Kali365: Neue KI-Attacke hebelt Microsoft-365-Sicherheit aus

FBI und Cybersicherheitsexperten schlagen Alarm: Kriminelle nutzen zunehmend KI-gestützte Dienste, um selbst mehrstufige Sicherheitsvorkehrungen zu umgehen.

Die Bedrohungslage für Unternehmen und Behörden hat sich dramatisch verschärft. Gleich zwei Warnungen – vom FBI und der Global Threat Intelligence Group (GTIG) – belegen, dass sich der Markt für Phishing-as-a-Service (PhaaS) rasant wandelt. Moderne Plattformen setzen auf künstliche Intelligenz und verschlüsselte Kommunikationskanäle, um selbst etablierte Sicherheitsmechanismen wie die Zwei-Faktor-Authentifizierung (MFA) in Echtzeit auszuhebeln.

Angreifer nutzen immer ausgefeiltere psychologische Tricks, um Sicherheitsbarrieren in Unternehmen zu durchbrechen. Dieses kostenlose Anti-Phishing-Paket zeigt Ihnen in vier Schritten, wie Sie Ihr Team effektiv gegen Manipulation und Cyberkriminalität wappnen. In 4 Schritten zum sicheren Unternehmen: So stoppen Sie Phishing-Angriffe bevor sie entstehen

Kali365: Angriff auf Microsoft 365 per Gerätecode

Eine der neuen Gefahren heißt Kali365. Das PhaaS-Angebot tauchte erstmals im April 2026 auf und wird vor allem über den Messenger Telegram vertrieben. Sein Ziel: Microsoft-365-Umgebungen.

Anders als klassische Phishing-Angriffe, die auf Passwörter abzielen, nutzt Kali365 eine Methode namens Device-Code-Phishing. Der Angriff beginnt mit einer harmlos wirkenden E-Mail, die einen Gerätecode und einen Link zu einer legitimen Microsoft-Anmeldeseite enthält. Gibt der Nutzer den Code dort ein, autorisiert er unwissentlich den Zugriff des Angreifers auf sein Konto. Die Folge: Der Täter umgeht die MFA-Abfrage und erhält dauerhaften Zugriff auf Outlook, Teams und OneDrive.

Die Sicherheitsfirma Arctic Wolf hat Kampagnen identifiziert, die seit Anfang April 2026 aktiv sind. Betroffen sind Unternehmen aus den Bereichen Produktion, Bildung, Gesundheitswesen, Finanzen sowie Regierungsbehörden in Nordamerika und Europa. Der Dienst wird im Abonnement angeboten – ab etwa 230 Euro pro Monat. Kunden erhalten KI-generierte Köder und automatisierte Vorlagen, die die Erfolgsquote ihrer Angriffe massiv steigern.

Chinesischsprachige Plattformen setzen auf Echtzeit-Abfangen

Parallel dazu hat GTIG ein Dutzend aktiver chinesischsprachiger PhaaS-Angebote analysiert. Diese haben sich von der reinen Passworternte auf das Echtzeit-Abfangen von Einmalpasswörtern (OTPs) und Sitzungstoken verlegt. Live-Administrationspanels erlauben es den Angreifern, Sicherheitscodes im Moment ihrer Eingabe zu kapern.

Ein entscheidender Trend: Die Angreifer verlassen sich nicht mehr auf klassische SMS. Stattdessen nutzen sie verschlüsselte Kanäle wie RCS und iMessage, um ihre Köder zu versenden. Damit umgehen sie die Sicherheitsfilter der Mobilfunkanbieter, die verdächtige SMS-Nachrichten normalerweise blockieren.

Die GTIG-Analyse hebt zwei besonders aktive Plattformen hervor:

• Darcula: Diese Plattform setzt auf KI-gestützte Seitengeneratoren, um Webseiten zu klonen und lokalisierte Köder zu erstellen. Herkömmliche Signatur-basierte Erkennungssysteme haben damit kaum eine Chance.
• YY Lai Yu: Seit August 2024 aktiv, unterstützt dieser Dienst Phishing-Operationen in 119 Ländern. Er bietet über 400 lokalisierte Vorlagen an – ein Großteil der aktuellen Aktivitäten zielt auf Japan ab.

Das Hauptziel dieser Dienste: die sofortige Kontoübernahme und die Bereitstellung digitaler Geldbörsen für unbefugte Transaktionen. Das Ökosystem umfasst zudem Hilfsdienste wie den Verkauf persönlicher Daten (PII), Hosting-Lösungen und Geldwäsche.

Da herkömmliche Passwörter und SMS-Codes zunehmend durch Echtzeit-Angriffe ausgehebelt werden, ist der Wechsel auf moderne Standards unumgänglich. Dieser kostenlose Ratgeber erklärt, wie Sie Passkeys einrichten und Ihre Konten durch biometrische Verfahren endgültig vor Phishing schützen. Nie wieder Passwörter merken: Diese neue Methode macht das Einloggen kinderleicht

Schutzmaßnahmen für Unternehmen

Angesichts dieser Entwicklung empfehlen das FBI und Sicherheitsexperten konkrete technische Anpassungen. Für Organisationen, die Microsoft 365 nutzen, rät das FBI, den Device-Code-Flow zu blockieren und bedingte Zugriffsrichtlinien (Conditional Access) zu implementieren, um verdächtige Anmeldeversuche zu überwachen.

Die zentrale Botschaft beider Warnungen: Unternehmen müssen auf phishing-resistente Authentifizierungsmethoden umsteigen. Die Standards FIDO2 und WebAuthn – etwa in Form von Hardware-Sicherheitsschlüsseln – gelten als deutlich weniger anfällig für die Echtzeit-Abfang- und Token-Diebstahl-Techniken, die Kali365 und Darcula einsetzen. Sicherheitsexperten raten zudem zu risikobasierter Verifizierung, um automatisierte Kontoübernahmen frühzeitig zu erkennen.

de | wissenschaft | 69430283 |