FBI就Kali365 OAuth Token窃取攻击发出安全警告

FBI近日就一种名为Kali365的新型网络钓鱼攻击工具发出警告，提醒各机构警惕其带来的安全威胁。

Kali365的核心危害在于，它能够帮助网络犯罪分子获取微软365的访问Token，并在无需窃取用户账号密码的情况下，绕过多重身份验证（MFA）机制。其实现方式是直接捕获与受害者微软365账户绑定的OAuth Token。

该攻击的运作方式与常见的网络钓鱼手法类似。攻击者首先发送一封伪装成可信云端文档共享服务的电子邮件，邮件中附有指引，要求用户在一个看似合法的微软官方网站上输入特定验证码。然而，用户一旦输入该验证码，实际上就授权了攻击者的设备访问其微软账户的权限。

FBI已向IT安全管理人员发布了一套应对Kali365攻击的防护建议。主要措施包括：为所有用户创建条件访问策略，以阻断代码授权流程（同时为必要的业务流程设置例外）；此外还应封锁身份验证转移策略，防止用户将企业电脑上的访问权限转移至移动设备。

网络钓鱼攻击仍是企业组织面临的重大威胁。世界经济论坛今年1月发布的报告显示，全球各地的CEO普遍将网络钓鱼列为首要安全威胁。这一问题也并无消退迹象，有77%的机构认为过去一年中网络钓鱼攻击的数量有所上升。Kali365的出现，无疑进一步加剧了这一严峻形势。

Q&A

Q1：Kali365是什么？它是如何发动攻击的？

A：Kali365是一种新型网络钓鱼攻击工具，专门用于窃取微软365账户的OAuth Token。攻击者通过发送伪装成可信云端文档服务的钓鱼邮件，诱导用户在微软官方页面上输入特定验证码。用户一旦输入，便相当于主动授权攻击者的设备访问其账户，全程无需获取账号密码，还能绕过多重身份验证机制。

Q2：Kali365攻击和普通网络钓鱼有什么区别？

A：传统网络钓鱼通常以骗取用户账号和密码为目的，而Kali365的关键区别在于它直接劫持OAuth Token。这意味着即使用户启用了多重身份验证（MFA），攻击者也能在不知道密码的情况下成功入侵账户，防御难度更大，隐蔽性也更强。

Q3：企业和IT管理人员该如何防范Kali365攻击？

A：FBI建议IT安全管理人员采取以下措施：一是为所有用户设置条件访问策略，阻断代码授权流程，仅为必要业务设置例外；二是封锁身份验证转移策略，防止用户将企业设备的访问权限转移至个人移动设备，从而降低账户被攻击者远程接管的风险。