Kali365: Nätfiskekitet som går rakt förbi din MFA

I april 2026 började säkerhetsforskare och FBI följa en ny kriminell tjänst som kallas Kali365. Den säljs som en prenumeration på Telegram, och den gör något som borde oroa varje företagare som driver sin verksamhet på Microsoft 365: den tar över konton utan att stjäla någons lösenord och utan att bryta sig igenom flerfaktorsautentisering.

Om din första reaktion är "vi är trygga, vi har MFA påslaget" — då är det precis det antagandet som den här attacken är byggd för att utnyttja.

Kort sammanfattning

Kali365 är "nätfiske som tjänst" (phishing-as-a-service). För en månadsavgift får en kriminell med nästan inga tekniska kunskaper AI-skrivna nätfiskemejl, färdiga mallar, en realtidspanel som följer offren och verktygen för att kapa Microsoft 365-sessioner. Det sänker tröskeln så pass mycket att du inte längre behöver en avancerad angripare för att vara ett mål — det räcker med en anställd som har en inkorg.

Anledningen till att det tar sig förbi MFA är att offret själv godkänner inloggningen, på en äkta Microsoft-sida.

Så går bluffen till

Det smarta, och ärligt talat otäcka, är att det inte finns någon falsk inloggningssida att avslöja.

1. Betet. En anställd får ett mejl som ser ut som en helt vanlig avi om fildelning eller ett dokument. Det innehåller en kort kod och ber personen gå till en äkta Microsoft-verifieringssida och fylla i koden.
2. "Verifieringen". Personen besöker den riktiga microsoft.com-sidan — den äkta, med rätt adress och giltigt certifikat, allt som det ska — och skriver in koden.
3. Överlämningen. Koden verifierar inte personen. Den ger angriparens enhet tillåtelse att logga in som honom eller henne. Den anställde har just lämnat över nycklarna utan att inse det.
4. Bestående åtkomst. Angriparen har nu en giltig session för Outlook, Teams och OneDrive. Inget lösenord behövs. Ingen ny MFA-fråga. De kan läsa post, ladda ner filer och utge sig för att vara personen — och behåller åtkomsten tills någon aktivt återkallar den.

Det vanliga rådet vi alla ger personalen — "kontrollera att webbadressen verkligen är Microsoft innan du loggar in" — fångar inte det här, eftersom sidan faktiskt är Microsoft.

Varför "vi har MFA" inte räcker här

MFA är fortfarande avgörande, och du ska absolut ha det påslaget. Men MFA skyddar dig när någon försöker logga in som dig. Den här attacken gör aldrig det. Den lurar din anställda att godkänna en inloggning som redan pågår på den kriminelles dator.

Det är skillnaden mellan att någon försöker dyrka upp din ytterdörr och att någon ringer upp dig, låter officiell och övertalar dig att läsa upp koden som öppnar den. Låset fungerar utmärkt. Det var bara inte låset som var måltavlan.

Därför är det enda hållbara försvaret en kombination av en inställning i Microsoft 365 och människor som känner igen tricket.

Vad du bör göra den här veckan

Tre saker, i klartext:

• Berätta för ditt team om enhetskoder — idag. Regeln är enkel: om du inte precis själv har påbörjat en inloggning på en ny enhet ska du aldrig fylla i en kod som kommer via mejl eller meddelande. En kod du inte har bett om är en varningsflagga, punkt slut.
• Be din IT-leverantör spärra "enhetskodinloggning". Det är den enskilt mest effektiva åtgärden, och de flesta företag behöver inte funktionen alls. Detaljer för dem finns nedan.
• Kontrollera vilka som faktiskt är inloggade. Låt någon gå igenom aktiva sessioner och registrerade enheter på viktiga konton (ekonomi, ledning, alla med bred behörighet) och logga ut allt som ser obekant ut.

Till din IT-leverantör

Skicka det här avsnittet till den som administrerar er Microsoft 365-miljö:

• Skapa en villkorsstyrd åtkomstpolicy som blockerar enhetskodflöde (device code flow) för alla användare, med smala och dokumenterade undantag endast där en verklig affärsprocess är beroende av det.
• Granska först nuvarande användning av enhetskodflöde så att ni inte bryter ett legitimt arbetsflöde när ni stänger av det.
• Blockera autentiseringsöverföring för att hindra att inloggningar flyttas från en dator till en mobil enhet.
• Undanta nödåtkomstkonton (break-glass-konton) från spärren, så att en för hårt satt policy inte kan låsa er ute från er egen miljö.

Inget av detta kräver ny programvara — det är konfiguration ni redan äger.

Var ExposureIndex kommer in

För att vara ärlig mot dig: det här är en token-stöld, inte en lösenordsstöld. Övervakning av läckta lösenord fångar alltså inte attacken, och det finns ingen skanner som "blockerar" den åt dig. De två sakerna som faktiskt gör skillnad är inställningen ovan och personalens instinkter — och det är där vi hjälper till.

• Nätfiskesimulering. Vi kan köra en realistisk enhetskodsbluff mot ditt eget team och visa dig, med namn och siffror, vilka som hade fyllt i koden. Det förvandlar "vi har utbildat alla" till bevis.
• Säkerhetsmedvetenhetsutbildning. Kort utbildning i klartext som bygger upp just den reflex som attacken förlitar sig på att folk inte har.
• Pro-rådgivning. Är du på Pro-planen ingår två timmar i månaden med oss — ett bra tillfälle att sätta sig med din IT-leverantör och säkerställa att den villkorsstyrda åtkomsten är rätt inställd.

Den ärliga sammanfattningen: inställningen stänger dörren, och att testa din personal håller den stängd.

Slutsats

Kali365 gör en allvarlig kontokapning tillgänglig för okunniga kriminella via en prenumeration, och den är byggd just för att göra "vi har MFA" till en falsk trygghet. Lösningen är billig och snabb: en inställning i Microsoft 365 och ett team som vet att aldrig skriva in en kod de inte har bett om.

Vill du veta om din personal skulle gå på det här — innan någon med onda avsikter tar reda på det åt dig — är det precis sådant ExposureIndex är byggt för att testa.