Laut FBI/IC3 ermöglicht Kali365 Angreifern, die Multi-Faktor-Authentifizierung (MFA) zu umgehen, indem es Microsoft 365 Tokenmaterial abgreift. Der Phishing-Ablauf basiert auf der Eingabe eines Microsoft-Device-Codes und dem anschließenden Erfassen von OAuth-Token.

Die FBI/IC3-Publikation beschreibt Kali365 als eine tokenfokussierte „Phishing-as-a-Service“-Plattform, die sich offenbar an eher weniger technische Angreifer richtet. Das Paket werde demnach über Telegram verteilt und auf Abonnementbasis angeboten. Anstatt Passwörter anzugreifen, zielt das Vorgehen auf OAuth-Authorization-Artefakte aus Microsoft 365. Im beschriebenen Ablauf erhalten Betroffene eine Aufforderung, die sie in einen scheinbar legitimen Microsoft-Autorisierungsprozess führt. Während des Device-Code-Flows geben sie einen Device-Code auf einer Microsoft-Authentisierungsseite ein; Kali365 erfasst anschließend die entstehenden OAuth-Token, sobald der Nutzer die Autorisierung bestätigt. Mit diesen Token können Kriminelle potenziell den authentifizierten Sitzungs-Kontext wiederverwenden, um auf Konten und Dienste zuzugreifen. Das FBI betont, dass diese Methode MFA effektiv umgehen kann, weil die Sicherheitsprüfung durch die Nutzerfreigabe im Device-Code-Prozess erfüllt wird. In der PSA wird zudem genannt, dass der Dienst AI-unterstützte Phishing-Vorlagen erzeugen und Mechanismen zur Erfassung der Kampagnenleistung bereitstellen kann. Wenn Nutzer eine mögliche Exponierung vermuten, empfiehlt IC3, eine offizielle Beschwerde einzureichen, damit der Vorfall untersucht und die größere Phishing-Kampagne mit verwandten Aktivitäten verknüpft werden kann.