PSA FBI: Platform Phishing-as-a-Service Kali365 Berbantuan AI Membypass MFA Microsoft 365 melalui Pencurian Kode Perangkat OAuth

Internet Crime Complaint Center (IC3) FBI menerbitkan PSA260521 pada 21 Mei 2026, memberikan peringatan tentang Kali365, platform Phishing-as-a-Service yang sedang berkembang dan pertama kali terdeteksi pada April 2026. Kali365 menggunakan umpan phishing yang dihasilkan AI, templat kampanye otomatis, dan dasbor pelacakan korban waktu nyata untuk memungkinkan penyerang dengan keterampilan rendah mencuri token akses dan refresh OAuth Microsoft 365 dengan menyalahgunakan aliran OAuth 2.0 Device Authorization (device code) yang sah. Korban ditipu untuk memasukkan kode perangkat yang dibuat penyerang di halaman verifikasi Microsoft yang sah, tanpa disadari mengotorisasi perangkat penyerang untuk menerima token persisten yang membypass MFA sepenuhnya. Token memberikan akses ke Outlook, Teams, OneDrive, dan platform SaaS yang terhubung SSO apa pun.

Penyerang membuat kode perangkat melalui aliran OAuth Device Authorization Grant Microsoft, mengirim email phishing yang menyamar sebagai layanan produktivitas cloud dengan kode dan instruksi untuk mengunjungi microsoft.com/devicelogin. Korban menyelesaikan autentikasi (dan memenuhi MFA) di halaman Microsoft yang asli; penyerang menangkap token akses + refresh OAuth yang dihasilkan dan menggunakannya dari infrastruktur mereka sendiri. Tidak ada intersepsi sandi atau teknik bypass MFA yang diperlukan — aliran yang sah adalah serangan itu sendiri.

Organisasi apa pun yang menggunakan Microsoft 365 / Microsoft Entra dengan autentikasi kode perangkat yang diaktifkan; risiko khusus yang tinggi bagi organisasi yang mengandalkan MFA sebagai satu-satunya perlindungan terhadap pencurian kredensial. Mode serangan sekunder ('Cookie Link') menggunakan proxy AitM untuk menangkap cookie sesi.

1) Batasi atau blokir aliran autentikasi kode perangkat melalui kebijakan Conditional Access di Microsoft Entra; 2) Audit log penggunaan dan pendaftaran kode perangkat yang ada; 3) Blokir kebijakan transfer autentikasi; 4) Terapkan MFA tahan phishing (FIDO2/passkeys) sebagai faktor utama; 5) Beri peringatan pada penerbitan token OAuth yang anomali dan pendaftaran perangkat baru; 6) Latih pengguna untuk mengenali umpan phishing kode perangkat (baris subjek: 'SharePoint – Document Shared', 'OneDrive – File Shared', 'DocuSign – Signature Required'). Laporkan insiden ke ic3.gov.