Se você usa o Microsoft 365 para trabalhar com aplicativos como Outlook, Teams ou OneDrive, o FBI quer que você esteja ciente de um esquema de phishing novo e em rápida evolução. Em 21 de maio, a agência emitiu um anúncio de serviço público alertando o público sobre uma ameaça emergente chamada “kit de phishing Kali365”, que foi descoberta pela primeira vez em abril de 2026, de acordo com o Centro de Reclamações de Crimes na Internet do FBI.
E o que torna esse golpe particularmente perigoso é que os hackers não precisam quebrar sua senha.
O que é Kali365 e como funciona?
Kali365 é uma plataforma de crimes cibernéticos baseada em assinatura que permite que invasores direcionem contas do Microsoft 365 para executar campanhas automatizadas de phishing. O FBI a descreve como uma plataforma emergente de “phishing como serviço” (PhaaS), o que significa que hackers com habilidades técnicas limitadas podem obter acesso a ferramentas sofisticadas por meio dela. De acordo com The Hill, a plataforma está disponível para golpistas por uma taxa mensal de US$ 250 e está sendo distribuída através do Telegram.
“O Kali365 reduz a barreira de entrada, dando aos invasores de baixa tecnologia acesso a iscas de phishing geradas por IA, modelos de campanha automatizados, painéis de rastreamento de indivíduos/entidades direcionados em tempo real e recursos de captura de token OAuth”, disse o FBI em seu anúncio de serviço público.
Leia também: Quem são Ibrahim Hermosillo Alvarez e Daniel Eskridge? O que saber sobre os suspeitos da suposta conspiração do UFC Freedom 250
Veja como o golpe geralmente compensa, de acordo com o FBI:
Passo 1 – Você recebe um e-mail de phishing que finge ser de um serviço confiável de compartilhamento de documentos ou de produtividade na nuvem. O e-mail contém um código de dispositivo e instruções que solicitam que você acesse uma página de autenticação genuína da Microsoft para entrar.
Passo 2 – Você vai até a página real da Microsoft e insere o código, sem perceber que na verdade está permitindo que o dispositivo do invasor acesse sua conta.
Etapa 3: depois de inserir o código, o invasor obtém acesso OAuth e atualiza o token, dando-lhe controle sobre sua conta do Microsoft 365, de acordo com o PSA do FBI.
Passo 4 – O invasor agora pode acessar livremente seu Outlook, Teams e OneDrive sem exigir sua senha ou qualquer verificação adicional de autenticação multifatorial.
Leia também: Atualização de Nancy Guthrie: A última pista levanta uma questão assustadora – E se ela nunca for encontrada? Experiência tem peso
O que é phishing e em que difere do smishing?
Os golpes enviados por e-mail se enquadram na categoria de phishing. De acordo com a Comissão Federal de Comércio, os invasores se fazem passar por uma pessoa ou serviço confiável para roubar informações confidenciais, como senhas, números de contas ou números de Seguro Social.
Os e-mails de phishing geralmente incluem uma saudação genérica, alegam que sua conta precisa de atenção urgente ou incluem um link ou anexo para você clicar. Eles geralmente contêm erros ortográficos ou gramaticais e podem ser marcados como “externos” ou não verificados.
O SMS é semelhante, mas chega por mensagem de texto para o seu dispositivo móvel em vez de e-mail. Assim como o phishing, o phishing tenta enganar os usuários para que forneçam informações confidenciais ou tomem ações que coloquem sua segurança em risco, de acordo com a CyberReady, de acordo com o Detroit Free Press.
Leia também: Atualização de vida de Pete Sajak: o que o anfitrião da Fortune revelou meses após a aposentadoria
O que você deve fazer se for um alvo?
A Microsoft aconselha os usuários a seguir as instruções do FBI. Um porta-voz da Microsoft disse ao The Hill: “De forma mais ampla, a Microsoft trabalha ativamente para perturbar o ecossistema cibercriminoso por trás da atividade de phishing como serviço e de controle de contas para proteger nossos clientes”.
A unidade de crimes digitais da empresa já decifrou ferramentas semelhantes, incluindo RaccoonO365 e outros esquemas de phishing, segundo The Hill.
O FBI incentiva qualquer pessoa afetada a registrar uma reclamação no Internet Crime Complaint Center em ic3.gov, incluindo detalhes como e-mail de phishing, tentativas de login suspeitas ao longo do tempo, endereço IP e localização e quaisquer dispositivos não autorizados ou sessões ativas na conta.
A agência também aconselhou os usuários a não abrirem links com códigos de acesso que não solicitaram e recomendou que as organizações restringissem ou bloqueiem códigos de autenticação de dispositivos sempre que possível para reduzir o risco de tais ataques.
