L’FBI ha pubblicato un nuovo avviso di sicurezza dedicato a Kali365, una piattaforma Phishing-as-a-Service distribuita principalmente tramite Telegram che sfrutta il device code flow di Microsoft Entra ID per ottenere accesso persistente agli account Microsoft 365 senza rubare password o codici MFA. Il Public Service Announcement diffuso il 21 maggio 2026 dall’Internet Crime Complaint Center descrive una minaccia emersa ad aprile che trasforma una funzionalità OAuth legittima in un vettore di compromissione estremamente efficace contro aziende, enti pubblici e utenti enterprise. Il kit consente agli attaccanti di catturare direttamente token OAuth validi e accedere a servizi come Outlook, Teams e OneDrive come utenti autorizzati, bypassando completamente i tradizionali sistemi di difesa basati su autenticazione multifattore. La pericolosità di Kali365 deriva dal fatto che l’utente completa realmente l’autenticazione sulla pagina ufficiale Microsoft. Non esistono credenziali rubate tramite form fake né codici MFA intercettati. La vittima autorizza inconsapevolmente il dispositivo controllato dall’attaccante utilizzando un normale codice di verifica Microsoft, rendendo l’operazione molto più difficile da individuare rispetto ai tradizionali attacchi di phishing.
Cosa leggere
Kali365 trasforma il device code flow in un vettore di attacco
Il cuore tecnico dell’attacco è il device authorization grant, noto anche come OAuth 2.0 device code flow, standardizzato tramite RFC 8628. Microsoft ha progettato questo flusso per consentire l’autenticazione su dispositivi con capacità di input limitate come smart TV, stampanti, console o dispositivi IoT. In condizioni normali il meccanismo permette a un utente di autenticarsi su un secondo dispositivo più comodo inserendo un codice temporaneo su una pagina Microsoft ufficiale. Kali365 weaponizza questo processo trasformandolo in uno strumento di phishing altamente efficace. Gli attaccanti inviano email che impersonano servizi cloud, condivisioni documentali o piattaforme di produttività Microsoft. All’interno del messaggio compare un device code accompagnato dall’invito a visitare la pagina ufficiale di verifica Microsoft per completare l’accesso. La vittima apre il sito reale di Microsoft, inserisce il codice e completa normalmente l’autenticazione, inclusa l’eventuale MFA. In quel momento però sta autorizzando il dispositivo controllato dall’attaccante, che riceve direttamente i token OAuth validi dal servizio di autorizzazione Microsoft. Questo approccio elimina completamente la necessità di rubare password. Gli aggressori ottengono accesso persistente attraverso refresh token legittimi emessi dall’infrastruttura Microsoft stessa.
Come funziona il device code flow di Microsoft Entra ID
Il flusso di autenticazione utilizzato da Kali365 inizia con una richiesta all’endpoint /devicecode di Microsoft Entra ID. Il client invia il proprio client_id insieme agli scope richiesti, ad esempio openid, profile e user.read. Microsoft restituisce quindi diversi parametri tra cui device_code, user_code, verification_uri, expires_in e l’intervallo di polling. Il dispositivo controllato dall’attaccante mostra il codice utente e l’indirizzo di verifica. La vittima visita il sito Microsoft reale da browser, inserisce il codice e completa il login con credenziali aziendali e MFA. Nel frattempo il client maligno esegue polling periodico sull’endpoint /token utilizzando il grant type specifico del device flow.
Durante questa fase Microsoft restituisce risposte standard come authorization_pending quando l’utente non ha ancora completato l’autenticazione, authorization_declined se rifiuta il consenso oppure expired_token se il codice scade. Una volta completato il login, il server restituisce all’attaccante access_token, refresh_token e id_token perfettamente validi. Il punto più critico riguarda proprio il refresh token, che permette persistenza senza ulteriori richieste MFA. L’attaccante può quindi mantenere accesso continuo agli ambienti Microsoft 365 anche dopo la chiusura della sessione iniziale della vittima.
Kali365 abbassa la soglia tecnica del phishing avanzato
Secondo l’FBI, la piattaforma Kali365 viene distribuita come servizio pronto all’uso attraverso canali Telegram dedicati al cybercrime. Gli abbonati ricevono template phishing generati con intelligenza artificiale, dashboard di monitoraggio in tempo reale e sistemi automatici per la cattura dei token OAuth. Questo modello PhaaS democratizza attacchi che fino a pochi anni fa richiedevano competenze avanzate in materia di autenticazione OAuth e gestione token. Gli operatori meno esperti possono oggi lanciare campagne altamente efficaci semplicemente personalizzando email e scegliendo i target. Le dashboard integrate mostrano in tempo reale quali vittime hanno completato il processo di autorizzazione. Una volta ottenuti i token, gli aggressori possono leggere email aziendali, scaricare file da OneDrive, impersonare utenti su Teams e muoversi lateralmente negli ambienti Microsoft 365 compromessi. L’assenza di credenziali rubate rende inoltre molto più complesso il rilevamento tramite sistemi tradizionali basati su anomalie di login o password compromise. Dal punto di vista dei log Microsoft, l’utente ha effettivamente autorizzato il dispositivo.
Perché Kali365 bypassa completamente la MFA
La forza dell’attacco risiede nel fatto che la multi-factor authentication viene completata legittimamente dalla vittima sul portale Microsoft autentico. Nessun codice MFA viene intercettato, riutilizzato o bypassato tecnicamente. L’utente stesso concede il consenso al dispositivo controllato dall’attaccante. Una volta emessi i token OAuth, l’accesso ai servizi Microsoft avviene tramite bearer token validi senza necessità di nuove verifiche MFA. Questo rende inefficaci molte protezioni tradizionali che si concentrano esclusivamente sulla sicurezza delle credenziali. Il kit sfrutta inoltre template estremamente credibili che imitano notifiche Microsoft, documenti condivisi e avvisi di collaborazione cloud. L’uso di contenuti generati tramite AI aumenta ulteriormente il realismo delle campagne phishing riducendo errori grammaticali o indicatori tipici delle truffe tradizionali. L’FBI evidenzia che il device code flow rappresenta oggi uno dei vettori più pericolosi proprio perché utilizza un meccanismo OAuth legittimo integrato nativamente nell’ecosistema Microsoft.
FBI consiglia di bloccare il device code flow tramite Conditional Access
Per mitigare il rischio, l’FBI raccomanda alle organizzazioni di limitare o bloccare completamente il device code flow tramite policy di Conditional Access in Entra ID. Le aziende dovrebbero eseguire prima un audit completo dell’utilizzo del protocollo per identificare dispositivi o applicazioni che dipendono realmente dal grant type. La configurazione suggerita prevede il blocco del flow per tutti gli utenti con eventuali eccezioni limitate ai casi strettamente necessari. Microsoft consiglia inoltre di monitorare i log di accesso per almeno due settimane prima di applicare restrizioni definitive così da evitare impatti operativi inattesi su dispositivi aziendali legittimi. Gli amministratori possono configurare policy specifiche targeting Microsoft 365 o Microsoft Entra ID, applicando controlli basati sul grant type utilizzato durante l’autenticazione. In ambienti più avanzati è possibile combinare queste policy con controlli basati su rischio, geolocalizzazione e comportamento utente. L’FBI suggerisce inoltre di escludere temporaneamente gli account di emergenza dai blocchi per evitare lockout accidentali durante l’implementazione delle nuove policy.
Le organizzazioni rischiano accessi persistenti invisibili
Una compromissione tramite Kali365 può avere conseguenze operative molto gravi. Gli aggressori ottengono accesso persistente agli ambienti Microsoft 365 finché i token restano validi o non vengono revocati manualmente. Questo consente lettura delle email aziendali, esfiltrazione documenti, modifica di file condivisi e impersonificazione degli utenti compromessi. Le PMI risultano particolarmente vulnerabili perché spesso non dispongono di policy avanzate di Conditional Access né di monitoraggio continuo sui token OAuth attivi. Un attaccante può quindi operare per giorni o settimane senza generare indicatori evidenti di compromissione. Il rischio aumenta ulteriormente negli ambienti che integrano workflow automatizzati, collaborazione cloud e accessi remoti frequenti. In questi scenari i token OAuth rappresentano una chiave di accesso estremamente potente e difficile da distinguere dalle normali attività utente. L’FBI invita le vittime a segnalare immediatamente incidenti sospetti tramite ic3.gov, allegando header email, dettagli delle sessioni anomale e informazioni sui dispositivi autorizzati.
Zero Trust e monitoraggio token diventano essenziali
L’emergere di Kali365 conferma che le organizzazioni non possono più basarsi esclusivamente sulla MFA come barriera principale contro il phishing. Le strategie di difesa devono includere approcci Zero Trust, monitoraggio avanzato dei token OAuth e controlli granulari sui grant type consentiti. Microsoft raccomanda di utilizzare esclusivamente le librerie MSAL ufficiali per applicazioni custom che richiedono autenticazione device flow e di monitorare costantemente l’emissione di refresh token anomali. Le aziende dovrebbero inoltre educare gli utenti a diffidare da richieste inattese di inserimento codici Microsoft anche quando la pagina di autenticazione appare completamente legittima. Il caso Kali365 dimostra come funzionalità OAuth progettate per migliorare l’usabilità possano trasformarsi rapidamente in vettori di attacco quando non vengono governate con policy restrittive e controlli contestuali. Per molte organizzazioni il blocco immediato del device code flow rappresenta oggi la misura più efficace per ridurre l’esposizione a questa nuova generazione di attacchi PhaaS.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
