Kali365: Ketika MFA Tidak Lagi Cukup untuk Lindungi Microsoft 365 Anda

Ada satu asumsi yang sudah lama dipegang banyak tim IT dan security: “Kalau sudah pakai MFA, akun aman.” Asumsi itu sedang diuji — dan hasilnya tidak menyenangkan.

Sejak April 2026, platform bernama Kali365 muncul di Telegram dan menawarkan kemampuan yang sebelumnya butuh keahlian teknis tinggi: mencuri akses Microsoft 365 sambil membypass MFA, menggunakan metode yang memanfaatkan mekanisme autentikasi resmi Microsoft sendiri.

FBI sudah cukup khawatir untuk mengeluarkan Public Service Announcement resmi — PSA260521 — yang merinci cara kerja platform ini dan apa yang harus dilakukan organisasi.

Kali365 Itu Apa, dan Kenapa Ini Berbeda dari Phishing Biasa?

Kali365 adalah platform Phishing-as-a-Service (PhaaS) — model bisnis di mana infrastruktur dan tooling phishing dijual sebagai layanan berlangganan kepada siapa saja yang mau bayar, tanpa perlu punya keahlian teknis.

Yang membuat Kali365 berbeda dari phishing kit biasa adalah targetnya bukan password. Target Kali365 adalah OAuth token — dan OAuth token jauh lebih berharga dari password.

Kenapa? Karena OAuth access token dan refresh token memberi akses langsung ke layanan Microsoft 365 (Outlook, Teams, OneDrive) tanpa perlu username, password, atau kode MFA apapun. Token yang sudah dicuri bisa digunakan selama masih valid — dan refresh token bisa digunakan untuk mendapatkan access token baru secara terus-menerus.

Menurut FBI, fitur yang ditawarkan Kali365 mencakup:

• AI-generated phishing lures — email umpan yang terlihat natural dan dipersonalisasi
• Automated campaign templates — setup serangan dalam hitungan menit
• Real-time tracking dashboards — pantau status korban secara langsung
• OAuth token capture — tangkap dan simpan token secara otomatis

Ini bukan script sederhana. Ini platform operasional lengkap.

Cara Kerja Serangan: Device Code Phishing

Teknik inti yang digunakan Kali365 disebut device code phishing — eksploitasi terhadap alur autentikasi yang dirancang Microsoft untuk device yang tidak punya browser (smart TV, printer jaringan, terminal industri).

Alur legitimnya seperti ini: device tanpa browser menampilkan kode pendek, user pergi ke laptop/HP mereka, buka microsoft.com/devicelogin, masukkan kode, dan device tadi mendapatkan akses. Nyaman untuk use case yang tepat.

Kali365 mengeksploitasi alur ini dengan cara berikut:

Tahap 1: Email Umpan

Korban menerima email yang menyamar sebagai notifikasi dari layanan cloud yang familiar — undangan berbagi dokumen di SharePoint, alert password expiry, atau notifikasi OneDrive. Email terlihat legitimate karena dihasilkan AI dan menggunakan template yang menyerupai komunikasi resmi Microsoft.

Email tersebut menyertakan sebuah device code dan instruksi untuk mengunjungi halaman verifikasi Microsoft.

Tahap 2: Autorisasi Tanpa Sadar

Korban mengikuti instruksi — karena halaman tujuan adalah microsoft.com/devicelogin yang sungguh-sungguh milik Microsoft, bukan halaman palsu. Tidak ada URL mencurigakan, tidak ada SSL warning, tidak ada tanda-tanda phishing konvensional.

Korban memasukkan device code yang diberikan.

Tahap 3: Token Dicuri

Di balik layar, device code itu milik session autentikasi yang diinisiasi penyerang. Ketika korban memasukkan kode dan menyetujui, penyerang yang mendapat token — bukan device korban.

Alur legitimnya:
Device → generate code → user masukkan di Microsoft → device dapat token

Alur phishing:
Penyerang → generate code → kirim ke korban lewat email
Korban → masukkan code di Microsoft (halaman legit!) → penyerang dapat token

Tahap 4: Akses Persisten

Dengan OAuth access token dan refresh token di tangan, penyerang bisa:

• Membaca semua email di Outlook
• Mengakses file di OneDrive dan SharePoint
• Mengirim pesan Teams atas nama korban
• Mendaftarkan device baru ke Azure AD
• Melakukan lateral movement ke akun lain di dalam organisasi yang sama

Semua ini tanpa password, tanpa MFA. Selama token belum direvoke, akses terus berlanjut.

EvilTokens: Platform Serupa yang Ikut Beredar

Kali365 bukan satu-satunya. FBI juga menyoroti platform serupa bernama EvilTokens, juga dijual via Telegram, dengan kemampuan yang hampir identik:

• Fake login pages (lebih konvensional)
• Microsoft API automation
• AI-generated phishing emails
• Template yang meniru: request akses SharePoint, notifikasi password expiry, alert dokumen dibagikan

Keberadaan dua platform sekaligus dengan fitur serupa mengindikasikan bahwa model bisnis PhaaS untuk M365 sedang berkembang — demand ada, supply mengikuti.

Mengapa MFA Konvensional Tidak Berdaya

Ini bagian yang paling penting untuk dipahami: serangan device code phishing tidak butuh mencuri OTP atau kode dari authenticator app Anda.

Cara kerja MFA konvensional:

1. User masukkan username + password
2. Microsoft minta kode kedua (SMS/authenticator)
3. User masukkan kode
4. Akses diberikan

Device code phishing melompati seluruh alur ini. Penyerang menggunakan device code flow yang legitimate, dan ketika korban menyetujui di sisi Microsoft, token langsung diterbitkan untuk session penyerang — tanpa ada permintaan kode MFA sama sekali dari sisi korban.

Itulah mengapa FBI menegaskan bahwa metode autentikasi konvensional “sudah tidak cukup” untuk mendeteksi atau mencegah serangan jenis ini.

Yang Harus Dilakukan Organisasi Sekarang

FBI merinci langkah mitigasi konkret dalam PSA260521. Ini bukan saran umum “pakai password kuat” — ini langkah teknis yang harus diimplementasi tim IT/security:

1. Blokir Device Code Flow via Conditional Access Policy

Ini adalah mitigasi paling efektif dan harus menjadi prioritas pertama.

Di Azure Active Directory (Entra ID):

• Masuk ke Azure Portal → Entra ID → Security → Conditional Access
• Buat policy baru yang mem-block authentication flow dengan grant type device_code
• Terapkan ke semua user (bukan hanya user tertentu)

Jika organisasi tidak menggunakan device code flow sama sekali (mayoritas kasus), ini bisa langsung diblokir tanpa dampak operasional.

2. Audit Penggunaan Device Code yang Sudah Ada

Sebelum memblokir, identifikasi dulu apakah ada sistem legitimate yang menggunakan device code flow:

# PowerShell — cari sign-in log dengan device code flow
Get-MgAuditLogSignIn -Filter "authenticationDetails/any(ad:ad/authenticationMethod eq 'deviceCode')" | 
  Select-Object UserDisplayName, AppDisplayName, CreatedDateTime, IPAddress

Device seperti smart TV meeting room atau terminal khusus mungkin legitimate menggunakan flow ini. Dokumentasikan, buat exception untuk kebutuhan tersebut, lalu blokir yang lain.

3. Blokir Authentication Transfer

Pastikan kebijakan Azure AD tidak memperbolehkan transfer authentication context antar device. Ini menutup satu jalur lagi yang bisa dieksploitasi.

4. Siapkan Emergency Access Account

Sebelum mengaktifkan pembatasan agresif, pastikan ada emergency access account (break-glass account) yang dikecualikan dari policy. Tujuannya mencegah admin terkunci keluar dari tenant saat terjadi masalah.

5. Edukasi User tentang Pola Serangan Ini

User perlu tahu satu hal sederhana: Microsoft tidak pernah mengirim device code melalui email.

Jika ada email yang meminta memasukkan kode pendek di microsoft.com/devicelogin, itu adalah serangan. Tidak peduli seberapa legitimate tampilan emailnya.

Cara Melaporkan Insiden

Jika organisasi Anda sudah menjadi korban atau menemukan aktivitas mencurigakan yang terkait dengan Kali365 atau EvilTokens:

• Laporkan ke FBI IC3: www.ic3.gov
• Sertakan: phishing email yang diterima, detail login mencurigakan, device atau session yang tidak dikenali
• Untuk insiden di Indonesia: laporkan ke BSSN (Badan Siber dan Sandi Negara) atau CSIRT organisasi Anda

Perspektif: Mengapa PhaaS Jadi Ancaman yang Semakin Sulit Diatasi

Kali365 adalah cerminan dari tren yang sudah berjalan beberapa tahun: kriminalisasi keahlian teknis melalui model as-a-service.

Dulu, serangan seperti ini membutuhkan pemahaman mendalam tentang OAuth flow, kemampuan membuat phishing infrastructure sendiri, dan keahlian social engineering. Sekarang, semua itu dikemas dalam dashboard Telegram yang bisa dioperasikan seseorang tanpa latar belakang teknis sama sekali.

Yang lebih mengkhawatirkan: platform ini menggunakan AI untuk menyusun email phishing. Artinya lure yang dihasilkan bukan lagi terjemahan mesin yang canggung dengan typo — melainkan tulisan yang contextually relevant, menggunakan nama perusahaan, nama kolega, atau konteks proyek yang mungkin sudah bocor dari breach sebelumnya.

Ini adalah arms race: defender harus memperbarui kontrol teknis (Conditional Access, audit log, alerting), sekaligus memperbarui kesadaran user tentang vektor serangan yang terus berevolusi.

Kesimpulan

Kali365 dan EvilTokens bukan ancaman di masa depan — mereka sudah aktif sejak April 2026, dan FBI sudah cukup khawatir untuk mengeluarkan peringatan publik resmi.

Poin kunci yang perlu diingat:

• MFA bukan silver bullet — device code phishing bypasses MFA tanpa butuh mencuri OTP
• Target adalah token, bukan password — dan token bisa bertahan lama
• Mitigasi utama ada di Conditional Access — blokir device code flow jika tidak dibutuhkan
• Edukasi user — tidak ada email legitimate yang minta memasukkan device code

Serangan ini berhasil bukan karena user bodoh, tapi karena mekanismenya dirancang untuk tampak seperti interaksi yang sah. Pertahanan terbaik adalah kontrol teknis yang memastikan flow tersebut tidak bisa dieksploitasi — apapun yang dilakukan user.

Referensi:

• FBI PSA: PSA260521 — Device Code Phishing via Kali365
• HelpNet Security: Kali365 Microsoft 365 Phishing FBI Warning (Mei 2026)
• Microsoft Entra ID: Conditional Access — Block Device Code Flow