Según el FBI/IC3, Kali365 permite a atacantes eludir la autenticación multifactor (MFA) al recolectar material de tokens de Microsoft 365. El flujo de phishing se apoya en la introducción de un device code y en la posterior captura de tokens OAuth.

El anuncio de servicio público del FBI/IC3 presenta a Kali365 como una plataforma de phishing-as-a-service centrada en tokens, orientada a actores de amenazas con conocimientos relativamente limitados. El kit, según se indica, se distribuye a través de Telegram y se ofrece mediante suscripción. En lugar de apuntar a contraseñas de usuarios, su método se enfoca en los artefactos de autorización OAuth de Microsoft 365. En el esquema descrito, la víctima recibe una solicitud que la guía a un proceso de autorización de Microsoft con apariencia legítima. Durante el flujo device-code, la persona introduce un device code en una página de autorización de Microsoft, y Kali365 captura los tokens OAuth resultantes en cuanto la víctima aprueba la autorización. Con esos tokens, los delincuentes podrían reutilizar el contexto de la sesión autenticada para acceder a cuentas y servicios. El FBI subraya que esta técnica puede saltarse la MFA de forma efectiva porque el paso de seguridad de la cuenta queda satisfecho con la aprobación de la víctima dentro del flujo device-code. La PSA también señala que el servicio podría generar señuelos de phishing con asistencia de IA y ofrecer mecanismos para medir el rendimiento de las campañas. Si los usuarios sospechan haber sido expuestos, IC3 recomienda presentar una queja oficial para que el incidente sea investigado y la campaña de phishing en general pueda vincularse con actividades relacionadas.