Marketplace clandestino expõe nova fronteira de ataques que miram contas corporativas e pessoais
Kali365 — apelidada por pesquisadores de “Amazon do cibercrime” — surgiu recentemente oferecendo kits prontos para sequestrar contas Microsoft ao explorar falhas no fluxo OAuth e contornar a autenticação multifator (MFA). A operação eleva o nível de ameaça para empresas e consumidores, inclusive no Brasil.
- Em resumo: serviço vende acesso automatizado, via IA, capaz de enganar usuários e driblar MFA em poucos minutos.
IA acelera ataques e barateia o crime digital
Segundo análise de pesquisadores da SentinelOne, o Kali365 combina machine learning a scripts que abusam do device code flow — recurso legítimo da Microsoft para logins em dispositivos sem teclado. O artifício força o usuário a confirmar um código aparentemente autêntico, entregando o token da sessão ao invasor. Reportagem do The Verge detalha a facilidade de compra desses kits, vendidos com suporte 24/7 e planos de assinatura que lembram marketplaces convencionais.
“É o primeiro ecossistema as-a-service que industrializa o bypass de MFA com IA, cobrando de US$ 20 a US$ 200 por campanha”, alerta o relatório técnico.
O que muda para empresas e usuários no Brasil
Com mais de 48 milhões de contas corporativas Microsoft 365 ativas no país, segundo dados da consultoria IDC, a brecha aumenta a superfície de ataque a e-mails, OneDrive e Teams. Organizações que dependem apenas do MFA tradicional podem ter uma falsa sensação de segurança. Especialistas recomendam políticas de acesso condicional, rastreio de logins suspeitos e adoção de chaves de segurança FIDO2, consideradas mais resistentes a engenharia social.
Como o Kali365 dribla a autenticação multifator?
Ele convence o usuário a inserir um código legítimo do OAuth, capturando o token de acesso e validando a sessão sem precisar da segunda etapa.
Quais medidas imediatas reduzem o risco?
Habilitar chaves físicas, revisar apps autorizados na conta e aplicar supervisão de login por localização e dispositivo.
O que você acha? Sua empresa já planeja reforçar a proteção além do MFA? Para mais análises sobre segurança digital, acesse nossa editoria especializada.
Crédito da imagem: Divulgação / SentinelOne
