Kali365: FBI warnt vor PhaaS-Plattform, die MFA umgeht

Die Hacker-Plattform Kali365 umgeht selbst moderne Zwei-Faktor-Authentifizierung und bedroht Unternehmen weltweit.

Das FBI hat eine offizielle Warnung zu einer neuen Phishing-as-a-Service (PhaaS)-Plattform namens Kali365 herausgegeben, die gezielt Microsoft-365-Umgebungen angreift. Seit dem 21. Mai 2026 informieren die US-Bundesbehörden über einen Dienst, der es Cyberkriminellen ermöglicht, die mehrstufige Authentifizierung (MFA) zu umgehen – und zwar durch die Ausnutzung legitimer Identitätsverwaltungsprotokolle.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Manipulationstaktiken schützen kann. Kostenlosen Anti-Phishing-Leitfaden für Firmen anfordern

Der Clou: Kali365 stiehlt keine Passwörter, sondern Sitzungstoken in Echtzeit. Diese digitalen Schlüssel gewähren Angreifern dauerhaften Zugriff auf E-Mails, Teams, OneDrive und SharePoint – ohne dass das Opfer jemals ein Passwort eingeben müsste.

Wie die Angreifer vorgehen

Die Angriffsstrategie von Kali365 basiert auf einem Trick mit dem OAuth-Gerätecode-Fluss von Microsoft. Dieses Protokoll wurde eigentlich für Geräte ohne komfortable Eingabemöglichkeiten entwickelt – etwa Smart-TVs oder Drucker. Der Nutzer erhält einen Code und gibt ihn auf einem anderen Gerät ein, um sich anzumelden.

Die Hacker nutzen diese Funktion nun für ihre Zwecke:

• Eine KI-generierte Phishing-E-Mail täuscht Dringlichkeit vor
• Statt eines Links zu einer gefälschten Login-Seite enthält die Mail einen Gerätecode
• Das Opfer wird aufgefordert, diesen Code auf der echten Microsoft-Seite einzugeben
• Damit autorisiert es unwissentlich die Sitzung des Angreifers

Kali365 fängt den dabei entstehenden OAuth-Token ab und verschafft den Hackern direkten Zugriff auf alle Microsoft-365-Dienste. Da die Authentifizierung auf einer legitimen Microsoft-Domain stattfindet, schlagen herkömmliche E-Mail-Filter und Web-Proxys nicht Alarm.

KI macht Phishing gefährlicher

Besonders besorgniserregend: Kali365 integriert künstliche Intelligenz, um die Betrugsversuche noch überzeugender zu gestalten. Die KI erstellt personalisierte, grammatikalisch korrekte Nachrichten in mehreren Sprachen – und senkt damit die Einstiegshürde für internationale Cyberkriminelle enorm.

Der Dienst wird vor allem über Telegram vertrieben. Die Entwickler bewerben ihn als schlüsselfertige Lösung zur Umgehung moderner Sicherheitsmaßnahmen. Ein integriertes Echtzeit-Dashboard erlaubt es Abonnenten, ihre Kampagnen zu verfolgen, gestohlene Token zu verwalten und Folgeschritte zu automatisieren – etwa die Registrierung neuer Geräte oder das Anlegen von Postfachregeln, um die Spuren zu verwischen.

Neue KI-Gesetze und automatisierte Cyberrisiken verändern die Bedrohungslage für Firmen grundlegend. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und technischen Schutzmaßnahmen Unternehmer jetzt kennen müssen, um ihre IT-Sicherheit proaktiv zu stärken. Gratis-E-Book: Cyber Security Trends 2024 herunterladen

Angriff auf Administratorebene

Die Bedrohung beschränkt sich nicht auf einfache Benutzerkonten. Sicherheitsforscher haben beobachtet, wie Angreifer Azure-RBAC-Berechtigungen ausnutzen. Ein als Storm-2949 bekannter Akteur erschlich sich die Rolle „Besitzer" durch Social Engineering und MFA-Ermüdung – und extrahierte innerhalb von nur vier Minuten Geheimnisse aus Azure-Key-Vaults.

Ein weiteres Problem: Kompromittierte Konten werden genutzt, um neue Geräte zu registrieren. Selbst wenn das Opfer sein Passwort ändert, bleibt der Angreifer durch ein als „vertrauenswürdig" registriertes Gerät im System – und umgeht damit alle nachfolgenden MFA-Abfragen.

So schützen sich Unternehmen

Das FBI und Sicherheitsfirmen haben konkrete Maßnahmen empfohlen:

• Gerätecode-Fluss deaktivieren, wenn er nicht zwingend benötigt wird
• Konditionale Zugriffsrichtlinien implementieren, die phishing-resistente MFA wie FIDO2-Sicherheitsschlüssel vorschreiben
• Authentifizierungsübertragungsrichtlinien und Token-Schutzmaßnahmen einführen
• Regelmäßige Audits der Azure-RBAC-Rollen durchführen
• Neu registrierte Geräte überwachen und Sitzungstoken-Lebensdauern begrenzen

Ausblick: Das Ende der klassischen Passwortsicherheit?

Die Entdeckung von Kali365 und ihre schnelle Verbreitung im April und Mai 2026 markieren eine neue Ära der Cyberbedrohungen. PhaaS-Anbieter integrieren zunehmend KI und automatisieren die Umgehung traditioneller Sicherheitsschichten. Der Fokus der Unternehmensverteidigung verschiebt sich vom Passwortmanagement hin zur Sitzungsintegrität und Identitätsgovernance.

Für Microsoft-365-Administratoren ist die Warnung ein Weckruf: Wer nicht auf phishing-resistente Authentifizierungsframeworks umstellt, wird bald zum leichten Ziel. Denn solange Protokolle wie der Gerätecode-Fluss standardmäßig aktiviert bleiben, werden Angreifer diese effizienten Einfallstore für Wirtschaftsspionage und Finanzdiebstahl priorisieren.

de | wissenschaft | 69419291 |