FBI की चेतावनी: Microsoft 365 यूज़र्स पर नया खतरा

Kali365 नाम का एक सब्सक्रिप्शन-बेस्ड फ़िशिंग किट टू-फ़ैक्टर ऑथेंटिकेशन को पूरी तरह से बायपास कर सकता है। जानिए यह कैसे काम करता है और इससे खुद को कैसे बचाएं। FBI ने तेज़ी से फैल रहे एक साइबर-अटैक टूल के बारे में ज़रूरी चेतावनी जारी की है। यह टूल Microsoft 365 अकाउंट्स (जैसे Outlook, Teams और OneDrive) में बिना अकाउंट होल्डर के पासवर्ड या टू-फ़ैक्टर ऑथेंटिकेशन अलर्ट के बिना घुस सकता है।

FBI के इंटरनेट क्राइम कंप्लेंट सेंटर (IC3) ने 21 मई को पब्लिक सर्विस अनाउंसमेंट I-052126-PSA जारी किया। इसमें Kali365 नाम के 'फ़िशिंग-एज़-अ-सर्विस' प्लेटफ़ॉर्म के बारे में चेतावनी दी गई, जो पहली बार अप्रैल 2026 में देखा गया था। यह टूल Telegram के ज़रिए एक क्रिमिनल सब्सक्रिप्शन प्रोडक्ट के तौर पर बेचा जाता है, जिसकी कीमत 30 दिनों के लिए सिर्फ़ $250 है।

इसके निशाने पर कई तरह के सेक्टर हैं। इस कैंपेन ने मैन्युफ़ैक्चरिंग, एजुकेशन, इंश्योरेंस, फ़ाइनेंशियल, हेल्थकेयर और सरकारी संगठनों को प्रभावित किया है।

Kali365 को क्या अलग बनाता है

ज़्यादातर फ़िशिंग हमले लोगों को नकली लॉगिन पेज पर अपने यूज़रनेम और पासवर्ड देने के लिए धोखा देकर किए जाते हैं। Kali365 इस तरह काम नहीं करता, और यही बात इसे खतरनाक बनाती है।

Kali365 साइबर हमलावरों को Microsoft 365 एक्सेस टोकन हासिल करने और यूज़र के क्रेडेंशियल्स को इंटरसेप्ट किए बिना मल्टी-फ़ैक्टर ऑथेंटिकेशन प्रोटोकॉल को बायपास करने में मदद करता है।

इसके बजाय, यह OAuth डिवाइस कोड फ़्लो नाम के एक असली Microsoft ऑथेंटिकेशन फ़ीचर का फ़ायदा उठाता है। इसमें हमलावर यूज़र्स को एक असली ऑथेंटिकेशन फ़्लो के ज़रिए अपने अकाउंट में लॉग इन करने के लिए धोखा देते हैं और फिर उनके एक्सेस और रिफ़्रेश टोकन चुरा लेते हैं।

यह प्लेटफ़ॉर्म एंट्री की बाधा को कम करता है, जिससे कम-तकनीकी जानकारी वाले हमलावरों को AI-जनरेटेड फ़िशिंग लुर्स (झांसे), ऑटोमेटेड कैंपेन टेम्प्लेट, रियल-टाइम टारगेटेड व्यक्ति/संस्था ट्रैकिंग डैशबोर्ड और OAuth टोकन कैप्चर करने की क्षमताएं मिलती हैं।

हमला कैसे काम करता है: स्टेप-बाय-स्टेप

FBI ने बताया है कि Kali365 ठीक कैसे काम करता है, इसके चार चरण हैं:

स्टेप 1: हमलावर भरोसेमंद क्लाउड प्रोडक्टिविटी और डॉक्यूमेंट-शेयरिंग सर्विस का रूप धरकर एक फ़िशिंग ईमेल भेजता है। ईमेल में एक डिवाइस कोड होता है और साथ ही एक असली Microsoft वेरिफ़िकेशन पेज पर जाकर कोड डालने का निर्देश होता है।

स्टेप 2: टारगेटेड व्यक्ति असली Microsoft पेज पर जाता है और डिवाइस कोड पेस्ट करता है, जिससे अनजाने में हमलावर के डिवाइस को अपने अकाउंट का एक्सेस मिल जाता है। स्टेप 3: हमलावर OAuth एक्सेस और रिफ्रेश टोकन हासिल कर लेता है, जिससे उसे टारगेट किए गए व्यक्ति के Microsoft 365 अकाउंट का एक्सेस मिल जाता है।

स्टेप 4: अब हमलावर बिना पासवर्ड या किसी अतिरिक्त MFA चैलेंज को पूरा किए Outlook, Teams और OneDrive जैसी Microsoft 365 सेवाओं का इस्तेमाल कर सकता है।

संक्षेप में: पीड़ित असली Microsoft पेज पर सामान्य रूप से लॉग इन करता है और अनजाने में हमलावर को एक्सेस की चाबियाँ सौंप देता है।

किन बातों का ध्यान रखें

- Microsoft या क्लाउड डॉक्यूमेंट-शेयरिंग सेवाओं से आने वाले ऐसे अनजान ईमेल जिनमें आपको किसी वेरिफिकेशन पेज पर जाकर कोड डालने के लिए कहा जाए

- ऐसे ईमेल जिनमें अकाउंट वेरिफिकेशन या डॉक्यूमेंट एक्सेस के लिए जल्दबाजी करने को कहा जाए

- आपके Microsoft अकाउंट में ऐसे लॉगिन अलर्ट या एक्टिव सेशन जिन्हें आप नहीं पहचानते

- आपके अकाउंट की रजिस्टर्ड डिवाइस लिस्ट में अनजान डिवाइस का दिखना

- ऐसे इनबॉक्स नियम जो आपने नहीं बनाए हैं, खासकर वे जो अपने आप मैसेज को फॉरवर्ड या डिलीट करते हैं

खुद को कैसे बचाएं: FBI के आधिकारिक सुझाव

FBI की IC3 एडवाइजरी में नीचे दिए गए सुझाव दिए गए हैं, जो सीधे PSA I-052126-PSA से लिए गए हैं:

- डिवाइस कोड फ्लो को ब्लॉक करें: सभी यूज़र्स के लिए डिवाइस ऑथेंटिकेशन कोड को ब्लॉक करने के लिए एक कंडीशनल एक्सेस पॉलिसी बनाएं, जिसमें केवल ज़रूरी बिज़नेस प्रोसेस के लिए कुछ अपवाद हों।

- पहले ऑडिट करें: पूरी तरह से ब्लॉक करने से पहले, मौजूदा डिवाइस कोड फ्लो के इस्तेमाल का ऑडिट करें ताकि बिज़नेस ऑपरेशन में रुकावट से बचने के लिए किसी भी ज़रूरी डिपेंडेंसी की पहचान की जा सके।

- ऑथेंटिकेशन ट्रांसफर को ब्लॉक करें: यूज़र्स को कंप्यूटर से मोबाइल डिवाइस पर ऑथेंटिकेशन सेशन ट्रांसफर करने से रोकने के लिए पॉलिसी लागू करें।

- इमरजेंसी अकाउंट को सुरक्षित रखें: अगर डिवाइस कोड फ्लो को पूरी तरह से प्रतिबंधित नहीं किया जा सकता है, तो लॉकआउट से बचने के लिए इमरजेंसी एक्सेस अकाउंट को पॉलिसी से बाहर रखें।

FBI यूज़र्स को अतिरिक्त बेहतरीन तरीकों के लिए साइबरसिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (CISA) के फ़िशिंग गाइडेंस डॉक्यूमेंट को देखने का भी सुझाव देता है।

अगर आप प्रभावित हुए हैं

अगर Kali365 फ़िशिंग किट ने आपको या आपके किसी परिचित को प्रभावित किया है, तो इंटरनेट क्राइम कंप्लेंट सेंटर (ic3.gov) में शिकायत दर्ज करें। इसमें उपलब्ध सभी जानकारी शामिल करें, जैसे फ़िशिंग ईमेल (हेडर और बॉडी), संदिग्ध लॉगिन (समय, IP एड्रेस, लोकेशन), और अकाउंट में जोड़े गए कोई भी अनधिकृत डिवाइस या एक्टिव सेशन।