Kali365: FBI warnt vor Phishing-Werkzeug, das MFA aushebelt
16.06.2026 - 19:19:56 | boerse-global.de
Kriminelle nutzen âPhishing-as-a-Service"-Plattformen, um selbst Laien zu Hightech-Angreifern zu machen.
Bundesbehörden und Cybersicherheitsforscher schlagen Alarm: Eine neue Generation von Phishing-Kampagnen zielt gezielt auf Microsoft-365-Nutzer ab. Das FBI warnte Mitte Juni 2026 vor einem Werkzeug namens Kali365, das selbst mehrstufige Authentifizierung (MFA) aushebeln kann. Die Angreifer nutzen dabei eine Schwachstelle im legitimen Microsoft-Anmeldeverfahren.
Rekord-SchĂ€den durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklĂ€ren im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schĂŒtzen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr
So funktioniert die neue Angriffswelle
Die Plattform Kali365 ist seit April 2026 aktiv und wird vor allem ĂŒber den Messengerdienst Telegram vertrieben. FĂŒr rund 230 Euro im Monat erhalten selbst technisch unerfahrene Kriminelle ein Komplettpaket: KI-generierte Phishing-Nachrichten, automatisierte Kampagnensteuerung und Echtzeit-Ăberwachung der Angriffe.
Laut einer öffentlichen Warnung des FBI richtet sich das Werkzeug gegen Unternehmen aus den Bereichen Produktion, Bildung, Versicherungen, Finanzen, Gesundheitswesen und Behörden. Die niedrigen EinstiegshĂŒrden ermöglichen massenhafte, automatisierte Attacken, die tausende Konten kompromittieren können.
Auch Sicherheitsforscher von ESET und Sekoia haben ein Ă€hnliches Toolkit namens EvilTokens identifiziert. Eine damit durchgefĂŒhrte Kampagne wurde bereits im Februar 2026 beobachtet â und betraf bis MĂ€rz 2026 mehr als 340 Organisationen.
Der Trick mit dem GerÀte-Code
Beide Werkzeuge nutzen eine raffinierte Vier-Schritte-Attacke, die das OAuth 2.0 Device Code Flow-Verfahren missbraucht. Dieses Protokoll wurde ursprĂŒnglich entwickelt, um Anmeldungen auf GerĂ€ten mit eingeschrĂ€nkter Eingabe zu ermöglichen â etwa auf Smart-TVs oder IoT-GerĂ€ten.
Der Angriff beginnt meist mit einer Phishing-Mail, die das Opfer auffordert, einen bestimmten Code auf einer legitimen Microsoft-Anmeldeseite einzugeben. Folgt das Opfer der Anweisung und gibt den Code auf der offiziellen URL âmicrosoft.com/devicelogin" ein, autorisiert es unwissentlich das GerĂ€t des Angreifers.
Selbst wenn das Opfer die mehrstufige Authentifizierung durchlĂ€uft â der Angreifer erhĂ€lt ein OAuth-Sicherheitstoken. Dieses gewĂ€hrt dauerhaften Zugriff auf die gesamte Microsoft-365-Umgebung des Opfers: Outlook, Teams und OneDrive. Weder Passwort noch erneute MFA-Abfragen sind dann nötig. Zur Tarnung nutzen einige Versionen zudem unsichtbare Unicode-Zeichen auf den Zielseiten.
Diese 7 psychologischen Schwachstellen Ihrer Mitarbeiter nutzen Hacker gnadenlos aus. Ein neuer Gratis-Report enthĂŒllt die aktuellen Methoden der Cyberkriminellen â und wie man sie entlarvt. Anti-Phishing-Paket jetzt gratis herunterladen
Was Unternehmen jetzt tun sollten
Das FBI und Microsoft empfehlen Organisationen, ihre Sicherheitseinstellungen zu verschĂ€rfen. Wichtigste MaĂnahme: Conditional Access Policies einfĂŒhren, die den Device Code Flow blockieren oder stark einschrĂ€nken â besonders fĂŒr Nutzer, die ihn nicht benötigen.
Sicherheitsexperten raten zudem, auf spezifische Indikatoren fĂŒr Kompromittierung zu achten, etwa Bit-verschobene Zeichenketten aus dem Entra ID Security Token Service. Auch YARA-Regeln können helfen, verdĂ€chtige AktivitĂ€ten zu erkennen.
Betroffene Organisationen sollten VorfĂ€lle beim Internet Crime Complaint Center (IC3) melden. Microsoft hat angekĂŒndigt, dass seine Digital Crimes Unit weiter daran arbeitet, das gesamte Ăkosystem der Phishing-as-a-Service-Anbieter zu zerschlagen.
