FBI Rilis Peringatan Darurat: Platform PhaaS “Kali365” Eksploitasi OAuth Device Code untuk Bobol Akun Microsoft 365

Biro Investigasi Federal AS (FBI) resmi menerbitkan pengumuman layanan masyarakat (Public Service Announcement – PSA) berisi peringatan darurat mengenai kemunculan platform Phishing-as-a-Service (PhaaS) baru bernama Kali365. Platform ini dirancang khusus untuk membajak akun Microsoft 365 dan Microsoft Entra milik korporasi dengan cara mengeksploitasi alur otentikasi OAuth device code untuk mencuri tokan sesi (session tokens) sekaligus melompati benteng verifikasi ganda (MFA).

Berdasarkan laporan FBI, Kali365 pertama kali terdeteksi aktif pada April 2026 dan didistribusikan secara masif melalui kanal-kanal gelap di aplikasi Telegram. Platform ilegal ini menjadi komoditas panas di kalangan penjahat siber karena menawarkan cara instan untuk meretas akun korporat tanpa perlu repot mencuri kata sandi (passwords) atau mencegat kode OTP/MFA korban secara manual.

Mekanisme Serangan: Manipulasi Celah Logika Alur “Device Login”

Metode utama yang dipersenjatai oleh Kali365 adalah Device Code Phishing. Teknik ini mengeksploitasi fitur sah OAuth 2.0 Device Authorization Grant milik Microsoft.

Secara desain, fitur ini diciptakan Microsoft untuk mempermudah perangkat yang memiliki keterbatasan papan ketik/input—seperti Smart TV, sistem ruang konferensi, perangkat streaming, printer, dan perangkat IoT—untuk masuk ke ekosistem akun mereka. Pengguna cukup memasukkan kode pendek acak yang muncul di layar TV ke portal resmi Microsoft di alamat [http://microsoft.com/devicelogin](http://microsoft.com/devicelogin) melalui ponsel atau komputer yang sudah dalam posisi masuk (logged in).

Celah logika inilah yang dieksploitasi oleh para aktor siber lewat ekosistem Kali365 dengan alur taktis sebagai berikut:

[Penyerang Memicu Alur Otentikasi] ──> Hasilkan Kode Akses Microsoft Resmi
                                                    │
                                                    ▼
[Akses Penuh Akun Korban Diraih] <── [Korban Input Kode & Selesaikan MFA] <── [Taktik Social Engineering]

1. Pemicuan Kode: Penyerang secara sengaja memicu proses otentikasi perangkat dari sisi mereka guna mendapatkan kode akses resmi dari Microsoft.
2. Rekayasa Sosial (Social Engineering): Melalui email phishing yang meyakinkan, penyerang menjebak korban dan mendesak mereka untuk membuka situs resmi [microsoft.com/devicelogin](https://microsoft.com/devicelogin) lalu memasukkan kode yang dikirimkan oleh penyerang tersebut.
3. Pemanenan Tokan Akses: Begitu korban memasukkan kode tersebut dan menyelesaikan tantangan MFA di perangkatnya sendiri, sistem Microsoft secara otomatis menganggap perangkat penyerang telah terverifikasi secara sah. Microsoft kemudian menerbitkan OAuth Access Token kepada penyerang.

Dengan tokan tersebut, penyerang langsung meraih akses penuh ke seluruh ekosistem Single-Sign-On (SSO) korban, mencakup Microsoft 365, Salesforce, hingga platform SaaS cloud lainnya, tanpa pernah memicu alarm kecurigaan dari sistem pertahanan MFA.

Fitur Canggih Kali365: Operasi Bisnis Gelap Berbantuan AI

Laporan forensik dari firma keamanan siber Arctic Wolf mengungkap bahwa Kali365 tidak sekadar alat peretasan mentah, melainkan dijalankan secara profesional layaknya perusahaan perangkat lunak legal. Struktur internal mereka terdiri dari jajaran administrator pengembang produk, jaringan agen penjual (resellers), hingga afiliasi yang bertugas melancarkan eksekusi serangan di lapangan.

Platform Kali365 memberikan kemampuan siber tingkat tinggi kepada peretas amatir sekalipun (low-skilled attackers) melalui integrasi menu operasional:

• AI-Generated Phishing Lures: Fitur pembuat kalimat jebakan email otomatis berbasis kecerdasan buatan (AI) guna menghasilkan teks manipulatif yang rapi dan bebas dari kesalahan tata bahasa.
• Kampanye Otomatis & Dasbor Pemantauan: Menyediakan templat email siap pakai serta dasbor pelacakan korban (real-time victim-tracking) untuk memantau siapa saja target yang telah terjebak memasukkan kode.
• Modus Ganda “Cookie Link”: Selain modus device code, platform ini menyediakan opsi Adversary-in-the-Middle (AitM) bernama Cookie Link. Modus ini bertindak sebagai server proksi penengah yang secara otomatis menangkap sesi browser (authenticated browser sessions) dan session cookies sesaat setelah korban berhasil login.

Begitu berhasil menyusup ke kotak masuk (mailbox) target, peretas terpantau langsung membuat aturan penyaringan otomatis (malicious inbox rules) guna menyembunyikan jejak email keluar-masuk, serta mendaftarkan perangkat baru milik penyerang ke dalam lingkungan Microsoft Entra perusahaan korban guna mengamankan akses jangka panjang (persistence access).

Rekomendasi Langkah Mitigasi dari FBI

Guna mengantisipasi masifnya tren serangan Device Code Phishing di tahun 2026—yang kini juga turut diadopsi oleh platform PhaaS kompetitor seperti EvilTokens dan Tycoon2FA—FBI mendesak para administrator jaringan perusahaan untuk segera menerapkan pengetatan keamanan berikut:

• Batasi Alur Otentikasi Perangkat: Segera konfigurasikan aturan Conditional Access Policies di dalam dasbor Microsoft Entra untuk membatasi secara ketat atau memblokir total alur Device Code Authentication jika organisasi Anda tidak mengoperasikan perangkat pintar (IoT/Smart TV) yang membutuhkannya.
• Blokir Transfer Kebijakan Sesi: Terapkan kebijakan penolakan transfer otentikasi (block authentication transfer) yang melarang sebuah sesi login berpindah atau diserahkan antar-perangkat yang berbeda geografis atau subnet jaringan.
• Audit Pendaftaran Perangkat: Lakukan audit berkala terhadap log aktivitas penggunaan kode perangkat historis serta periksa apakah ada pendaftaran perangkat asing baru yang mencurigakan dalam lingkungan cloud perusahaan.
• Preservasi Bukti Digital: Jika organisasi Anda terindikasi terkena kompromi, amankan seluruh sampel email phishing, log data lokasi login abnormal, dan segera laporkan insiden tersebut ke pusat pengaduan Internet Crime Complaint Center (IC3) milik FBI.