De FBI heeft een publieke waarschuwing uitgebracht over Kali365. Dat is een nieuw Phishing-as-a-Service-platform dat Microsoft 365-accounts kan overnemen zonder ooit een wachtwoord te onderscheppen. Het platform richt zich op OAuth-tokens, waarmee ook multifactorauthenticatie wordt omzeild.
Kali365 werd voor het eerst gesignaleerd in april 2026. Sindsdien waarschuwt het Amerikaanse Federal Bureau of Investigation voor de dreiging die het platform vormt voor organisaties die gebruik maken van Microsoft 365. Aanvallers hebben geen enkel wachtwoord nodig om toegang te krijgen en dat is verbazingwekkend te noemen.
Het platform werkt via een techniek die bekendstaat als device code phishing. Slachtoffers ontvangen een e-mail waarmee kwaadwillenden zich voordoen als cloudservice of documentdelingsplatform. De mail bevat een verificatiecode met de instructie deze in te voeren op een echte Microsoft-pagina. Zodra dat gebeurt, autoriseert het slachtoffer echter onbewust een apparaat dat wordt beheerd door de aanvaller. “De aanvaller heeft vervolgens toegang tot Microsoft 365-diensten zoals Outlook, Teams en OneDrive, zonder dat hier een wachtwoord of aanvullende MFA-verificatie voor nodig is”, aldus de FBI.
De FBI benadrukt dat Kali365 de drempel verlaagt voor aanvallers met weinig technische kennis. Via een abonnement krijgen ze toegang tot AI-gegenereerde phishinglokmiddelen, geautomatiseerde campagnetemplates, een realtime trackingdashboard en tools om OAuth access- en refresh-tokens te stelen.
Dat cybercriminelen hun pijlen zo nadrukkelijk op Microsoft 365 richten is geen toeval, gezien de enorme mondiale footprint van het platform. Wereldwijd telt de productiviteitssuite inmiddels zo’n 450 miljoen betaalde cloudlicenties. Hoewel Google Workspace door een sterke positie binnen het onderwijs en bij micro-bedrijven een groter aandeel in totale domeinnamen heeft, is Microsoft de onbetwiste koning in de zakelijke markt.
Driekwart van de Fortune 500-bedrijven gebruikt Microsoft 365 als primaire cloudomgeving. In het grotere enterprise-segment (organisaties met meer dan 1.000 werknemers) ligt het marktaandeel rond de 58 procent. Het platform verwerkt maandelijks meer dan 400 miljard e-mails. Microsoft Teams is met ruim 320 miljoen actieve gebruikers per maand uitgegroeid tot de centrale communicatie-as van het internationale bedrijfsleven. Al met al zijn de producten van de softwaregigant dus een goudmijn voor aanvallers die via platforms als Kali365 met een enkele succesvolle token-diefstal direct toegang krijgen tot gevoelige bedrijfsdata.
PhaaS-platform in een groeiende markt
Kali365 past in een bredere trend, want zogenaamde Phishing-as-a-Service-platforms zijn inmiddels beschikbaar voor enkele honderden dollars per maand. Eerder dit jaar nog pakte Microsoft samen met Cloudflare en beveiligingsdiensten het Tycoon 2FA PhaaS-platform aan, dat eveneens gericht was op Microsoft 365. Microsoft heeft vooralsnog niet gereageerd op de FBI-waarschuwing over de Kali365-dienst.
Microsoft is en blijft altijd een bovengemiddeld populair doelwit, simpelweg vanwege de naamsbekendheid en omdat miljoenen mensen hun diensten gebruiken. Zo nemen cyberaanvallen via Microsoft Teams alsmaar toe en phishing verschuift steeds vaker van e-mail naar Teams en agenda’s.
Wat kunnen organisaties doen?
De FBI adviseert organisaties een beleid in te stellen dat de device codeflow blokkeert voor de meeste gebruikers, met uitzonderingen voor alleen strikt noodzakelijke processen. Daarvoor raadt het bureau aan eerst te inventariseren hoe verificatiecodes nu worden gebruikt, zodat legitieme use-cases niet worden verstoord. Voor individuele gebruikers geldt het bekende advies: klik niet op dubieuze links in e-mails. Aanvallers die een geavanceerd PhaaS-platform inzetten, maken uiteindelijk nog steeds gebruik van een standaard phishingmail als toegangspoort.