Microsoft 365 : le kit de phishing Kali365 pirate les comptes sans voler les mots de passe

Florian BURNEL - ITConnect - 26/05
Le FBI a émis une alerte de sécurité concernant Kali365, une plateforme de PhaaS utilisée pour compromettre des comptes Microsoft 365 sans voler d'identifiants.

Le FBI a émis une alerte de sécurité concernant Kali365, une nouvelle plateforme de Phishing-as-a-Service (PhaaS) repérée pour la première fois en avril 2026. Distribué via Telegram, ce kit de phishing permet à des pirates d'obtenir des jetons d'accès Microsoft 365. Il a une particularité : il détourne la méthode d'accès Device Authorization d'OAuth 2.0 pour accéder à des comptes Microsoft, sans même avoir à intercepter les identifiants des utilisateurs.

Un kit de phishing basé sur le vol de jetons OAuth

Pour rappel, le modèle du Phishing-as-a-Service (PhaaS) permet à des cybercriminels d'accéder à des kits de phishi...
[Courte citation de 8% de l'article original]

Loading...