Nos mesures de sécurité les plus fiables ne nous protègent peut-être pas de notre façon de penser. Le FBI met en garde contre une nouvelle plateforme de phishing en tant que service appelée Kali365. Il cible les comptes Microsoft 365, notamment Outlook, Teams et OneDrive.
Cela seul est mauvais. Le plus effrayant, c’est la manière dont cela fonctionne. Cette arnaque peut accéder à votre compte sans voler votre mot de passe. Même si l’authentification multifacteur est activée, une mauvaise approbation du code de l’appareil peut accorder un accès criminel.
Voici comment fonctionne l’arnaque, pourquoi elle peut contourner la MFA et ce que vous pouvez faire pour protéger votre compte Microsoft.
publicité
publicité
Inscrivez-vous à mon rapport CyberGuy GRATUIT
-
Recevez les meilleurs conseils techniques, des alertes de sécurité importantes et des offres exclusives directement dans votre boîte de réception.
-
Pour découvrir un moyen simple et concret de détecter rapidement les escroqueries et de rester protégé, visitez CyberGuy.com – un site auquel font confiance les millions de personnes qui regardent CyberGuy à la télévision chaque jour.
-
De plus, vous aurez un accès instantané et gratuit à mon Ultimate Scam Survival Guide lorsque vous vous inscrivez.
Une nouvelle alerte du FBI révèle des attaques de phishing utilisant des discussions privées
Kali365 est une plateforme de phishing en tant que service. En d’autres termes, les escrocs peuvent s’y abonner et utiliser des outils prêts à l’emploi pour attaquer les comptes Microsoft 365. Le FBI a déclaré que Kali365 avait été vu pour la première fois en avril 2026 et s’était généralement propagé via Telegram. La plateforme permet aux attaquants d’accéder aux messages de phishing générés par l’IA, aux modèles de campagne automatisés, aux tableaux de bord de suivi et aux outils qui capturent les jetons OAuth. Cette dernière partie est essentielle.
publicité
publicité
Lire sur l’application Fox News
Les jetons OAuth sont des clés d’accès numériques. Il peut permettre aux applications de rester connectées à votre compte Microsoft sans vous demander votre mot de passe à chaque fois. C’est utile lorsque la bonne application l’utilise. Ils sont dangereux si un escroc les vole.
La plupart des tentatives de phishing tentent de voler votre mot de passe. Kali365 a emprunté un chemin différent. L’attaque a abusé du processus de connexion par code de périphérique de Microsoft. Vous pourriez voir quelque chose de similaire lorsque vous vous connectez à une application de streaming sur un téléviseur intelligent. Un écran affiche un code court. Ensuite, vous entrez ce code sur un autre appareil pour approuver la connexion.
Ce processus est légal. La fraude commence lorsque les criminels commencent à se connecter à partir de leurs propres appareils et vous incitent à les approuver. Vous pouvez voir des e-mails de phishing qui semblent provenir de services cloud de confiance ou d’outils de partage de documents. Le message comprend un code et vous invite à visiter la véritable page de vérification Microsoft.
publicité
publicité
La vraie page Microsoft est ce qui rend cela douteux. L’adresse Web peut sembler correcte. Votre gestionnaire de mots de passe ne peut pas discuter. La page peut devenir sécurisée. Mais une fois le code saisi, vous ignorez peut-être l’autorisation de l’appareil de l’attaquant. À partir de là, un attaquant peut accéder et actualiser le jeton. Il peut ouvrir la porte à Outlook, Teams et OneDrive sans votre mot de passe ni aucune autre invite MFA.
Arnaque par e-mail Qr Code ciblant les avis des employés
Les fraudeurs peuvent utiliser des pages de connexion Microsoft légitimes pour rendre les tentatives de phishing plus convaincantes.
Une arnaque comme celle-ci peut toucher toute personne disposant d’un accès à Microsoft 365. Néanmoins, les petites entreprises devraient y prêter une attention particulière. Pensez à ce que contient un compte professionnel typique. Fil de discussion par courrier électronique. Facture. fichiers partagés. Discussion avec les employés. Contactez le vendeur. Détails du client. Invitation au calendrier. Un compte compromis peut donner aux criminels une voix très crédible.
Un escroc qui accède à Outlook peut apprendre comment vous écrivez. Ils peuvent envoyer des messages depuis votre compte réel. Ils peuvent demander à leurs collègues de payer de fausses factures, de partager des fichiers ou de réinitialiser leurs mots de passe. Ce qui me fait peur car l’arnaque ne ressemble peut-être plus à une arnaque. Cela peut venir de quelqu’un que vous connaissez.
publicité
publicité
Le FBI a expliqué le stratagème dans un ordre clair. Tout d’abord, la victime reçoit un e-mail de phishing qui prétend provenir d’un service de productivité ou de partage de fichiers de confiance. Ensuite, l’e-mail fournit un code d’appareil et demande à la victime de le saisir sur une page de vérification Microsoft valide.
Ensuite, la victime saisit le code et approuve sans le savoir l’appareil de l’attaquant. Après cela, l’attaquant prend l’accès OAuth et actualise le jeton. Enfin, les attaquants peuvent accéder aux services Microsoft 365 tels qu’Outlook, Teams et OneDrive sans avoir besoin du mot de passe de la victime.
Le plus gros signe d’avertissement est une demande inattendue de saisie d’un code d’appareil Microsoft. Méfiez-vous si un e-mail vous demande de saisir un code pour un fichier, un message vocal, une facture ou un document partagé que vous n’avez pas demandé.
Attention également à l’urgence. Les escrocs aiment les messages qui vous poussent vite. Il peut prétendre qu’un document est sur le point d’expirer, qu’un message vocal est en attente ou que le compte doit être vérifié.
publicité
publicité
Un autre indice est le contexte. Si vous n’essayez pas de vous connecter à l’appareil, n’entrez pas le code de l’appareil. Cette seule habitude peut arrêter ces escroqueries avant qu’elles ne commencent.
En réponse à CyberGuy, Microsoft a déclaré que les clients devraient suivre les recommandations du FBI ainsi que les meilleures pratiques publiées par Microsoft pour se protéger contre Kali365 et les escroqueries similaires.
La société a également déclaré qu’elle pourrait être utilisée pour perturber l’écosystème cybercriminel associé aux activités et aux comptes de phishing en tant que service. Microsoft a cité les récentes actions de la Digital Crimes Unit impliquant Fake ONNX, RaccoonO365 et Tycoon 2FA comme exemples de ses efforts plus larges.
Quelques habitudes intelligentes peuvent vous aider à repérer les fausses demandes de code, à réduire votre exposition et à suivre les directives du FBI pour limiter ce type d’attaques.
publicité
publicité
Entrez simplement le code de l’appareil Microsoft lorsque vous commencez personnellement à vous connecter. Si le code arrive par e-mail, message Teams ou lien de document aléatoire, arrêtez.
N’utilisez pas de liens dans les messages surprises. Ouvrez votre navigateur et accédez à Microsoft ou au portail Microsoft 365 de votre entreprise.
Passez en revue les connexions récentes, les appareils connectés et les sessions actives. Si vous voyez un emplacement, un appareil ou une application que vous ne reconnaissez pas, faites-le immédiatement.
Si vous pensez avoir saisi un code erroné, déconnectez-vous de toutes les sessions et supprimez l’accès à l’application suspecte. Modifiez ensuite votre mot de passe et contactez votre équipe informatique.
Ne désactivez pas l’authentification multifacteur à cause de cette arnaque. MFA bloque toujours de nombreuses attaques de comptes. Cette menace montre pourquoi vous devez également faire attention aux commandes d’autorisation et aux codes d’appareil.
publicité
publicité
L’utilisation d’un logiciel antivirus puissant peut aider à détecter les pages de phishing, les liens malveillants et les téléchargements suspects avant qu’ils ne causent des dommages. Obtenez ma sélection des meilleurs gagnants de la protection antivirus 2026 pour vos appareils Windows, Mac, Android et iOS sur Cyberguy.com
Les fraudeurs construisent souvent des messages de phishing convaincants à partir de données personnelles trouvées en ligne. Les services de suppression de données peuvent aider à réduire la quantité de vos informations dans les sites de recherche de personnes et les bases de données des courtiers de données. Découvrez mes meilleurs choix de services de suppression de données et obtenez une analyse gratuite pour savoir si vos informations personnelles se trouvent sur le Web en visitant Cyberguy.com
Les employés peuvent savoir qu’il ne faut pas saisir de mots de passe sur des pages étranges. Beaucoup ne sont jamais avertis du code de l’appareil. Intégrez cette arnaque particulière à votre formation en matière de sécurité.
Le FBI affirme que limiter le flux du code des appareils peut aider à prévenir ou à limiter ce type d’attaque. L’équipe informatique doit créer une politique d’accès conditionnel pour bloquer le flux du code de l’appareil pour tous les utilisateurs, avec des exceptions limitées pour les processus métier nécessaires.
publicité
publicité
Avant de bloquer le flux de code d’un appareil, le FBI recommande d’auditer son utilisation actuelle pour identifier les besoins légitimes de l’entreprise. Cela peut aider à éviter les interruptions des travailleurs ou des systèmes qui dépendent de cette méthode de connexion.
Le FBI recommande également de bloquer les politiques de transfert d’authentification. Cela peut empêcher les utilisateurs de transférer l’authentification d’un ordinateur vers un appareil mobile.
Si votre organisation ne peut pas restreindre le flux du code de l’appareil, le FBI recommande de créer des comptes d’accès d’urgence pour éviter les verrouillages. Cette étape doit être traitée avec soin par votre équipe informatique ou de sécurité.
Si vous avez été ciblé ou compromis, signalez-le au Centre de plaintes contre la criminalité sur Internet du FBI sur IC3.gov. Inclut les e-mails de phishing, les en-têtes d’e-mails, les heures de connexion suspectes, les adresses IP, les emplacements, les appareils non autorisés et les sessions actives.
publicité
publicité
Déplacez-vous rapidement.
-
Déconnectez-vous de Microsoft 365 sur tous les appareils.
-
Vérifiez votre e-mail de récupération et votre numéro de téléphone.
-
Vérifiez les règles de transfert dans Outlook.
-
Recherchez d’étranges règles de boîte de réception qui masquent, suppriment ou redirigent les e-mails.
-
Examinez ensuite les fichiers OneDrive, les messages Teams et l’activité récente du compte.
-
S’il s’agit d’un compte professionnel, informez-en immédiatement votre équipe informatique. N’attendez pas de voir ce qui se passe. Les jetons volés peuvent accorder aux attaquants un accès continu jusqu’à ce qu’ils soient révoqués.
C’est le type d’arnaque qui peut tromper les gens intelligents, car elle utilise une véritable page de connexion Microsoft pour extraire quelque chose de criminel. C’est ce qui rend Kali365 si dangereux. Cela peut transformer une étape de sécurité fiable en piège, en particulier lorsque le code ne provient pas d’un utilisateur connecté. L’important ici est de ralentir avant de saisir le code de l’outil Microsoft. Si un code apparaît dans un e-mail, un SMS ou un message Teams inattendu, arrêtez-vous et accédez directement au compte. N’approuvez pas l’entrée à moins qu’elle ne soit intentionnellement initiée. Quelques secondes de prudence supplémentaires peuvent aider à éloigner les criminels d’Outlook, Teams, OneDrive et tout ce qui leur est associé.
Avez-vous déjà reçu un code Microsoft ou une invite de connexion que vous n’aviez pas demandé, et était-ce suffisamment convaincant pour vous faire réfléchir ? Faites-le-nous savoir en nous écrivant à Cyberguy.com
Cliquez ici pour télécharger l’application Fox News
Inscrivez-vous à mon rapport CyberGuy GRATUIT
-
Recevez les meilleurs conseils techniques, des alertes de sécurité importantes et des offres exclusives directement dans votre boîte de réception.
-
Pour découvrir un moyen simple et concret de détecter rapidement les escroqueries et de rester protégé, visitez CyberGuy.com – un site auquel font confiance les millions de personnes qui regardent CyberGuy à la télévision chaque jour.
-
De plus, vous aurez un accès instantané et gratuit à mon Ultimate Scam Survival Guide lorsque vous vous inscrivez.
Copyright 2026 CyberGuy.com. Tous droits réservés.
Source originale de l’article : Le FBI met en garde les utilisateurs de Microsoft contre une arnaque sans mot de passe
