O novo campo de batalha: a identidade digital

Sua empresa usa Microsoft 365. Tem MFA ativado, políticas de senha fortes, treinamento de conscientização. E mesmo assim, uma conta do Outlook pode ser sequestrada hoje à noite — sem que o invasor precise da sua senha, sem que o seu segundo fator de autenticação seja interceptado, sem que o usuário perceba que cometeu um erro grave. Esse não é um cenário hipotético. É exatamente o que o FBI documentou no final de maio de 2026, ao emitir um alerta público sobre o Kali365, uma plataforma de Phishing-as-a-Service que está redefinindo o patamar dos ataques à identidade corporativa.

Durante anos, o modelo de proteção corporativa se organizou em torno de um pressuposto simples: se você controla a senha e ativa o segundo fator, a conta está protegida. O MFA tornou-se a recomendação padrão de qualquer política de segurança — e com razão. Por muito tempo, funcionou.

O problema é que os criminosos pararam de tentar roubar senhas. A nova geração de ataques não tenta descobrir o que você sabe. Ela sequestra o que você já está usando: o token de acesso OAuth, a credencial temporária que o Microsoft 365 emite toda vez que você faz login e que diz ao sistema “esse dispositivo já foi verificado, pode deixar entrar”.

Quem controla o token, controla a conta. Sem precisar de senha. Sem precisar passar pelo MFA. E, dependendo do tipo de token capturado, com acesso persistente por horas — ou dias.

O que é o Kali365 e por que o FBI emitiu um alerta específico sobre ele

O FBI raramente emite comunicados de utilidade pública sobre ferramentas de ataque específicas. Quando o faz, o sinal é claro: a escala e o grau de sofisticação saíram do controle. Foi o que aconteceu em 21 de maio de 2026, quando a agência publicou um alerta formal no IC3 sobre o Kali365.

Detectado pela primeira vez em abril de 2026 e distribuído principalmente via Telegram, o Kali365 é uma plataforma de phishing vendida por assinatura — com valores que pesquisadores de segurança estimam em torno de US$ 250 por mês. Por esse preço, qualquer criminoso sem habilidade técnica ganha acesso a um arsenal completo: iscas de phishing geradas por IA, templates de campanha automatizados, dashboards de rastreamento em tempo real e, sobretudo, capacidade de capturar tokens OAuth do Microsoft 365 em escala.

Em abril de 2026, pesquisadores documentaram centenas de ataques originados da plataforma, atingindo organizações na América do Norte e na Europa. A velocidade de adoção foi o que chamou a atenção das autoridades.

Como o ataque funciona na prática: device code phishing

O mecanismo explorado pelo Kali365 tem um nome técnico: device code phishing. Ele abusa de um fluxo de autenticação legítimo do Microsoft 365 — o OAuth 2.0 Device Authorization Grant — criado originalmente para permitir que dispositivos sem teclado (smart TVs, impressoras, sistemas de sala de reunião) se autentiquem usando outro dispositivo com um código curto.

O criminoso inverte esse fluxo. A sequência funciona assim:

  1. A vítima recebe um e-mail aparentemente legítimo — uma notificação de compartilhamento de documento no OneDrive, uma mensagem do Teams, uma solicitação do Adobe Acrobat Sign ou do DocuSign. O remetente parece confiável. O layout é profissional.
  2. O e-mail contém um código de dispositivo curto e instrui a vítima a acessar a página oficial da Microsoft (microsoft.com/devicelogin) para inserir o código e “visualizar o documento”.
  3. A página da Microsoft é real. Não é uma réplica. A vítima vê o layout original, a identidade visual da sua organização, as telas padrão de consentimento. Nada parece errado.
  4. Ao inserir o código e aprovar, a vítima autoriza, sem saber, a conexão de um aplicativo controlado pelo atacante à sua conta do Microsoft 365.
  5. O dispositivo do criminoso recebe tokens de acesso e de atualização OAuth vinculados à conta — e pode usá-los para acessar Outlook, Teams, OneDrive e SharePoint sem digitar uma senha, enquanto os tokens permanecerem válidos.

O detalhe que torna esse ataque particularmente perigoso é que a vítima não erra no sentido tradicional. Não clicou em um link suspeito. Não digitou a senha em um site falso. Seguiu instruções que pareciam completamente normais e inseriu um código numa página real da Microsoft. O erro está no contexto, não na ação.

O que o invasor pode fazer depois de capturar o token

Com tokens OAuth válidos em mãos, o invasor não precisa mais de nada. O acesso é transparente, silencioso e difícil de distinguir de uma sessão legítima. Na prática, isso significa:

  • Leitura de e-mails do Outlook, incluindo mensagens de redefinição de senha de outros sistemas — o que pode ser o ponto de entrada para comprometer outras contas além do Microsoft 365.
  • Acesso a arquivos no OneDrive e no SharePoint, com possibilidade de exfiltração de documentos sensíveis, contratos, dados financeiros e propriedade intelectual.
  • Envio de e-mails de phishing a partir do endereço legítimo da vítima — comprometendo clientes, parceiros e colegas de trabalho e criando uma cadeia de contaminação interna difícil de rastrear.
  • Persistência prolongada: os tokens capturados pelo Kali365 são armazenados na plataforma e podem ser compartilhados entre afiliados, ampliando a superfície de ataque muito além do criminoso original.

O elemento mais preocupante para gestores de TI é a invisibilidade. Uma sessão iniciada com token válido não dispara os mesmos alertas que uma tentativa de login com credencial errada. Do ponto de vista dos logs, parece que o usuário simplesmente está trabalhando.

O ecossistema mais amplo: Kali365 não está sozinho

O alerta do FBI sobre o Kali365 é importante, mas seria um erro tratá-lo como um caso isolado. O resumo semanal do Malwarebytes Labs referente à semana de 25 a 31 de maio de 2026 documenta um padrão mais amplo: a identidade digital virou o principal vetor de ataque em múltiplas frentes simultâneas.

Na mesma semana, pesquisadores registraram uma campanha de phishing mirando usuários do Signal para roubo de backups, uma operação de golpe em larga escala que se passava pela Microsoft com envolvimento de executivos norte-americanos, e mais de 700 sites de educação e tecnologia comprometidos em uma campanha de malware ClickFix. Falsos e-mails do LinkedIn abusando da infraestrutura da Adobe para rastrear vítimas completaram o quadro.

O padrão é consistente: os criminosos não estão mais tentando derrubar sistemas. Estão tentando se tornar o usuário. Roubar a identidade, assumir a sessão, agir de dentro. O Microsoft 365, por ser a espinha dorsal da comunicação e produtividade de milhões de empresas, naturalmente concentra o maior volume dessas tentativas.

O que sua empresa precisa fazer agora

O Kali365 e técnicas similares de device code phishing exigem uma resposta em camadas. Não existe um único controle que resolva o problema sozinho — mas existem medidas concretas que reduzem drasticamente a superfície de risco.

1. Bloqueie ou restrinja o fluxo de autenticação por device code

Se a sua organização não usa dispositivos que dependem do OAuth Device Authorization Grant (smart TVs corporativas, sistemas de sala de reunião), considere desabilitar esse fluxo no Microsoft Entra ID via Conditional Access Policies. Para a maioria das empresas de médio porte, esse fluxo não é necessário no dia a dia — e mantê-lo ativo representa um risco desnecessário.

2. Treine usuários para o contexto, não apenas para o conteúdo

O treinamento tradicional de phishing ensina a desconfiar de links suspeitos e domínios estranhos. O device code phishing usa links reais e domínios legítimos da Microsoft. O treinamento precisa evoluir: nenhum código de dispositivo deve ser inserido em microsoft.com/devicelogin a menos que o próprio usuário tenha iniciado o processo de login em um dispositivo físico seu, naquele momento. Se chegou por e-mail, é ataque.

3. Monitore sessões e dispositivos ativos com regularidade

Usuários e administradores devem verificar periodicamente os dispositivos conectados às contas em account.microsoft.com/devices/. Sessões desconhecidas precisam ser removidas imediatamente, seguidas de revogação de tokens ativos no Microsoft Entra ID. Em ambientes corporativos, isso deve ser parte de um processo de revisão de acesso periódico, não uma ação reativa.

4. Implante monitoramento de comportamento de conta (UEBA)

Soluções de User and Entity Behavior Analytics — disponíveis nativamente no Microsoft Defender for Cloud Apps e em plataformas como Sophos MDR — conseguem identificar padrões anômalos mesmo quando o token de acesso é legítimo: login em horário incomum, acesso a um volume anormal de arquivos, envio de e-mails para listas não habituais. Essa camada de detecção comportamental é o que diferencia uma resposta reativa de uma postura proativa.

5. Revogue tokens comprometidos imediatamente

Se houver suspeita de comprometimento, a simples troca de senha não é suficiente — os tokens OAuth são independentes da senha. É necessário revogar todas as sessões ativas no Microsoft Entra ID, forçar novo login em todos os dispositivos e revisar os logs de auditoria em busca de acessos recentes não autorizados.

A mudança de paradigma que esse ataque representa

Há uma lição estratégica que vai além das medidas técnicas: o Kali365 é sintomático de uma mudança de paradigma nos ataques cibernéticos corporativos. A barreira de entrada para ataques sofisticados colapsou. Uma plataforma de assinatura com IA integrada, templates prontos e dashboard de rastreamento em tempo real entrega para criminosos sem experiência técnica o mesmo poder que, há três anos, exigia uma equipe especializada.

Para empresas que usam Microsoft 365 como backbone operacional — e no Brasil, isso representa a grande maioria das organizações de médio e grande porte —, isso significa que a pergunta não é mais “se” um ataque de identidade vai acontecer, mas “quando” e “com qual impacto”. A resposta adequada não é o pânico, mas a maturidade: revisar políticas de acesso, investir em monitoramento contínuo e garantir que o stack de segurança da organização esteja preparado para detectar o que o MFA sozinho não consegue mais bloquear.

A InfoB trabalha com as principais soluções de proteção de identidade e endpoint para o mercado corporativo brasileiro — incluindo Microsoft Defender, Sophos MDR e Kaspersky Endpoint Security. Se sua empresa utiliza Microsoft 365 e quer avaliar a exposição atual ao device code phishing e ataques de token hijacking, entre em contato com nosso time técnico para uma avaliação de risco sem custo.

Perguntas frequentes sobre ataques à identidade no Microsoft 365

O que é o Kali365 e por que ele é perigoso para empresas que usam Microsoft 365?

O Kali365 é uma plataforma de Phishing-as-a-Service (PhaaS) detectada em abril de 2026 e alertada formalmente pelo FBI em maio do mesmo ano. Ele é perigoso porque não tenta roubar senhas — em vez disso, captura tokens OAuth do Microsoft 365, que são as credenciais temporárias usadas pelo sistema para manter sessões ativas. Com o token em mãos, o invasor acessa Outlook, Teams, OneDrive e SharePoint sem precisar da senha do usuário e sem ser barrado pelo MFA.

O MFA não protege contra esse tipo de ataque?

Não completamente. O Kali365 usa uma técnica chamada device code phishing que explora um fluxo de autenticação legítimo do Microsoft 365. A vítima passa pelo MFA normalmente — mas, ao inserir o código de dispositivo enviado pelo atacante na página real da Microsoft, autoriza sem saber a conexão de um aplicativo criminoso à sua conta. O MFA é superado não por força bruta, mas por engenharia social aplicada ao próprio processo de autenticação.

Como identificar um e-mail de device code phishing?

A principal característica é a solicitação inesperada: o e-mail pede que você acesse microsoft.com/devicelogin e insira um código curto para visualizar um documento ou acessar um recurso compartilhado. A regra prática é simples: você só deve inserir um código nessa página quando você mesmo iniciou o login em um dispositivo físico seu — nunca porque um e-mail pediu. Outros sinais de alerta incluem urgência artificial, remetentes que imitam Adobe, DocuSign ou SharePoint, e o uso da página legítima da Microsoft justamente para baixar a guarda da vítima.

Trocar a senha resolve o problema se a conta já foi comprometida?

Não. Essa é uma das armadilhas mais comuns após um incidente desse tipo. Os tokens OAuth capturados pelo Kali365 são independentes da senha — eles continuam válidos mesmo depois que o usuário altera a credencial. A resposta correta exige revogar todas as sessões ativas no Microsoft Entra ID, forçar novo login em todos os dispositivos vinculados à conta e auditar os logs de acesso para identificar o que foi acessado ou exfiltrado durante o período de comprometimento.

Qualquer empresa pode ser alvo, ou o Kali365 foca em grandes corporações?

Qualquer organização que use Microsoft 365 é um alvo potencial, independentemente do porte. O modelo de assinatura do Kali365 — com templates automatizados e iscas geradas por IA — permite que criminosos lancem campanhas em escala contra centenas de empresas simultaneamente. PMEs são frequentemente alvos mais fáceis justamente por terem políticas de segurança menos maduras e menor capacidade de detectar comportamentos anômalos em sessões já autenticadas.

O que é o fluxo OAuth Device Authorization Grant e como ele pode ser desativado?

O OAuth Device Authorization Grant é um mecanismo criado para autenticar dispositivos sem teclado — como smart TVs, impressoras corporativas e sistemas de sala de reunião — usando um código inserido em outro dispositivo. No Microsoft Entra ID, administradores podem bloquear esse fluxo para usuários comuns via Conditional Access Policies, criando uma regra que restrinja ou desabilite completamente o Device Code Flow. Para a maioria das empresas de médio porte, esse fluxo não é necessário no cotidiano e mantê-lo ativo representa uma superfície de ataque desnecessária.

Como monitorar se há sessões não autorizadas ativas na minha conta do Microsoft 365?

Usuários podem verificar dispositivos e sessões ativas em account.microsoft.com/devices/. Qualquer dispositivo desconhecido deve ser removido imediatamente. Para administradores, o Microsoft Entra ID oferece relatórios de sign-ins e logs de auditoria que identificam acessos de localizações ou dispositivos incomuns. Soluções como o Microsoft Defender for Cloud Apps adicionam análise comportamental (UEBA) que detecta padrões anômalos mesmo em sessões iniciadas com tokens legítimos.

O que fazer se suspeitar que minha conta foi comprometida?

O protocolo recomendado envolve quatro passos imediatos: (1) revogar todas as sessões e tokens ativos no Microsoft Entra ID — não apenas trocar a senha; (2) remover dispositivos desconhecidos vinculados à conta; (3) auditar os logs de acesso para identificar o que foi lido, baixado ou enviado durante o período suspeito; (4) acionar o time de segurança ou o parceiro de TI responsável para uma investigação completa. Incidentes confirmados podem ser reportados ao IC3.gov, conforme orientação do FBI.