Phishing-Plattform Kali365: Neue Welle umgeht MFA-Schutz

Eine neue Welle hochentwickelter Phishing-Kampagnen setzt gezielt künstliche Intelligenz ein und bringt selbst etablierte Sicherheitsmechanismen ins Wanken.

FBI warnt vor „Phishing-as-a-Service"-Plattform Kali365

Erst Ende Mai schlug das FBI Alarm: Seit April 2026 ist eine neue Phishing-Plattform namens Kali365 aktiv. Das Tool wird über Telegram vertrieben und zielt speziell auf Microsoft-365-Dienste wie Outlook, Teams und OneDrive ab. Sicherheitsexperten zufolge nutzt Kali365 einen sogenannten Device-Code-Flow, um OAuth-Token zu stehlen. Die Methode ist besonders tückisch: Sie umgeht selbst die Multi-Faktor-Authentifizierung (MFA) , die eigentlich als sicherer Schutzschild gilt.

Anzeige: Wer die neue Kali365-Phishing-Welle mit MFA-Umgehung für sein Unternehmen abwehren will, findet in diesem Report die wichtigsten Schutz-Hebel – von Device-Code-Flow-Absicherung bis Mitarbeiter-Training. Jetzt kostenlosen Sicherheits-Report anfordern

Parallel dazu entdeckten Forscher eine weitere perfide Masche: Angreifer nutzten eine offizielle Microsoft-E-Mail-Adresse, um Phishing-Nachrichten in echte Unterhaltungsstränge einzufügen. Für Nutzer ist der Betrug kaum zu erkennen.

Die Behörden warnen zudem vor themenbezogenem Betrug. Allein zur FIFA-Weltmeisterschaft registrierten Ermittler über 4.300 betrügerische Domains. Eine finanziell motivierte Gruppe namens „Ghost Stadium" ist seit August 2025 aktiv – Tausende WM-bezogene Zugangsdaten wurden bereits im Darknet gefunden.

Signal-Nutzer im Visier – Banking-Trojaner legen massiv zu

Die Angreifer haben auch verschlüsselte Kommunikationsplattformen entdeckt. Seit dem 27. Mai rollt eine Phishing-Welle gegen Signal-Nutzer. Die Kriminellen geben sich als Signal-Support aus und fordern 64-stellige Wiederherstellungsschlüssel für „sichere Backups" an. Diese Schlüssel sind der einzige Weg, um verschlüsselte Chatverläufe, Fotos und Dokumente zu entschlüsseln. Signal stellt klar: Niemals fordert der Dienst solche Schlüssel von Nutzern an.

Der Finanzsektor bleibt das Hauptziel. Im Mai 2025 beobachteten Behörden eine Vielzahl von Smishing- und Phishing-Kampagnen, die unter anderem die AOK, DKB, ING und Telekom imitierten. Eine spezielle Kampagne gegen AOK-Versicherte setzte eine Frist zur Identitätsprüfung auf den 29. Mai – dahinter steckte der Versuch, Online-Banking-Daten zu stehlen. Marktforscher registrierten im ersten Quartal 2026 einen Anstieg von Banking-Trojanern um 196 Prozent.

KI-gesteuerte Angriffe verursachen Milliardenschäden

Die wirtschaftlichen Folgen sind enorm. Branchendaten zufolge werden KI-gestützte Phishing-Angriffe im Jahr 2026 weltweit Schäden in Höhe von 442 Milliarden Euro verursachen. Bereits jetzt laufen 86 Prozent aller Phishing-Kampagnen mit KI-Unterstützung. Das FBI berichtete zudem, dass KI-gesteuerte Stimmmanipulation und -betrug im Jahr 2025 Schäden von rund 893 Millionen Euro verursacht haben.

Die Tech-Riesen reagieren mit Milliardeninvestitionen. IBM kündigte am 28. Mai eine Fünf-Milliarden-Euro-Investition in seine KI-Initiative Lightwell an. Google führte KI-basierte Echtzeitschutzmaßnahmen und neue Sicherheitsfunktionen im Chrome-Browser ein, um den Diebstahl von Sitzungscookies zu bekämpfen.

Microsoft schafft SMS-Verifikation ab – Passkeys als Zukunft?

Die zunehmende Schwäche traditioneller Sicherheitsmethoden erzwingt einen strukturellen Wandel. Am 30. Mai begann Microsoft damit, die SMS-basierte Verifikation für Privatkonten schrittweise abzuschaffen. Der Schritt soll Risiken durch SIM-Swapping und unverschlüsselte Übertragung eliminieren.

Anzeige: 74 Prozent der Deutschen halten ihre Passwörter für sicher – eine gefährliche Fehleinschätzung. Der Report zeigt, wie Sie mit Passkeys und DBSC Ihre Authentifizierung zukunftssicher machen, bevor Angreifer Ihre Sitzungscookies stehlen. Authentifizierungs-Leitfaden jetzt sichern

Alternativen wie Passkeys und Authenticator-Apps gelten als sicherer. Doch die Akzeptanz hakt: Eine YouGov-Umfrage vom 6. Mai offenbarte eine gefährliche Kluft zwischen gefühlter und tatsächlicher Sicherheit in Deutschland:

• 74 Prozent der Befragten halten ihre eigenen Passwörter für sicher
• 32 Prozent nutzen bereits Passkeys
• 25 Prozent verwenden Zwei-Faktor-Authentifizierung
• 24 Prozent setzen auf Passwort-Manager

Um den Diebstahl von Sitzungscookies zu unterbinden – eine gängige Methode zur MFA-Umgehung – führte Google am 29. Mai Device Bound Session Credentials (DBSC) in Chrome ein. Diese Technologie bindet Sitzungscookies an den Sicherheitschip eines bestimmten Geräts. Selbst wenn Angreifer die Cookies stehlen, können sie sie nicht verwenden.

de | wirtschaft | 69448407 |