FBI, OAuth cihaz kodu kimlik doğrulama yöntemini istismar ederek oturum jetonlarını çalan ve çok faktörlü kimlik doğrulamayı (MFA) devre dışı bırakan Kali365 adlı hizmet olarak kimlik avı platformu (PhaaS) konusunda uyarı yayınladı. Nisan 2026’da ortaya çıkan bu platform, Telegram kanalları üzerinden dağıtılırken şifre çalmadan veya MFA kodlarını ele geçirmeden Microsoft 365 hesaplarını ele geçirmek isteyen siber suçlulara kolaylık sağlıyor. FBI, kurumların cihaz kodu kimlik doğrulama akışlarını Conditional Access politikalarıyla kısıtlamasını ve şüpheli girişimleri raporlamasını önerdi.

Kali365 Cihaz Kodu Kimlik Avı ile MFA Korumasını Aşıyor

Kali365 platformu, Microsoft’un meşru OAuth 2.0 Cihaz Yetkilendirme akışını kötüye kullanan cihaz kodu kimlik avı yöntemini kullanıyor. Bu kimlik doğrulama yöntemi aslında akıllı televizyonlar, konferans odası sistemleri ve yazıcılar gibi sınırlı giriş yeteneklerine sahip cihazların, Microsoft’un http://microsoft.com/devicelogin adresindeki cihaz kodu portalı üzerinden başka bir cihazla kimlik doğrulaması yapması için tasarlanmıştı. Saldırganlar, cihaz yetkilendirme sürecini kendileri başlatarak bir kod oluşturuyor ve ardından kurbanları kimlik avı ve sosyal mühendislik yoluyla Microsoft’un giriş sayfasına kodu girmeleri için kandırıyor.

Kurban kodu girdikten ve MFA’yı tamamladıktan sonra Microsoft, saldırgana OAuth erişim jetonu veriyor. Kali365 PhaaS platformu sayesinde düşük becerikli saldırganlar bile yapay zeka ile oluşturulmuş kimlik avı yemlerine, otomatik kampanya şablonlarına, gerçek zamanlı kurban takip panolarına ve jeton yakalama özelliklerine erişebiliyor. Tehdit aktörleri artık kurbanın normalde tek oturum açma hesabı üzerinden eriştiği Microsoft 365, Salesforce veya diğer bulut SaaS platformlarındaki tüm uygulamalara tam erişime sahip oluyor.

Arctic Wolf Araştırmacıları Küresel Kampanyaları Gözlemledi

Arctic Wolf’taki güvenlik araştırmacıları, Nisan ayında dünya genelindeki kuruluşları hedef alan yaygın bir kampanyanın ardından Kali365 faaliyetlerini raporladı. Araştırmacılar, kampanyaların öncelikle Microsoft 365 ortamlarını hedef aldığını ve kurbanları Microsoft’un cihaz kodu giriş portalına yönlendiren kimlik avı e-postaları kullandığını belirtti. Ortaya çıkan saldırılar, bilgisayar korsanlarına posta kutularına erişim sağlarken saldırganlar faaliyetlerini gizlemek için tasarlanmış kötü amaçlı posta kutusu kuralları oluşturdu.

👉️ İlginizi Çekebilir: Microsoft 2011 Sertifikalarını Emekliye Ayırıyor: Windows 10’da Secure Boot Riski Başlıyor

Kali365, ürün geliştirmeyi yöneten yöneticiler, hizmeti diğer tehdit aktörlerine tanıtan satıcılar ve kimlik avı saldırıları gerçekleştiren ortaklardan oluşan bir iş modeli olarak faaliyet gösteriyor. Platform iki ayrı saldırı modu sunuyor: İlki cihaz kodu kimlik avı, ikincisi ise “Cookie Link” adlı aracı saldırgan (AitM) modu. Cookie Link modu, kurbanları saldırgan kontrolündeki altyapı üzerinden proxy’lerken oturum açtıktan ve MFA zorluklarını çözdükten sonra kimliği doğrulanmış tarayıcı oturumlarını, oturum çerezlerini ve jetonları yakalıyor.

Cihaz kodu kimlik avı, 2026 yılında geniş çapta benimsenirken EvilTokens PhaaS ve Tycoon2FA gibi diğer tehdit aktörleri ve platformlar da Microsoft 365 ile Entra hesaplarını ele geçirmek için yöntemi kullanıyor. FBI, kurumların cihaz kodu kimlik doğrulama akışlarını Conditional Access politikalarıyla kısıtlamasını veya tamamen engellemesini, mevcut cihaz kodu kullanımını denetlemesini ve kimlik doğrulama oturumlarının cihazlar arasında taşınmasına izin veren kimlik doğrulama aktarım politikalarını engellemesini önerdi. Ajans ayrıca etkilenen kuruluşların olayları İnternet Suçları Şikayet Merkezi’ne bildirmesini ve kimlik avı e-postalarını, şüpheli giriş bilgilerini ve yetkisiz cihaz kayıtlarını saklamasını istedi.