközök. A támadók azonban visszaélnek a Microsoft legitim hitelesítési folyamatával, maguk generálnak egy eszközkódot, majd adathalász e-mailek és social engineering technikák segítségével ráveszik az áldozatokat, hogy azt a Microsoft hivatalos bejelentkezési oldalán megadják.

Amennyiben a felhasználó hitelesíti a kérést és végrehajtja az MFA-ellenőrzést, a Microsoft hozzáférési tokent bocsát ki, amely teljes hozzáférést biztosít a támadók számára az érintett fiókhoz. Ezzel a módszerrel a kiberbűnözők hozzáférhetnek a Microsoft 365-höz, a Salesforce-hoz és más felhőalapú SaaS-szolgáltatásokhoz is, amelyeket az adott felhasználó az egyszeri bejelentkezési (SSO) infrastruktúrán keresztül használ.

A Kali365 különösen veszélyes, mert alacsony technikai tudással rendelkező támadók számára is elérhetővé teszi a fejlett adathalász eszközöket. A platform AI-alapú adathalász kampányokat, automatizált adathalász kampánysablonokat, valós idejű áldozatkövető felületeket és tokenbegyűjtő funkciókat kínál.

Az Arctic Wolf kiberbiztonsági kutatói szerint a támadások elsősorban Microsoft 365-környezeteket céloztak. A kutatók szerint a szolgáltatás üzletszerű modellben működik, fejlesztők, viszonteladók és affiliate partnerek vesznek részt a működtetésében. A platform két fő támadási módot támogat, az eszközkódos adathalászatot, illetve a „Cookie Link” nevű adversary-in-the-middle (AitM) technikát, amely hitelesített böngészőmunkameneteket és session tokeneket képes eltéríteni.

Az FBI azt javasolja a szervezeteknek, hogy a Conditional Access szabályzatokkal korlátozzák vagy tiltsák le az eszközkód-alapú hitelesítést, vizsgálják felül a jelenlegi eszközkód-használatot, valamint monitorozzák az illetéktelen eszközregisztrációkat és gyanús bejelentkezési eseményeket. Emellett arra kérik az érintetteket, hogy jelentsék az incidenseket az Internet Crime Complaint Center számára.