Un atac de phishing greu de detectat vizează acum conturile Microsoft 365, chiar și pe cele protejate cu autentificare în doi pași. FBI a emis un avertisment public despre platforma Kali365, un serviciu de phishing-as-a-service care exploatează un mecanism legitim Microsoft pentru a prelua controlul conturilor fără să declanșeze niciun semnal de alarmă vizibil.
Cum funcționează atacul
Hackerii exploatează sistemul Microsoft de autentificare prin cod de dispozitiv — o funcție concepută inițial pentru televizoare smart și playere media, care nu au tastatură completă. Atacatorii inițiază procesul de autentificare, apoi conving victima prin phishing sau inginerie socială să introducă un cod scurt pe site-ul real Microsoft. Odată introdus, Microsoft generează automat un token de acces pe…
