Kali365: FBI warnt vor MFA-Umgehung bei Microsoft 365

Das Kit ist speziell darauf ausgelegt, die Multifaktor-Authentifizierung (MFA) von Microsoft 365 zu umgehen.

CEO-Fraud und Token-Diebstahl: Warum selbst erfahrene Mitarbeiter auf raffinierte Phishing-Methoden hereinfallen, zeigt dieser kostenlose Report über die psychologischen Tricks der Hacker. Anti-Phishing-Paket für Unternehmen jetzt gratis herunterladen

So funktioniert der Angriff

Sicherheitsforscher entdeckten die Plattform bereits im April 2026. Kali365 nutzt eine Methode namens Device-Code-Phishing. Dabei werden Anwender dazu verleitet, einen Gerätecode einzugeben. Die Angreifer stehlen daraufhin Zugriffstoken für Dienste wie Outlook, Teams und OneDrive.

Der Trick: Durch den Diebstahl der Session-Token wird die MFA-Abfrage hinfällig. Die Sitzung gilt als bereits autorisiert.

Abo-Modell für Cyberkriminelle

Die Plattform wird im Untergrund als Abonnement angeboten. Die Kosten: etwa 250 US-Dollar pro Monat oder rund 2.000 US-Dollar für ein Jahresabo. Bezahlt wird vorzugsweise in Kryptowährungen.

Derzeit zielen die Angreifer vor allem auf Finanzdienstleister in Nordamerika und Europa. Ihr Ziel: Betrug im Zahlungsverkehr und sogenannte Business Email Compromise (BEC)-Angriffe. Nach einem erfolgreichen Einbruch erstellen die Täter automatisierte Posteingangsregeln, die Sicherheitswarnungen vor dem legitimen Kontoinhaber verbergen.

Milliardenschäden durch KI-Phishing

Die Warnung kommt zu einem Zeitpunkt massiv steigender Cyberkriminalität. Der durch KI-gesteuertes Phishing verursachte Gesamtschaden liegt 2026 bei rund 442 Milliarden Euro. Schätzungen zufolge werden bereits 86 Prozent aller Phishing-Kampagnen automatisiert über Künstliche Intelligenz gesteuert.

Allein im ersten Quartal 2026 stieg die Zahl der Banking-Trojaner um 196 Prozent auf rund 1,24 Millionen Fälle. Die Europäische Zentralbank berief daraufhin eine Krisensitzung mit den 111 größten Banken ein.

Interpol meldete im Rahmen der Operation FRONTIER+ III internationale Ermittlungserfolge: 3.000 Personen wurden festgenommen, Vermögenswerte in Höhe von 752 Millionen US-Dollar eingefroren.

Weitere Lücken im Microsoft-Ökosystem

Die indische Cybersicherheitsbehörde CERT-In warnte am heutigen Donnerstag vor kritischen Sicherheitslücken in Microsoft 365 Copilot und Azure-Diensten. Eine Schwachstelle in SharePoint (CVE-2026-45659, Risikobewertung 8,8) ermöglicht die Ausführung von Schadcode aus der Ferne. Eine weitere Lücke im Windows-Kernel (CVE-2026-40369) erlaubt die Ausweitung von Berechtigungen auf System-Ebene.

Für kritische Systeme empfehlen die Behörden ein Zeitfenster von nur 12 Stunden für die Installation der Patches.

Angesichts der Millionen gehackten Konten pro Quartal warnen Experten: Wer noch klassische Passwörter nutzt, geht ein hohes Risiko ein. Dieser kostenlose Report zeigt, wie Sie mit Passkeys Phishing und Datenklau bei Microsoft, Amazon und Co. effektiv verhindern. Gratis-Report: Passwortlose Anmeldung jetzt einrichten

So schützen sich Unternehmen

Das FBI empfiehlt Unternehmen den Einsatz von Conditional Access Policies sowie die Umstellung auf FIDO-basierte Passkeys. Regelmäßige Berechtigungsaudits sollten Standard sein.

Der Sicherheitsanbieter KnowBe4 kündigte für Juni 2026 eine neue Schutzlösung für Microsoft Teams an.

International verschärfen Regierungen die Authentifizierungsregeln. Auf den Philippinen wird die Nutzung von Einmalpasswörtern per SMS für Banktransaktionen ab dem 30. Juni 2026 untersagt. Stattdessen kommen biometrische oder gerätebasierte Verfahren zum Einsatz.

Auch in Deutschland plant die Bundesregierung laut Kabinettsbeschlüssen eine Ausweitung der Befugnisse für BSI und BKA im Bereich der aktiven Cyberabwehr.

de | wissenschaft | 69435583 |