Login Inscreva-se
5 min de leitura News

Alerta do FBI: Kali365 captura tokens OAuth para burlar a autenticação multifator

Compartilhar
Alerta do FBI: Kali365 captura tokens OAuth para burlar a autenticação multifator

O FBI acaba de emitir um alerta público que deve acender um sinal amarelo em todos os departamentos de TI que confiam cegamente na autenticação multifator como escudo definitivo contra invasões. Uma nova ferramenta chamada Kali365 está sendo usada em campanhas de phishing direcionadas a usuários de Microsoft 365, e o que ela faz é particularmente insidioso: rouba tokens OAuth para contornar o MFA sem precisar capturar senhas.

O que aconteceu

Em 21 de maio de 2026, o FBI emitiu um Comunicado de Segurança Pública alertando sobre o Kali365, uma ferramenta de phishing que permite a criminosos cibernéticos obterem tokens de acesso OAuth de contas Microsoft 365. O ataque não intercepta credenciais de login — ele engana a vítima para que autorize o dispositivo do invasor a acessar sua conta, usando o fluxo legítimo de concessão de OAuth.

O modus operandi é enganosamente simples: a vítima recebe um e-mail que parece vir de um serviço confiável de compartilhamento de documentos em nuvem. O e-mail contém instruções para inserir um código específico em um site legítimo da Microsoft. Esse código, na verdade, autoriza o dispositivo do invasor a obter um token OAuth, concedendo acesso à conta da vítima — incluindo e-mails, arquivos e outros dados corporativos.

O FBI não atribuiu a ferramenta a um grupo específico nem divulgou estatísticas de incidência, mas a publicação do alerta indica que a ameaça já foi observada em campo e merece atenção imediata.

O que há de novo

A novidade não está exatamente na técnica — o roubo de tokens OAuth por meio de consent phishing já é conhecido há anos. O que há de novo é a disponibilização de uma ferramenta específica (Kali365) que automatiza o ataque e a publicação de mitigações oficiais do FBI voltadas para equipes de segurança.

Até então, as orientações para bloquear esse tipo de abuso eram difusas. Agora, com o alerta do FBI, a recomendação ganha peso institucional. A agência destacou duas políticas específicas do Microsoft Entra ID que devem ser configuradas:

  • Bloqueio do fluxo de código de dispositivo para todos os usuários, com exceções estritas para processos legítimos.
  • Bloqueio de políticas de transferência de autenticação, impedindo que tokens sejam transferidos de dispositivos corporativos para dispositivos pessoais.

Por que isso importa

A principal razão pela qual esse alerta merece atenção é que ele ataca o pilar de segurança mais difundido atualmente: o MFA. Muitas organizações tratam a autenticação multifator como uma bala de prata contra phishing, mas o Kali365 mostra que ela pode ser contornada sem que o invasor jamais veja a senha ou o código de verificação.

O token OAuth é como um cartão de acesso válido; se o invasor o obtém, pode usá-lo para acessar recursos sem precisar passar pelo MFA novamente.

Isso acontece porque o ataque não tenta quebrar o MFA — ele captura o token que já foi autenticado. Para o mercado de segurança da informação, isso reforça a necessidade de ir além do MFA tradicional e adotar medidas como tokens de curta duração, validação contínua de sessão (Zero Trust), autenticação resistente a phishing (FIDO2/WebAuthn) e monitoramento de concessões OAuth.

A leitura técnica

O ataque explora o fluxo de código de dispositivo (device code flow) do OAuth 2.0, um mecanismo legítimo projetado para dispositivos com entrada limitada, como smart TVs e consoles de jogos. O invasor abusa desse fluxo para obter um token OAuth sem apresentar credenciais diretamente.

Implicações técnicas para equipes de segurança:

  • MFA não é a defesa correta aqui. O token já contém a prova de autenticação; o ataque captura o token depois que o MFA foi aplicado.
  • Políticas de acesso condicional devem bloquear o fluxo de código de dispositivo no Microsoft Entra ID, com exceções controladas.
  • Bloqueio de transferência de autenticação impede que o token obtido em um dispositivo corporativo seja transferido para outro dispositivo.
  • Monitoramento de consentimento OAuth é essencial para auditar permissões e identificar autorizações suspeitas.

Atenção: A implementação dessas políticas pode impactar processos legítimos, como scripts de automação que usam autenticação de dispositivo. A recomendação do FBI é criar exceções caso a caso, documentando e monitorando rigorosamente quem precisa do acesso.

A leitura de mercado

O alerta do FBI tem implicações diretas no ecossistema de segurança. Para fornecedores de soluções de IAM e proteção contra ameaças de identidade, o Kali365 representa uma oportunidade de mercado: a demanda por ferramentas que detectem e bloqueiem abusos de OAuth tende a crescer.

Organizações que usam Microsoft 365 precisarão revisar suas configurações de segurança, gerando retrabalho administrativo, mas também abrindo espaço para consultorias e serviços gerenciados. Empresas que já adotaram princípios de Zero Trust — especialmente a verificação contínua de tokens e sessões — estarão mais preparadas. Para as demais, o alerta serve como catalisador para acelerar a migração de arquiteturas baseadas em perímetro para modelos mais granulares.

Riscos, limites e pontos de atenção

Embora o alerta do FBI seja relevante, é importante não exagerar o pânico. Alguns pontos merecem ponderação:

  • Falta de dados concretos. O PSA não informa quantas organizações foram afetadas, nem se há vítimas confirmadas. A ausência de atribuição a um grupo específico dificulta a avaliação de risco.
  • A técnica não é nova. O roubo de tokens OAuth via consent phishing já era documentado; o Kali365 pode ser apenas mais uma ferramenta em um ecossistema já saturado.
  • Mitigações podem quebrar processos. Bloquear o fluxo de código de dispositivo sem análise prévia pode interromper operações legítimas, como inscrição em dispositivos gerenciados pelo Intune ou automações via PowerShell.
  • Não há menção a ferramentas de terceiros. O alerta foca em configurações nativas do Microsoft Entra ID, mas soluções de segurança que monitoram OAuth em tempo real podem complementar as defesas.

O que isso sinaliza daqui para frente

O Kali365 é mais um capítulo na evolução das ameaças cibernéticas que se adaptam à adoção de MFA. Enquanto as organizações correm para implementar autenticação multifator, os atacantes deslocam seu foco para o elo mais fraco: os próprios tokens de acesso.

Esse movimento reforça a necessidade de uma abordagem de segurança de identidade em camadas:

  • MFA ainda é fundamental, mas não é suficiente.
  • Políticas de acesso condicional devem ser configuradas com base no princípio do menor privilégio.
  • Monitoramento contínuo de sessões e concessões OAuth precisa se tornar prática padrão.
  • Autenticação resistente a phishing (como FIDO2/WebAuthn) deve ser considerada para usuários de alto risco.

O alerta do FBI é um lembrete oportuno de que a segurança não pode se basear em uma única defesa. O token OAuth é o novo alvo, e as equipes de TI precisam tratá-lo com o mesmo cuidado que dedicam às senhas. A boa notícia é que as mitigações existem e são implementáveis — desde que haja vontade de configurá-las e arcar com os pequenos impactos operacionais.

Resumo prático:

O Kali365 automatiza o roubo de tokens OAuth para burlar MFA sem capturar senhas. O FBI recomenda bloquear o fluxo de código de dispositivo e a transferência de autenticação no Microsoft Entra ID. A defesa eficaz exige ir além do MFA: políticas de acesso condicional, monitoramento de concessões OAuth e autenticação resistente a phishing são medidas essenciais para proteger contas Microsoft 365.

Na Metatron Omni, ajudamos organizações a implementar uma estratégia de segurança de identidade em camadas, desde a configuração de políticas de acesso condicional até o monitoramento contínuo de ameaças. Avalie sua postura de segurança contra ataques baseados em OAuth antes que o próximo alerta chegue.

Published by:

Guilherme Zanini de Sá

You might also like...

22
Mai
Firefox aposta na privacidade como diferencial na era da IA contra Chrome e gigantes

Firefox aposta na privacidade como diferencial na era da IA contra Chrome e gigantes

Enquanto Google, Microsoft e Apple competem para entranhar inteligência artificial em cada aba do navegador, o Firefox faz uma aposta
4 min de leitura
22
Mai
LinkedIn mira o AI slop para restaurar relevância no feed profissional

LinkedIn mira o AI slop para restaurar relevância no feed profissional

Quem frequenta o LinkedIn nos últimos meses já se deparou com aquele post que parece saído de uma fórmula genérica:
4 min de leitura
22
Mai
Busca por IA desloca foco de cliques para citações no jornalismo

Busca por IA desloca foco de cliques para citações no jornalismo

Quando a moeda da atenção digital deixa de ser o clique e passa a ser a citação em respostas geradas
4 min de leitura
22
Mai
Aitana Lopez: a influenciadora de IA que desafia a autenticidade no marketing

Aitana Lopez: a influenciadora de IA que desafia a autenticidade no marketing

Ela tem 400 mil seguidores no Instagram, fecha contratos com marcas de peso e gera engajamento real — mas não é
4 min de leitura
22
Mai
Cloudflare demite 20% e culpa IA: narrativa corporativa ou evidência real

Cloudflare demite 20% e culpa IA: narrativa corporativa ou evidência real

É fácil se deixar levar por uma boa história. O CEO da Cloudflare, Matthew Prince, entregou uma trilha sonora perfeita
5 min de leitura