Kali365, Microsoft 365 kullanıcılarını MFA atlatarak hedef alan yeni phishing platformu
FBI, 21 Mayıs 2026'da Microsoft 365 kullanıcılarını Kali365 adlı bir phishing-as-a-service platformu hakkında uyardı. Platform, cihaz kodu phishing yöntemiyle kullanıcıların parola ve MFA korumalarını hiç tetiklemeden OAuth tokenlerini çalıyor ve saldırganlara Outlook, Teams ve OneDrive üzerinde tam erişim sağlıyor. Nisan 2026'dan bu yana Telegram üzerinden dağıtılan Kali365, yapay zeka destekli phishing şablonları, otomatik kampanya yönetimi ve gerçek zamanlı takip panosu sunarak teknik engelleri düşürüyor.
Proofpoint'in raporuna göre cihaz kodu phishing "tehdit manzarasında patlayan bir şekilde artıyor" ve yeni araçlar haftalık ortaya çıkıyor. Kali365, EvilTokens gibi benzer platformlarla birlikte bu eğilimin son örneği. Kurumsal kullanıcılar için cihaz kimlik doğrulama akışını kapatma veya koşullu erişim politikaları oluşturma gibi mitigasyonlar mevcut, fakat bireysel kullanıcılar ve küçük işletmeler için koruma seçenekleri kısıtlı kalıyor.
Cihaz kodu phishing nedir ve MFA'yı nasıl atlatıyor?
Cihaz kodu phishing, Microsoft'un OAuth 2.0 cihaz yetkilendirme akışını kötüye kullanan bir saldırı tekniği. Normalde bu akış, akıllı TV veya IoT cihazları gibi sınırlı giriş arayüzüne sahip cihazların kullanıcı hesaplarına güvenli erişim sağlaması için tasarlanmış. Kullanıcı, cihazda görünen kodu tarayıcıdan Microsoft'un resmi doğrulama sayfasına girer ve cihaza OAuth token vererek hesabına erişim yetkisi verir.
Kali365 saldırısı bu meşru akışı manipüle ediyor: saldırgan, kurban kullanıcıya bir phishing e-postası gönderir ve e-posta Microsoft 365, OneDrive veya SharePoint gibi bir hizmetten geliyormuş gibi görünür. E-posta, kullanıcıdan bir cihaz kodunu Microsoft'un gerçek doğrulama sayfasına girmesini ister. Kullanıcı kodu girdiğinde, aslında saldırganın kontrol ettiği bir cihaza OAuth token vermiş olur.
Bu yöntem MFA'yı atlatır çünkü parola girişi hiç gerçekleşmez. Kullanıcı, Microsoft'un resmi sayfasında zaten oturum açmış durumda olduğu için ikinci bir MFA adımıyla karşılaşmaz. Sistem, kullanıcının meşru bir cihazı yetkilendirdiğini varsayar. Saldırgan OAuth token ve refresh token'ı aldıktan sonra parola veya ek MFA talebi olmadan Outlook, Teams ve OneDrive'a erişebilir.
Geleneksel phishing saldırılarında parola veya MFA kodları çalınır ve saldırgan hâlâ bir giriş adımından geçmek zorundadır. Cihaz kodu phishing'inde ise kullanıcı, saldırgana doğrudan anahtarı teslim eder—OAuth token—ve bu anahtar uzun süreli erişim sağlar.
Saldırı zinciri: e-postadan token'a
Kali365 saldırısı üç aşamada ilerliyor. İlk aşamada yapay zeka destekli phishing e-postaları hazırlanıyor. Bu e-postalar, Microsoft bulut hizmetlerini veya dosya paylaşım sistemlerini taklit ediyor ve kullanıcıya acil bir işlem yapması gerektiği mesajını veriyor: genellikle bir dosyaya erişim, paylaşılan bir belge veya güvenlik doğrulaması gibi bir bahane kullanılıyor. E-posta içinde bir cihaz kodu yer alıyor ve kullanıcıdan bu kodu microsoft.com/devicelogin gibi gerçek bir Microsoft sayfasına girmesi isteniyor.
İkinci aşamada kullanıcı, e-postadaki kodu Microsoft'un resmi doğrulama sayfasına giriyor. Bu sayfa gerçek ve SSL sertifikası doğru; dolayısıyla kullanıcı güvende olduğunu düşünüyor. Kullanıcı kodu girdiğinde, aslında saldırganın kontrol ettiği bir cihazı hesabına bağlıyor. Sistem bu işlemi meşru bir cihaz ekleme işlemi olarak görüyor ve OAuth tokenlerini saldırgana veriyor.
Üçüncü aşamada saldırgan, OAuth token ve refresh token'ı eline geçiriyor. Bu tokenler, saldırgana Microsoft 365 servislerine parola veya MFA olmadan doğrudan erişim yetkisi veriyor. Saldırgan Outlook'ta e-postaları okuyabilir, Teams'te sohbetlere katılabilir, OneDrive'daki dosyalara erişebilir ve hatta bu hizmetler üzerinden yeni saldırılar başlatabilir. Refresh token sayesinde erişim uzun süre devam edebilir; kullanıcı parolasını değiştirse bile token geçerliliğini koruyabilir.
Kali365, bu süreçte saldırganlara otomatik kampanya şablonları, gerçek zamanlı takip panoları ve AI tarafından oluşturulan phishing içerikleri sunuyor. Platform, teknik bilgisi sınırlı saldırganların bile etkili kampanyalar yürütmesini sağlıyor. Phishing-as-a-service modeli, saldırı maliyetini düşürüyor; bu da saldırı sayısının hızla artmasına yol açıyor.
Kurumsal defans mekanizmaları var, bireysel kullanıcı kısıtlı korunuyor
Kurumsal Microsoft 365 yöneticileri, cihaz kodu phishing saldırılarına karşı birkaç mitigasyon uygulayabilir. FBI'ın önerdiği en etkili yöntem, cihaz kodu kimlik doğrulama akışını tamamen engellemek. Azure AD (artık Microsoft Entra ID) yönetim panelinde cihaz kodu akışı devre dışı bırakılabilir ve kullanıcıların bu yöntemi kullanarak yetkilendirme yapması önlenebilir. Organizasyonda akıllı TV, IoT cihazları veya sınırlı arayüze sahip sistemler yoksa bu akış gereksizdir.
İkinci bir katman olarak koşullu erişim politikaları oluşturulabilir. Bu politikalar, belirli cihaz türlerinden veya belirli coğrafi bölgelerden gelen OAuth token taleplerini engelleyebilir, risk skoruna göre ek doğrulama isteyebilir veya cihaz yetkilendirmelerini yönetilen cihazlarla sınırlayabilir. Örneğin, sadece Microsoft Intune ile yönetilen cihazların OAuth token almasına izin verilebilir.
Üçüncü olarak OAuth token yaşam süreleri kısaltılabilir ve tokenler düzenli olarak yenilenmesi için yapılandırılabilir. Bu, saldırganın çaldığı tokenin kullanım penceresini daraltır. Ayrıca, Azure AD oturum açma logları düzenli olarak taranmalı; olağandışı cihaz yetkilendirmeleri, bilinmeyen IP adreslerinden gelen token talepleri veya alışılmadık kullanıcı aktiviteleri izlenmeli.
Ancak bireysel kullanıcılar ve küçük işletmeler bu seçeneklere erişemiyor. Microsoft 365 Business Basic veya kişisel hesaplar, kurumsal Azure AD politikalarını desteklemiyor. Bu kullanıcılar için mevcut koruma mekanizmaları sınırlı: phishing e-postalarını tanımaya çalışmak, bilinmeyen cihaz yetkisi isteklerinden kaçınmak ve Microsoft hesabında bağlı cihazları düzenli olarak kontrol etmek.
Microsoft hesabı güvenlik ayarlarından (account.microsoft.com/devices) bağlı cihazlar görülebilir ve tanınmayan cihazların erişimi iptal edilebilir. Ancak bu, saldırgan zaten erişim sağladıktan sonra reaktif bir adım; proaktif bir engelleme mekanizması değil. Bireysel kullanıcılar için cihaz kodu akışını kapatma seçeneği bulunmuyor.
Phishing-as-a-service modeli siber suça giriş engelini düşürüyor
Kali365 ve benzeri platformlar, phishing saldırılarının işletme modelini dönüştürüyor. Geleneksel olarak, etkili bir phishing kampanyası oluşturmak teknik beceri, altyapı yönetimi ve sahte sayfa tasarımı gerektiriyordu. Kali365, bu engelleri kaldırıyor: yapay zeka destekli e-posta şablonları, otomatik kampanya yönetimi, gerçek zamanlı takip panoları sunuyor.
Platformun Telegram üzerinden dağıtılması, erişim bariyerini daha da düşürüyor. Saldırgan adayları, ödeme yaparak veya abonelik alarak hemen kullanıma hazır bir phishing altyapısına erişebilir. EvilTokens gibi benzer platformlar da sahte giriş sayfaları, Microsoft API otomasyonu ve yapay zeka destekli e-postalar sağlıyor.
Bu model, siber suçu bir hizmet haline getiriyor. Düşük becerili saldırganlar, teknik detayları bilmeden karmaşık saldırılar gerçekleştirebilir. Platform sağlayıcısı altyapıyı yönetir ve müşteriye sadece kullanıma hazır bir arayüz sunar. Bu yapı, saldırı hacmini artırır.
Proofpoint'in gözlemine göre cihaz kodu phishing araçları haftalık olarak ortaya çıkıyor. Bu hız, savunma ekiplerinin yeni varyantlara karşı hızla yanıt vermesini zorlaştırıyor. Her yeni araç farklı altyapı, e-posta içeriği ve token teslim mekanizması kullanabiliyor.
Bu dinamik, Microsoft'un ve diğer büyük platformların kullanıcı kimlik doğrulama akışlarını yeniden değerlendirmesini gerektiriyor. Cihaz kodu akışı, sınırlı giriş arayüzüne sahip cihazlar için tasarlandı; ancak bugünkü kullanım senaryolarında bu akışın ne kadar gerekli olduğu tartışmalı.
Bireysel kullanıcılar için defans adımları
Bireysel kullanıcılar ve küçük işletmeler için korunma seçenekleri sınırlı olsa da, aşağıdaki adımlar riski azaltabilir:
Cihaz yetkisi isteyen e-postalara güvenmeyin. Microsoft veya başka bir hizmetten gelen ve size bir kod verip bunu bir doğrulama sayfasına girmenizi isteyen e-postalar şüphelidir. Meşru Microsoft işlemleri genellikle bu akışı kullanmaz; kullanıcı doğrudan uygulamaya veya tarayıcıya giriş yapar.
Microsoft hesabınızda bağlı cihazları düzenli olarak kontrol edin. account.microsoft.com/devices adresinden hesabınıza bağlı cihazları görüntüleyin. Tanımadığınız veya kullanmadığınız bir cihaz varsa, erişimini hemen iptal edin. Bu kontrol aylık olarak yapılmalı.
E-posta bağlantılarının hedefini doğrulayın. Phishing e-postası gerçek görünse de, bağlantının hedef adresi microsoft.com veya office.com değilse şüphelenin. Ancak Kali365 saldırısında bağlantı gerçek Microsoft sayfasına gidiyor. Asıl soru şu: Microsoft'tan bu işlemi yapmam için bir sebep var mı? Beklenmeyen bir "cihaz doğrulama" talebi geliyorsa, e-postayı görmezden gelin ve doğrudan Microsoft hesabınıza tarayıcıdan giriş yaparak durum kontrolü yapın.
Kurumsal kullanıcıysanız IT ekibinizden cihaz kodu akışının devre dışı bırakılmasını isteyin. Organizasyonunuzda bu akışın kullanılmadığından eminseniz, yönetici ekibin Azure AD ayarlarından bunu kapatması gerekir.
Kali365 saldırısı, MFA'nın mutlak bir çözüm olmadığını ve saldırganların kimlik doğrulama mekanizmalarını kullanıcı davranışını manipüle ederek atlatabildiğini gösteriyor. Microsoft 365 kullanıyorsanız, hesabınızda bağlı cihazları kontrol etmek, cihaz yetkisi isteyen e-postalara şüpheyle yaklaşmak ve mümkünse kurumsal IT ekibinizle cihaz kodu akışının kapatılmasını konuşmak acı gereklidir.
