FBI varoittaa Kali365-kalastelupalvelusta – 250 dollarin kuukausimaksulla Microsoft 365 -tilien kaappauspaketti
Telegramin kautta tilattava Kali365 myy rikollisille valmiin kaappauspaketin Microsoft 365 -tileihin. Hinnoittelu alkaa 30 päivän pääsystä, ja palvelu lupaa houkutussivut 14 kielellä. MFA:n murtamista ei tarvita.
Tiivistelma
FBI julkaisi 21.5.2026 varoituksen Kali365-nimisestä kalastelupalvelusta, jota myydään Telegramissa noin 250–2 000 dollarin hintaan. Alusta tuotteistaa device-code-kalastelun ja OAuth-tokenien varkauden samaan pakettiin, ja sen kampanjat ovat ajoittuneet samaan jaksoon kuin Kyberturvallisuuskeskuksen huhtikuussa kirjaamat 87 suomalaista M365-kompromisaatiota.
Noin 250 dollaria kuukaudessa. Sillä hinnalla pääsee tällä hetkellä mukaan Kali365-nimiseen kalastelupalveluun, joka tuotteistaa Microsoft 365 -tilien kaappauksen rikolliselle yhtä helpoksi kuin Netflix-tilauksen tekemisen. FBI julkaisi 21.5.2026 tiedotteen, jossa virasto nimeää operaation ensimmäistä kertaa virallisesti.
Mitä rikollinen oikeastaan saa tuolla rahalla? Liiketoimintamalli on kalastelumarkkinan uusi vaihe.
Tähän asti viranomaiset ovat kaataneet yksittäisiä botteja ja allekirjoituspalveluita, kuten Microsoftin viime viikolla nujertama Fox Tempest. Nyt FBI kääntää katseen siihen, kuka rakentaa rikollisille työkalut.
Mitä 250 dollarilla saa
Kali365:tä myydään Telegramin kautta kolmiportaisella mallilla. Yksittäinen hyökkääjä ostaa Client-tason oikeudet noin 250 dollarin kuukausihintaan ja saa käyttöönsä omaa brändäystä tukevan paneelin. Jälleenmyyjäporras eli Agent maksaa enemmän ja kerää komission omilta asiakkailtaan. Päätaso Admin on varattu kehittäjille.
Vuositilaus maksaa noin 2 000 dollaria. Hinnan sisältää tekoälyn tuottamat houkutusviestit, joita palvelu generoi 14 kielellä. Listalla ovat muun muassa englanti, ranska, saksa, espanja, italia, japani, korea, puola ja venäjä. Suomi tai ruotsi eivät ole mukana, mikä tekee Pohjoismaista melko epätyypillisen kohteen kotimaisilla houkutuksilla.
Kalastelusivut isännöidään Cloudflare Workerin päällä, ja asiakas seuraa kerättyjä tunnuksia reaaliaikaiselta kojelaudalta. Mukana tulee myös työpöytäklientti, jolla varastettuja tokeneita ja uhrien sähköpostilaatikkoja hallitaan suoraan hyökkääjän koneelta. Houkutussivut matkivat tuttuja palveluita: Adobe Acrobat Signiä, DocuSignia ja SharePointia.
– Kali365 yhdistää kahta tekniikkaa: device-code-kalastelua ja AitM-istuntoevästeiden sieppausta, kertoo Arctic Wolfin tutkijaryhmä blogikirjoituksessaan.
Lopputulos on sama riippumatta reitistä. Hyökkääjä saa OAuth-access- ja refresh-tokenit, joilla pääsee Outlookiin, Teamsiin ja OneDriveen ilman salasanaa. Kaksivaiheinen tunnistautuminen ei estä sisäänpääsyä, koska token annetaan vasta onnistuneen kirjautumisen jälkeen.
OAuth-access- ja refresh-tokenit
Token on tunnistautumislipuke, jonka palvelu antaa onnistuneen kirjautumisen jälkeen. Sen avulla pääsee sähköpostiin ja muihin palveluihin ilman salasanaa, ja se pysyy voimassa, vaikka salasana vaihdettaisiin tai MFA otettaisiin myöhemmin käyttöön.
Paikka ekosysteemissä
Kali365 ei ole sama palvelu kuin Tycoon2FA tai EvilTokens, vaikka työkalut kuuluvat samaan perheeseen. Device-code-väärinkäytön keksi venäläiseksi epäilty Storm-2372 -ryhmä helmikuussa 2025. Tycoon2FA-operaattorit siirtyivät samaan tekniikkaan sen jälkeen, kun Microsoft kaatoi Fox Tempest -allekirjoituspalvelun.
Kali365 on ekosysteemin uusin kaupallistettu kone. Se ottaa valmiin tekniikan ja paketoi sen myyntiin niin, ettei ostajan tarvitse osata mitään muuta kuin maksaa.
Huhtikuun aalto ja Suomi
Arctic Wolf kertoo havainneensa laajan Kali365-kampanjan huhtikuun alusta 2026 alkaen. The Register kertoo Microsoftin seuraavan satoja kompromissoituja M365-tilejä päivässä saman jakson aikana. Kompromisoinnin jälkeen hyökkääjät asettavat saapuvaan postilaatikkoon säännön, joka siirtää sanat "spam", "phish", "click", "link" ja "SharePoint" sisältävät viestit piilotettuun kansioon. Käyttäjä ei näe varoituksia kollegoiltaan eikä IT-osastolta.
Kyberturvallisuuskeskus kertoo rekisteröineensä huhtikuussa 87 suomalaista M365-tilin kompromisaatiota. Viikkokatsauksessa 19/2026 keskus käsittelee AitM-kalastelua yleisesti, mutta ei mainitse Kali365:tä nimeltä. Ajallinen yhteys on silti ilmeinen, vaikka suoraa attribuointia ei ole julkisesti tehty.
Voisiko suomenkielinen houkutusvariantti olla seuraava lisäys palvelun kielipakettiin? Kysymys jää nähtäväksi.
Tunnistusmerkit organisaatiossa
Kun device-code-kalastelu osuu yritykseen, jäljet näkyvät lokeissa. Microsoft Entra ID:ssä näkyy odottamattomia device-code-kirjautumisia, erityisesti maantieteellisesti epäloogisilta IP-osoitteilta. Käyttäjien postilaatikoihin ilmestyy uusia inbox-sääntöjä, jotka piilottavat tiettyjä avainsanoja sisältävät viestit. OAuth-sovellusten suostumuslistalle saattaa ilmestyä tuntemattomia sovelluksia.
Mitä tehdä
FBI:n tiedotteen ohjeet kohdistuvat ensisijaisesti organisaatioiden tietoturvasta vastaaville. Tärkein toimi on conditional access -käytäntö, joka estää device-code-flow:n käyttäjiltä, joille sitä ei aidosti tarvita. Kartoita ensin, kenelle tekniikka on oikeasti välttämätön.
Estä myös authentication-transfer -käytännöt, jotka mahdollistavat tokenin siirron laitteelta toiselle. Käy läpi tenantin OAuth-sovellusten suostumukset ja aktiiviset istunnot. Epäilyttäville tileille kannattaa mitätöidä refresh-tokenit. Pelkkä salasanan vaihto ei riitä, koska token elää siitä erillään.
Yksityishenkilön kannalta ohje on yksinkertaisempi. Jos saat sähköpostia, jossa pyydetään syöttämään lyhyt koodi Microsoftin tai Googlen sivulle, älä syötä sitä. Aito palvelu ei lähetä koodia, joka pitäisi näppäillä toiselta laitteelta.
Epäillyt huijausviestit voi ilmoittaa Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi. Yhdysvalloissa tapahtuneista hyökkäyksistä FBI ottaa ilmoituksia vastaan osoitteessa ic3.gov.
FBI ei toistaiseksi julkaissut Kali365:een liittyviä domaineja tai Telegram-tunnisteita varoituksensa yhteydessä. Telegram-pohjaisen myynnin kaataminen on osoittautunut hitaaksi, ja niin kauan kuin tilauspohja kasvaa, ostajiakin riittää.