Peringatan FBI: Kali365 Phishing-as-a-Service Bobol Microsoft 365
ORBITINDONESIA.COM – FBI memperingatkan platform Kali365, sebuah phishing-as-a-service (PhaaS) yang membajak akun Microsoft 365 dengan menyalahgunakan autentikasi OAuth device code. Modus ini mencuri token sesi dan dapat melewati multi-factor authentication (MFA), sehingga korban tetap bisa diretas tanpa kata sandi dicuri. (Orbit dari berbagai sumber, 27 Mei 2026)
Menurut peringatan layanan publik (PSA) FBI, Kali365 pertama kali muncul pada April 2026 dan dipasarkan lewat kanal Telegram. Paket ini menyasar pelaku kejahatan siber yang ingin cara “lebih mudah” mengambil alih akun Microsoft 365 tanpa harus mengintip password atau kode MFA. (Orbit dari berbagai sumber, 27 Mei 2026)
Inti serangannya adalah device code phishing, teknik yang memelintir alur OAuth 2.0 Device Authorization yang sebenarnya sah. Mekanisme ini dibuat untuk perangkat minim input seperti smart TV, printer, perangkat IoT, atau sistem ruang rapat, yang login lewat kode singkat di portal microsoft.com/devicelogin. (Orbit dari berbagai sumber, 27 Mei 2026)
Dalam skema ini, penyerang memulai proses otorisasi untuk menghasilkan kode, lalu menipu korban agar memasukkannya pada halaman login Microsoft. Setelah korban menyelesaikan MFA, Microsoft menerbitkan token akses OAuth yang memberi penyerang akses tanpa tantangan MFA lanjutan. (Orbit dari berbagai sumber, 27 Mei 2026)
Dampaknya tidak berhenti pada email, karena akun single sign-on biasanya membuka pintu ke banyak aplikasi. FBI menyebut akses bisa meluas ke Microsoft 365, Salesforce, dan platform SaaS lain yang biasa dipakai korban, sehingga pencurian data menjadi langkah berikutnya. (Orbit dari berbagai sumber, 27 Mei 2026)
Kali365 mempercepat serangan dengan fitur yang biasanya hanya dimiliki aktor matang. FBI menyoroti umpan phishing berbasis AI, template kampanye otomatis, dasbor pelacakan korban real-time, serta fungsi penangkapan token. (Orbit dari berbagai sumber, 27 Mei 2026)
Peneliti Arctic Wolf melaporkan aktivitas Kali365 pada April setelah melihat kampanye luas yang menarget organisasi di berbagai negara. Korban diarahkan melalui email phishing ke portal device code Microsoft, lalu tanpa sadar memberi otorisasi kepada penyerang. (Orbit dari berbagai sumber, 27 Mei 2026)
Setelah masuk, peretas memanfaatkan akses ke mailbox untuk membuat inbox rule berbahaya agar jejak serangan tersembunyi. Dalam beberapa kasus, penyerang juga mendaftarkan perangkat baru di lingkungan Microsoft korban, sehingga akses bertahan lebih lama dan lebih sulit dideteksi. (Orbit dari berbagai sumber, 27 Mei 2026)
Arctic Wolf menilai Kali365 beroperasi layaknya bisnis, dengan admin yang mengelola pengembangan produk, reseller yang memasarkan layanan, dan afiliasi yang menjalankan serangan. Model ini membuat “kapabilitas tingkat lanjut” bisa dibeli, bukan lagi dibangun lewat keahlian teknis bertahun-tahun. (Orbit dari berbagai sumber, 27 Mei 2026)
Platform ini menawarkan dua mode serangan yang memperluas spektrum risiko. Mode pertama adalah device code phishing, sedangkan mode kedua adalah adversary-in-the-middle (AitM) bernama “Cookie Link” yang memproksi korban lewat infrastruktur penyerang. (Orbit dari berbagai sumber, 27 Mei 2026)
Dalam Cookie Link, sesi browser yang sudah terautentikasi, cookie sesi, dan token ditangkap setelah korban login dan menuntaskan MFA. Artinya, MFA tidak “dibobol” secara teknis, tetapi dilewati karena penyerang menumpang pada sesi yang sudah sah. (Orbit dari berbagai sumber, 27 Mei 2026)
Gelombang ini bukan insiden tunggal, melainkan tren 2026 yang makin mapan. Laporan sebelumnya juga mencatat kelompok pemerasan seperti ShinyHunters menarget Microsoft Entra melalui device-code dan voice phishing, sementara PhaaS lain seperti EvilTokens dan Tycoon2FA ikut mengadopsi teknik serupa. (Orbit dari berbagai sumber, 27 Mei 2026)
Kisah Kali365 memperlihatkan pergeseran besar: keamanan modern tidak lagi runtuh karena password lemah, tetapi karena alur “resmi” yang dimanipulasi. Ketika pengguna melihat domain Microsoft yang valid, refleks kewaspadaan turun, padahal justru di sanalah rekayasa sosial bekerja paling efektif. (Orbit dari berbagai sumber, 27 Mei 2026)
Ini juga menampar asumsi populer bahwa MFA adalah garis finish. MFA tetap penting, tetapi tidak kebal terhadap pencurian token dan pembajakan sesi, sehingga organisasi perlu memandang identitas sebagai perimeter yang harus diawasi terus-menerus. (Orbit dari berbagai sumber, 27 Mei 2026)
Yang paling mengkhawatirkan adalah industrialisasi kejahatan siber, karena PhaaS mengubah serangan menjadi “produk” yang bisa dipakai penyerang minim keterampilan. Ketika kampanye bisa digelar dengan template, AI, dan dasbor, maka pertahanan harus naik kelas dari sekadar edukasi pengguna menjadi kontrol teknis yang ketat. (Orbit dari berbagai sumber, 27 Mei 2026)
FBI merekomendasikan perusahaan membatasi atau memblokir device code authentication lewat Conditional Access bila memungkinkan, mengaudit penggunaan device code yang ada, dan memblok kebijakan transfer autentikasi antarperangkat. Organisasi yang terdampak juga diminta melapor ke Internet Crime Complaint Center serta menyimpan bukti seperti email phishing, data login mencurigakan, dan pendaftaran perangkat tanpa izin. (Orbit dari berbagai sumber, 27 Mei 2026)
Pelajaran utamanya sederhana namun tidak nyaman: keamanan bukan hanya soal menambah lapisan, melainkan memastikan lapisan itu tidak bisa “dipinjam” oleh penyerang. Jika token dan sesi kini menjadi mata uang baru peretasan Microsoft 365, pertanyaannya bukan apakah MFA cukup, melainkan seberapa cepat kita menutup celah pada proses yang terlihat sah. (Orbit dari berbagai sumber, 27 Mei 2026)
