Kali365: FBI warnt vor Phishing-Werkzeug, das MFA aushebelt
16.06.2026 - 19:19:56 | boerse-global.de
Kriminelle nutzen „Phishing-as-a-Service"-Plattformen, um selbst Laien zu Hightech-Angreifern zu machen.
Bundesbehörden und Cybersicherheitsforscher schlagen Alarm: Eine neue Generation von Phishing-Kampagnen zielt gezielt auf Microsoft-365-Nutzer ab. Das FBI warnte Mitte Juni 2026 vor einem Werkzeug namens Kali365, das selbst mehrstufige Authentifizierung (MFA) aushebeln kann. Die Angreifer nutzen dabei eine Schwachstelle im legitimen Microsoft-Anmeldeverfahren.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr
So funktioniert die neue Angriffswelle
Die Plattform Kali365 ist seit April 2026 aktiv und wird vor allem über den Messengerdienst Telegram vertrieben. Für rund 230 Euro im Monat erhalten selbst technisch unerfahrene Kriminelle ein Komplettpaket: KI-generierte Phishing-Nachrichten, automatisierte Kampagnensteuerung und Echtzeit-Überwachung der Angriffe.
Laut einer öffentlichen Warnung des FBI richtet sich das Werkzeug gegen Unternehmen aus den Bereichen Produktion, Bildung, Versicherungen, Finanzen, Gesundheitswesen und Behörden. Die niedrigen Einstiegshürden ermöglichen massenhafte, automatisierte Attacken, die tausende Konten kompromittieren können.
Auch Sicherheitsforscher von ESET und Sekoia haben ein ähnliches Toolkit namens EvilTokens identifiziert. Eine damit durchgeführte Kampagne wurde bereits im Februar 2026 beobachtet – und betraf bis März 2026 mehr als 340 Organisationen.
Der Trick mit dem Geräte-Code
Beide Werkzeuge nutzen eine raffinierte Vier-Schritte-Attacke, die das OAuth 2.0 Device Code Flow-Verfahren missbraucht. Dieses Protokoll wurde ursprünglich entwickelt, um Anmeldungen auf Geräten mit eingeschränkter Eingabe zu ermöglichen – etwa auf Smart-TVs oder IoT-Geräten.
Der Angriff beginnt meist mit einer Phishing-Mail, die das Opfer auffordert, einen bestimmten Code auf einer legitimen Microsoft-Anmeldeseite einzugeben. Folgt das Opfer der Anweisung und gibt den Code auf der offiziellen URL „microsoft.com/devicelogin" ein, autorisiert es unwissentlich das Gerät des Angreifers.
Selbst wenn das Opfer die mehrstufige Authentifizierung durchläuft – der Angreifer erhält ein OAuth-Sicherheitstoken. Dieses gewährt dauerhaften Zugriff auf die gesamte Microsoft-365-Umgebung des Opfers: Outlook, Teams und OneDrive. Weder Passwort noch erneute MFA-Abfragen sind dann nötig. Zur Tarnung nutzen einige Versionen zudem unsichtbare Unicode-Zeichen auf den Zielseiten.
Diese 7 psychologischen Schwachstellen Ihrer Mitarbeiter nutzen Hacker gnadenlos aus. Ein neuer Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen – und wie man sie entlarvt. Anti-Phishing-Paket jetzt gratis herunterladen
Was Unternehmen jetzt tun sollten
Das FBI und Microsoft empfehlen Organisationen, ihre Sicherheitseinstellungen zu verschärfen. Wichtigste Maßnahme: Conditional Access Policies einführen, die den Device Code Flow blockieren oder stark einschränken – besonders für Nutzer, die ihn nicht benötigen.
Sicherheitsexperten raten zudem, auf spezifische Indikatoren für Kompromittierung zu achten, etwa Bit-verschobene Zeichenketten aus dem Entra ID Security Token Service. Auch YARA-Regeln können helfen, verdächtige Aktivitäten zu erkennen.
Betroffene Organisationen sollten Vorfälle beim Internet Crime Complaint Center (IC3) melden. Microsoft hat angekündigt, dass seine Digital Crimes Unit weiter daran arbeitet, das gesamte Ökosystem der Phishing-as-a-Service-Anbieter zu zerschlagen.
