Kali365, Hackergruppe

Kali365: Hackergruppe umgeht Microsoft-365-Zwei-Faktor-Auth

20.06.2026 - 18:17:09 | boerse-global.de

Die Phishing-as-a-Service-Plattform Kali365 nutzt eine OAuth-Lücke, um Microsoft-365-Konten zu übernehmen. Das FBI rät zu erhöhter Vorsicht.

FBI warnt vor Kali365: Neue Hacker-Plattform umgeht 2FA bei Microsoft 365
Kali365 - A glowing, ominous digital padlock icon superimposed over a blurred background of data streams and a subtle Microsoft 365 logo, symbolizing a security breach. 20.06.2026 - Bild: über boerse-global.de

Die Hackergruppe Kali365 umgeht selbst sichere Zwei-Faktor-Authentifizierung – und gefährdet damit Millionen Microsoft-365-Nutzer.

Das FBI hat am 18. Juni eine dringende Sicherheitswarnung herausgegeben. Im Fokus steht die Phishing-as-a-Service-Plattform Kali365, die seit April 2026 aktiv ist. Kriminelle können sie als Abo-Dienst für rund 250 Euro pro Monat mieten – beworben wird das Paket vor allem über den Messenger-Dienst Telegram.

Das Besondere: Kali365 zielt nicht auf Passwörter ab, sondern nutzt eine raffinierte Lücke im OAuth-2.0-Device-Authorization-Verfahren. Betroffen sind Microsoft-365-Dienste wie Teams, Outlook und OneDrive.

Anzeige

Der beschriebene Missbrauch von OAuth-Verfahren zeigt, wie gezielt Hacker heute psychologische Schwachstellen ausnutzen, um technische Hürden zu umgehen. Dieses kostenlose Anti-Phishing-Paket enthüllt die aktuellen Manipulationstaktiken der Angreifer und hilft Ihnen, Ihre Firma in vier Schritten wirksam zu schützen. Anti-Phishing-Leitfaden jetzt kostenlos herunterladen

Wie die Angreifer vorgehen

Die Angriffskette beginnt mit einer harmlos wirkenden E-Mail. Sie imitiert seriöse Dienste wie SharePoint oder DocuSign und fordert den Empfänger auf, einen Gerätecode auf einer offiziellen Microsoft-Seite einzugeben. Wer das tut, autorisiert unwissentlich das Gerät eines Angreifers.

Der Hacker erhält ein OAuth-Token – und damit vollen Zugriff auf das Konto. Weder Passwort noch Zwei-Faktor-Authentifizierung können das verhindern. Die Sicherheitsforscher von Red Canary beobachteten im April und Mai 2026 einen sprunghaften Anstieg solcher Angriffe auf Microsoft Entra ID.

Die neue Generation der Phishing-Kits

Kali365 ist kein Einzelfall. Das Toolkit EvilTokens wurde bereits in Kampagnen gegen mehr als 340 Organisationen eingesetzt. Auch hier nutzen die Angreifer den Device-Code-Login, um Konten zu übernehmen – ganz ohne Passwortdiebstahl.

Die Tarnung ist perfide: Weil die Angriffe über die legitime Microsoft-Infrastruktur laufen, sind sie für herkömmliche Sicherheitsfilter kaum erkennbar. Die Kits senden die Gerätecodes im Sekundentakt an die Server der Angreifer – teilweise alle vier Sekunden, um eine aktive Sitzung sofort zu kapern.

Die wirtschaftlichen Schäden sind enorm. Allein 2024 beliefen sich die Verluste durch Internetkriminalität auf umgerechnet über 15 Milliarden Euro. Der aktuelle Verizon Data Breach Investigations Report stuft Token-Diebstahl als häufigste Methode zur Umgehung von MFA ein.

Künstliche Intelligenz macht Phishing gefährlicher

Die Entwicklung wird durch KI massiv beschleunigt. Laut dem KnowBe4 Threat Lab setzen inzwischen 86 Prozent aller Phishing-Angriffe auf künstliche Intelligenz. Die Erfolgsquote ist erschreckend: KI-generierte Phishing-Mails erreichen eine Klickrate von 54 Prozent – traditionelle Methoden kommen nur auf zwölf Prozent.

Anzeige

Da Cyberkriminelle immer häufiger KI-Tools nutzen, um Sicherheitsvorkehrungen zu unterwandern, müssen auch die Schutzmaßnahmen in Unternehmen mit dieser Entwicklung Schritt halten. Ein kostenloser Report klärt darüber auf, welche rechtlichen Pflichten und Bedrohungen durch neue KI-Technologien auf Sie zukommen. Gratis-E-Book zu aktuellen Cyberrisiken anfordern

Die Analyse von Cisco Talos für das erste Quartal 2026 bestätigt: Phishing ist wieder der häufigste Einstiegsvektor für Cyberangriffe. KI ermöglicht es den Tätern, digitale Fingerabdrücke zu hinterlassen, die Standardfilter umgehen – etwa durch LLM-generierte Einleitungstexte, Unicode-Homoglyphen oder No-Code-Phishing-Seiten auf legitimen Plattformen.

So schützen Sie sich

Das FBI rät zu einem einfachen, aber wirksamen Grundsatz: Geben Sie niemals einen Gerätecode ein, den Sie nicht selbst angefordert haben. Für Unternehmen empfehlen Sicherheitsexperten:

  • Richtlinien für bedingten Zugriff einführen, um Login-Optionen einzuschränken
  • Ungewöhnliche Beaconing-Muster oder unerwartete Geräteregistrierungen überwachen
  • Verhaltensanalysen von Konten durchführen, statt nur auf URL-Reputationsfilter zu setzen
  • Aktive Sitzungen und Postfachregeln regelmäßig auf unbefugte Änderungen prüfen

Wer einen Verdacht auf Kompromittierung hat, sollte sofort das Passwort ändern und unbekannte OAuth-Tokens oder Geräteberechtigungen widerrufen. Das FBI bittet zudem um Meldung verdächtiger Aktivitäten an das Internet Crime Complaint Center (IC3).

de | wissenschaft | 69591776 |