Kali365: FBI warnt vor Phishing-Plattform, die MFA umgeht

Die Bedrohungslage im Netz verschärft sich rasant – und die Gegenmaßnahmen werden drastisch verschärft.

Von Universitäten über Hotels bis zu Banken: In dieser Woche haben zahlreiche Institutionen ihre digitalen Sicherheitsvorkehrungen massiv hochgefahren. Der Grund sind neue Warnungen des FBI vor hochentwickelten Phishing-Plattformen und einer Rekordwelle automatisierter Account-Übernahmen. Besonders betroffen sind Unternehmen der Finanzbranche und der Kryptobranche.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Universitäten und Konzerne setzen auf doppelte Sicherheit

Die Purdue University schließt am 29. Mai 2026 die Umstellung auf Microsofts Multi-Faktor-Authentifizierung (MFA) ab. Künftig müssen sich alle Nutzer von Karriere-Accounts mit einem zweiten Faktor anmelden – betroffen sind Systeme wie SuccessFactors, Salesforce und myPurdue. Die meisten Nutzer sind bereits registriert, der letzte Schritt markiert das Ende der alten Single-Sign-On-Umgebung.

Auch die Unternehmenswelt zieht nach. Crown Resorts führte am 28. Mai die Pflicht zur MFA ein: Neben dem Passwort ist nun ein Einmalcode per SMS nötig. Gleichzeitig gelten strengere Regeln für Passwortlänge und -komplexität. Die Personalplattform AviontéBOLD integrierte ebenfalls am 28. Mai die Zwei-Faktor-Authentifizierung. Laut Unternehmensangaben können solche Maßnahmen mehr als 99,9 Prozent aller automatisierten Angriffe auf Konten blockieren.

Banken setzen auf Biometrie statt Passwort

Während viele Unternehmen noch auf SMS-Codes setzen, gehen Finanzinstitute einen Schritt weiter. Die Bank of Baroda führte am 28. Mai biometrische und Gesichtserkennungs-Funktionen für ihre UPI-Zahlungs-App ein. Zahlungen bis umgerechnet rund 55 Euro sind künftig ohne PIN möglich – das Smartphone erkennt den Nutzer per Fingerabdruck oder Gesichtsscan. Auch das Zurücksetzen von Sicherheitsdaten läuft künftig per Gesichtserkennung.

Zur technischen Unterstützung dieser Sicherheitsschichten aktualisierte AWS am 28. Mai seine Dokumentation zur Resynchronisation virtueller und hardwarebasierter MFA-Geräte. Die Anleitung beschreibt, wie Nutzer von Identity and Access Management (IAM) Synchronisationsprobleme mit zeitbasierten Einmalpasswörtern (TOTP) beheben können – ein häufiges Problem, da diese Codes oft kurz nach der Generierung ablaufen.

Was steckt hinter Passkeys – der Technologie, die Passwörter für immer ablösen soll? Ein kostenloser Report zeigt, wie Sie Passkeys bei Amazon, Microsoft und WhatsApp sofort einrichten. Kostenlosen Report zum passwortlosen Anmelden sichern

Neue Hacker-Werkzeuge umgehen klassischen Schutz

Doch die zunehmende Verbreitung von MFA allein reicht nicht. Das FBI hat dringende Warnungen zu neuen Werkzeugen herausgegeben, die genau diese Schutzmechanismen aushebeln. In Berichten vom 21. und 26. Mai identifizierten die Ermittler die Plattform Kali365 – ein Phishing-as-a-Service-Angebot, das seit April 2026 aktiv ist. Die Plattform nutzt den OAuth-Gerätecode-Fluss und sogenannte Adversary-in-the-Middle-Angriffe, um Sitzungstoken zu stehlen. Damit umgeht sie sowohl Passwörter als auch MFA für Microsoft 365. Das FBI warnt: Der Dienst verwendet legitime Microsoft-Verifizierungsseiten, um Opfer zu täuschen – Angreifer erhalten so Zugriff auf Outlook, Teams und OneDrive.

Noch einen Schritt weiter geht die Kampagne TrapDoor, die Sicherheitsforscher am 28. Mai als einen der größten Supply-Chain-Angriffe des Jahres enthüllten. Mehr als 34 schädliche Pakete wurden in den Paketverwaltungen npm und PyPI verteilt. Der Angriff zielte gezielt auf Entwickler im Krypto- und KI-Sektor ab. Die Schadsoftware infiltrierte KI-gestützte Programmierassistenten und stahl Cloud-Zugangsdaten und Sicherheitsschlüssel.

Physische Angriffe auf Kanzleien

Ein weiterer FBI-Hinweis vom 27. Mai zeigt: Die Bedrohung ist nicht nur digital. Die Silent Ransom Group, eine Gruppe mit Wurzeln in früheren großen Ransomware-Kollektiven, hat offenbar Mitarbeiter in Kanzleien eingeschleust – als angebliche IT-Support-Mitarbeiter. In einem Fall im Frühjahr 2026 wurden zehn Mandanten einer Kanzlei Opfer eines Angriffs, die Erpressungssumme lag bei umgerechnet rund 12 Millionen Euro. Die Behörden empfehlen phishing-resistente MFA und die Deaktivierung externer Laufwerksanschlüsse, um solchen mehrdimensionalen Angriffen zu begegnen.

de | wissenschaft | 69438027 |