הבולשת הפדרלית של ארה"ב – FBI פרסמה אזהרה מפני מערכת תקיפה חדשה בשם Kali365, המכוונת למשתמשי Microsoft 365. המערכת מאפשרת לתוקפים לעקוף את מנגנון האימות ולהשיג גישה לחשבונות ללא צורך בידיעת הסיסמה.
4+כיצד פועלת התקיפה?
על פי ה-FBI, מערכת Kali365, שזוהתה לראשונה באפריל 2026 ומופצת בעיקר באמצעות פלטפורמת טלגרם, פועלת במודל של "פישינג כשירות". היא מספקת לתוקפים כלים אוטומטיים, הודעות שנוצרו על ידי בינה מלאכותית ומערכות ללכידת אסימוני גישה.
בניגוד למתקפות פישינג מסורתיות שנועדו לדלות סיסמאות, לדברי הFBI, תקיפה זו מנצלת את תהליך ההתחברות באמצעות "קוד מכשיר" של מיקרוסופט – מנגנון המשמש לרוב להתחברות במכשירים כמו טלוויזיות חכמות.
4+שלבי התקיפה מתבצעים בסדר הבא: התוקף יוזם ניסיון התחברות מהמכשיר שלו.
הקורבן מקבל הודעת דוא"ל מתחזה, הנראית כשירות לגיטימי לשיתוף קבצים, המכילה קוד ומפנה לדף אימות רשמי ואמיתי של מיקרוסופט. ברגע שהקורבן מזין את הקוד באתר הלגיטימי של מיקרוסופט, הוא למעשה מאשר את הגישה למכשיר של התוקף. התוקף משיג אסימוני גישה ורענון, המאפשרים לו כניסה חופשית
לשירותי המשתמש ללא צורך בסיסמה או בהנפקת קוד אימות נוסף.
הסיכון לארגונים ולעסקים מומחי אבטחה מציינים כי מתקפה זו מהווה סיכון משמעותי במיוחד עבור עסקים. מאחר שהקורבן מזין את הקוד באתר האמיתי של מיקרוסופט, כלי אבטחה רבים ומנהלי סיסמאות אינם מזהים פעילות חריגה. ברגע שהתוקף משיג גישה לתיבת הדוא"ל הארגונית, הוא מסוגל לקרוא תכתובות, לשלוח חשבוניות פיקטיביות לספקים, ולפנות לעובדים אחרים בארגון ממקור שנראה מהימן לחלוטין.
4+ה-FBI וצוותי האבטחה של מיקרוסופט ממליצים למשתמשים ולארגונים
לנקוט במספר צעדים כדי לצמצם את סיכוני הפגיעה: זהירות עם קודי אימות: אין להזין קוד מכשיר של מיקרוסופט בשום מצב, אלא אם המשתמש יזם בעצמו את תהליך ההתחברות. אין להיענות לבקשות להזנת קוד המגיעות בדוא"ל או בהודעות Teams. גישה ישירה למערכות: יש להימנע מלחיצה על קישורים בהודעות בלתי צפויות, ולהיכנס למערכת Microsoft 365 ישירות דרך הדפדפן.
ניטור פעילות: יש לבדוק באופן שוטף את יומני ההתחברות, רשימת המכשירים המחוברים וההפעלות הפעילות, ולבטל מיד כל פעילות שאינה מוכרת. הנחיות לצוותי ה-IT: ה-FBI ממליץ לארגונים לבחון את הצורך בשימוש בקוד מכשיר.
במידה ואין צורך עסקי הכרחי, יש ליצור מדיניות גישה מותנית החוסמת אפשרות זו
עבור רוב המשתמשים. בנוסף, מומלץ לחסום מדיניות העברת אימות.
4+כיצד לפעול במקרה של חשד לפריצה?
משתמשים החושדים כי הזינו קוד אימות בעקבות הודעה זדונית נדרשים לפעול באופן מיידי. הפעולות הנדרשות כוללות התנתקות מכלל המכשירים, החלפת סיסמה, ובדיקה של כללי העברת הודעות בתיבת הדוא"ל כדי לוודא שמידע אינו מועבר אוטומטית לידי התוקפים. בארגונים, יש לדווח על האירוע באופן מיידי לצוות אבטחת המידע, שכן אסימוני גישה גנובים יאפשרו גישה לתוקפים עד שיבוטלו באופן יזום מהמערכת.
