MFA (višefaktorska autentifikacija) godinama je bila jedna od najvažnijih preporuka u svijetu kibernetičke sigurnosti. Višefaktorska autentifikacija trebala je biti dodatni sigurnosni sloj koji će spriječiti kompromitiranje korisničkih računa čak i kada napadači uspiju ukrasti lozinku.
Microsoft je više puta tvrdio da MFA blokira više od 99 posto automatiziranih napada na korisničke račune.
No, novi phishing-as-a-service alat pod nazivom Kali365 pokazuje kako se cyber kriminalci vrlo brzo prilagođavaju modernim sigurnosnim mehanizmima, ali i pronalaze načine kako ih zaobići.
FBI je ovoga tjedna objavio službeno upozorenje o platformi Kali365 koja cilja korisnike usluge Microsoft 365 i pritom uspijeva zaobići MFA bez krađe lozinke.
Riječ je o phishing-as-a-service platformi koja koristi legitimni Microsoftov authentication flow i fokusira se na krađu OAuth tokena umjesto klasične krađe korisničkih podataka.
Napadači više ne moraju ukrasti korisničku lozinku kako bi dobili pristup Microsoft 365 računima.
Microsoft 365
Dovoljno je da korisnik nesvjesno autorizira njihov uređaj.
Nova generacija phishing napada
Kali365 prvi je put primijećen u travnju 2026., a distribuira se prvenstveno putem kanala Telegrama.
FBI navodi kako platforma omogućuje i manje tehnički naprednim napadačima provođenje sofisticiranih phishing kampanja protiv korisnika usluge Microsoft 365.
Navedena platforma je opasna jer funkcionira kao pravi SaaS proizvod za cyber kriminalce.
Napadači dobivaju:
- AI-generirane phishing poruke
- automatizirane phishing kampanje
- dashboarde za praćenje žrtava
- gotove predloške za phishing usluge Microsoft 365
- krađu OAuth access i refresh tokena
Sigurnosni stručnjaci upozoravaju kako se phishing-as-a-service tržište posljednjih godina izrazito profesionaliziralo.
Današnji phishing alati više ne izgledaju kao improvizirani kriminalni projekti nego kao ozbiljni komercijalni servisi s korisničkom podrškom, pretplatama i automatizacijom.
Arctic Wolf Labs navodi kako Kali365 predstavlja “industrijalizaciju cyber kriminala” i spušta ulaznu barijeru za napadače koji nemaju napredno tehničko znanje.
Kako Kali365 zaobilazi MFA?
Klasični phishing pokušava ukrasti korisničko ime i lozinku putem lažne login stranice. Kali365 koristi potpuno drugačiji pristup.
Napad se temelji na tzv. device code phishing tehnici koja iskorištava legitimni OAuth device authorization flow.
Microsoft Blog Security
Taj je mehanizam originalno razvijen za uređaje koji nemaju standardni browser ili tipkovnicu, poput smart TV uređaja, printera, IoT uređaja i gaming konzola.
Korisnik dobije kod koji unosi na Microsoftovu stranicu kako bi autorizirao uređaj.
Napadači sada isti mehanizam koriste za phishing.
Sve započinje emailom koji izgleda legitimno. Poruke tada imitiraju:
- SharePoint dokument
- link na Teams pozive
- cloud sharing servise
- sigurnosne obavijesti
- zahtjeve za pristup dokumentima
U emailu se nalazi legitimna Microsoftova poveznica i device code koji korisnik treba unijeti kako bi “pristupio dokumentu” ili “potvrdio autentifikaciju”.
Nakon što korisnik unese kod i potvrdi login, napadač dobiva OAuth access i refresh tokene koji omogućavaju pristup Microsoft 365 servisima bez zahtjeva za višefaktoskom autentifikacijom.
Drugim riječima, MFA tehnički nije kompromitiran. Korisnik je legitimno autorizirao napadačev uređaj.
Tokeni OAuth su opasni
OAuth token danas je praktički digitalni identitet korisnika.
Ako napadač uspije ukrasti access ili refresh token, može dobiti pristup Outlooku, Teamsu, OneDriveu, SharePointu, Exchange računima, internim dokumentima i poslovnoj komunikaciji.
I to bez ponovnog unosa lozinke.
Industrija cyber sigurnosti posljednjih godina sve više osvještava na token theft i session hijacking napade. Moderni phishing više nije fokusiran samo na krađu lozinki nego na krađu aktivnih autentificiranih sesija.
Vidimo da CSO Online upozorava da napadači sve češće ciljaju upravo OAuth tokene jer omogućuju dugotrajan pristup bez potrebe za stalnim phishingom korisnika.
AI phishing postaje ozbiljan problem
Jedan od razloga zbog kojih Kali365 izaziva toliku zabrinutost jest korištenje umjetne inteligencije.
FBI navodi kako platforma koristi AI-generirane phishing poruke koje izgledaju znatno uvjerljivije od tradicionalnih phishing emailova.
Microsoftovi istražitelji posljednjih mjeseci bilježe dramatičan rast AI-driven phishing kampanja.
Prema podacima izvještaja Microsoft Threat Intelligence, tijekom prvog kvartala 2026. detektirano je oko 8,3 milijarde phishing prijetnji putem emaila.
Microsoft
Posebno zabrinjava eksplozija QR phishing kampanja koje su u samo nekoliko mjeseci porasle za 146 posto.
Naime, AI phishing danas omogućuje stvaranje personaliziranih phishing poruka.
E-mailovi više nisu toliko prepuni gramatičkih pogrešaka.
Zatim, odlično imitiraju poslovnu komunikaciju, dobro gađaju ciljane skupine, a napadi su im automatizirano skalirani.
Microsoft je još u travnju upozorio na AI-enabled device code phishing kampanje koje su ciljale desetke tisuća korisnika u više od 13 tisuća organizacija.
Prema njihovim podacima, kampanja je primarno ciljala zdravstveni sektor, financijske institucije, tehnološke kompanije i profesionalne servise.
Napadači su koristili AI za generiranje uvjerljivih poslovnih scenarija poput:
- slanja računa putem e-maila
- slanje ponude ili narudžbenice
- RFP komunikacije
- internih sigurnosnih obavijesti
Microsoft 365 postao je glavna meta
Microsoft 365 danas je jedna od najvrjednijih meta za cyber kriminalce.
Naime, kompromitacija samo jednog korisničkog računa napadačima otvara pristup kompletnoj poslovnoj infrastrukturi. Tvrtke koje su svjesne te realnosti već neko vrijeme upozoravaju na sve veći rast device code phishing napada.
Proofpoint je još krajem 2025. upozorio da takve tehnike postaju standard među kriminalnim i state-sponsored grupama.
Problem je dodatno eskalirao pojavom phishing-as-a-service platformi poput EvilTokensa, Tycoon2FA i Kali365 koje omogućuju masovno provođenje sofisticiranih phishing kampanja čak i napadačima bez dubokog tehničkog znanja.
MFA više nema smisla?
Unatoč svemu, sigurnosni stručnjaci i dalje naglašavaju da MFA ostaje jedna od najvažnijih sigurnosnih mjera.
Microsoft i dalje tvrdi da više od 99 posto kompromitiranih računa nije koristilo MFA.
Problem nije u samom MFA konceptu nego u činjenici da moderni phishing napadi ciljaju legitimne autentificirane sesije i ljudsku psihologiju.
Naime, napad ne probija MFA tehnički. Korisnik sam autorizira pristup.
Zato se sigurnosna industrija posljednjih godina sve više okreće phishing-resistant autentifikaciji.
Microsoft je već najavio postupno udaljavanje od SMS-based MFA modela zbog poznatih sigurnosnih slabosti poput SIM swapping napada i phishinga.
Tvrtke imaju izbor
Kali365 pokazuje da sigurnost više ne može ovisiti samo o lozinkama i MFA-u.
Posebno je važna edukacija korisnika jer device code phishing koristi legitimne Microsoftove stranice. Korisnicima je zato mnogo teže prepoznati da se radi o napadu.
FBI upozorava da zaposlenici nikada ne bi trebali unositi device codeove dobivene emailom bez dodatne provjere legitimnosti zahtjeva.
Cyber sigurnost ulazi u novu fazu
Kali365 se itekako prilagodio modernim tehnologijama. Današnji napadi više ne izgledaju kao nekadašnji phishing emailovi puni gramatičkih grešaka i sumnjivih linkova koje je bilo relativno lako prepoznati.
Napadači danas koriste umjetnu inteligenciju, legitimne authentication procese i cloud infrastrukturu kako bi njihove kampanje izgledale što uvjerljivije i što teže prepoznatljive.
Phishing-as-a-service platforme poput Kali365 dodatno ubrzavaju taj trend jer omogućuju masovno provođenje sofisticiranih napada čak i ljudima bez ozbiljnijeg tehničkog znanja.
Budite oprezni i neka identitet postane nova sigurnosna granica!
