行業新聞與部落格

美國聯邦調查局警告稱，一種名為 Kali365 的新型網路釣魚即服務 (PhaaS) 平臺正在網路上傳播，主要透過 Telegram 進行傳播。

Kali365 於 2026 年 4 月首次被發現，它為網路威脅行為者提供 AI 生成的網路釣魚誘餌、自動化活動模板以及即時定向的個人和實體跟蹤儀表板。

它還使技術水平較低的人員能夠捕獲 OAuth 令牌（Microsoft 365 訪問令牌），並在不攔截使用者憑據的情況下繞過多因素身份驗證 (MFA) 協議。

透過 Kali365 平臺訂閱，網路威脅行為者可以獲得對目標個人 / 實體 Microsoft 365 環境的持續訪問許可權。

Kali365 攻擊鏈

FBI 在 5 月 21 日釋出的一份諮詢檔案中詳細描述了一個典型的攻擊鏈：攻擊者透過傳送網路釣魚電子信箱來發起詐騙，該電子信箱冒充可信的雲生產力和文件共享服務。

這封電子信箱包含一個裝置程式碼，以及訪問微軟官方驗證頁面並輸入程式碼的說明。

受害者訪問真正的微軟頁面並貼上裝置程式碼，從而在不知情的情況下授權攻擊者的裝置訪問他們的帳戶。

攻擊者隨後獲取 OAuth 訪問令牌和重新整理令牌，從而獲得對目標個人或實體 Microsoft 365 帳戶的訪問許可權。

有了這些令牌，攻擊者現在無需密碼或完成任何額外的 MFA 驗證即可訪問 Microsoft 365 服務，例如 Outlook 、 Teams 和 OneDrive，從而在被入侵的帳戶中建立永續性。

緩解類似 Kali365 的威脅

為了降低成為利用 Kali365 進行網路犯罪的攻擊目標的風險，FBI 建議採取以下措施：

• 限制裝置程式碼流以限制或阻止裝置身份驗證程式碼
• 建立條件訪問策略，阻止所有使用者的裝置程式碼流，但允許必要的業務流程有有限的例外情況。
• 阻止身份驗證轉移策略，以防止使用者將身份驗證從計算機轉移到移動裝置。
• 排除緊急訪問賬戶，以防止賬戶被鎖定。