FBI 警告 Kali 网络钓鱼骗局攻击 Microsoft OAuth 令牌 – 警告“Kali365 降低了进入门槛,为技术水平较低的攻击者提供了访问 AI 生成的网络钓鱼诱饵的权限”
一句话看懂:FBI 在 4 月发布的公告中指出,名为 Kali365 的钓鱼工具包正在 Telegram 上传播,它利用 Microsoft OAuth 令牌机制和 AI 生成的诱饵,使低技术水平攻击者也能绕过多因素认证(MFA)窃取 Microsoft 365 账户访问权限。
事件核心:发生了什么
2026 年 4 月,FBI 发布公共安全公告(PSA),警告一个名为 Kali365 的钓鱼即服务(Phishing-as-a-Service)平台在 Telegram 上积极推广。该工具包通过订阅制出售,攻击者无需具备高级技术能力即可发送伪造的云协作或文档共享服务钓鱼邮件。邮件中包含一个设备代码,诱导受害者将代码粘贴到微软合法的验证页面。一旦用户按指示操作,便实质上授权了攻击者的设备访问其 Microsoft 365 账户,从而捕获 OAuth 访问令牌和刷新令牌。利用这些令牌,攻击者可不受限制地访问 Outlook、Teams 和 OneDrive 等核心服务,且无需拦截用户的凭证或 MFA 验证码。FBI 重点指出,Kali365 “降低了进入门槛”,它集成了 AI 生成的钓鱼诱饵,进一步提升了攻击邮件的欺骗性。
为什么重要
Kali365 的出现打破了传统钓鱼攻击对攻击者技术能力的限制。以往,实施 OAuth 令牌劫持攻击需要攻击者具备开发、逆向或社工等领域知识,而 Kali365 以付费订阅形式将这些能力打包,攻击门槛被显著拉低。更值得关注的是,它融合了 AI 生成的钓鱼诱饵,意味着即便低技能攻击者也能生成高度拟人化、语法自然的欺骗性内容,这大大增加了企业员工被诱导上当的概率。对微软来说,OAuth 令牌机制本是安全的基石——它允许用户在不泄露密码的情况下授权第三方应用——但 Kali365 利用设备代码流这个合法功能点进行攻击,暴露出安全设计中的信任盲区。此次事件也再次印证了“AI+钓鱼”组合正在成为网络安全领域最现实的威胁之一。
对用户/开发者/创作者的影响
对企业 IT 管理员和安全团队而言,这是立即需要行动的信号。FBI 在公告中给出了明确缓解措施:限制设备代码流的使用范围;创建条件访问策略以阻断非预期的设备代码请求;审计现有组织中设备代码流的使用情况;以及阻止认证传输策略。对于无法完全禁用设备代码流的组织,建议留出应急管理员账户的例外,以避免意外锁定。对普通 Microsoft 365 用户来说,需要警惕任何要求你手动输入设备代码的电子邮件,尤其是那些自称来自内部协作平台或文档服务的消息。对开发者和安全研究人员,Kali365 的运作方式提供了一个观察 AI 如何实际被武器化的窗口:AI 在此并非直接突破安全防线,而是用于生成更逼真的诱饵内容,降低攻击的人力成本。
值得关注的后续
第一,微软是否会在这一攻击的推动下,对设备代码流进行根本性设计调整(例如加入用户上下文验证)或默认关闭其使用。第二,Kali365 的开发者生态是否会进一步扩展,例如加入针对其他 SaaS 平台(如 Google Workspace、Slack)的令牌劫持功能。第三,安全厂商可能会加速推出基于行为分析的设备代码流异常检测方案,以应对这种利用合法功能进行的隐蔽攻击。
来源:TechRadar
![[程序员] codex 5.5xhigh 对项目 AGENTS.md 的遵循度有点低,是我方式不对?](https://www.chat-gpts.plus/wp-content/uploads/2026/06/ai_cover_3-500-768x403.jpg)