Kali365: Neue PhaaS-Plattform umgeht Microsoft-365-Sicherheit

Das FBI hat eine dringende Warnung vor einer als Kali365 bekannten Phishing-as-a-Service (PhaaS)-Plattform herausgegeben. Der Dienst, der seit April 2026 aktiv ist, zielt gezielt auf Outlook, Teams und OneDrive ab – und macht konventionelle Sicherheitsmaßnahmen nahezu wirkungslos.

CEO-Fraud und moderne Phishing-Methoden zielen oft auf die psychologischen Schwachstellen der Mitarbeiter ab, um selbst MFA-Hürden zu umgehen. Dieser kostenlose Report enthüllt, welche Taktiken Hacker aktuell in deutschen Unternehmen einsetzen und wie Sie sich effektiv schützen. Anti-Phishing-Paket für Unternehmen jetzt kostenlos herunterladen

So funktioniert die perfide Angriffsmethode

Anders als beim klassischen Passwortdiebstahl setzt Kali365 auf eine Technik namens Device-Code-Flow-Phishing. Die Angreifer nutzen ein eigentlich harmloses Protokoll aus, das für Geräte mit eingeschränkter Eingabe – etwa Smart-TVs oder IoT-Hardware – entwickelt wurde.

Der Ablauf ist tückisch: Die Opfer erhalten eine täuschend echte Phishing-Mail, oft als Benachrichtigung von Diensten wie Adobe, DocuSign oder SharePoint getarnt. Künstliche Intelligenz sorgt für grammatikalisch einwandfreie und kontextrelevante Texte, die selbst moderne Filter kaum erkennen.

In der Mail findet sich ein spezifischer Gerätecode sowie ein Link zu einer echten Microsoft-Autorisierungsseite. Gibt der Nutzer dort den Code ein, autorisiert er unwissentlich das Gerät des Angreifers. Die Folge: Ein OAuth-Token wird generiert – ein digitaler Schlüssel, der dem Angreifer dauerhaften Zugriff gewährt.

Das Tückische: Weil die Autorisierung auf einer legitimen Microsoft-Domain stattfindet, wird die Multi-Faktor-Authentifizierung (MFA) entweder umgangen oder vom Opfer selbst während des Anmeldevorgangs bestätigt. Selbst ein Passwortwechsel hilft nicht – der gestohlene Token bleibt gültig, solange Administratoren nicht aktiv alle Sitzungen zurücksetzen.

Phishing als Abo-Modell

Kali365 wird als Abonnement-Dienst über verschlüsselte Telegram-Kanäle vertrieben. Die Preise: rund 250 Euro für eine 30-Tage-Lizenz, etwa 2.000 Euro für ein Jahresabo. Für dieses Geld erhalten selbst technisch unerfahrene Kriminelle ein professionelles Werkzeugpaket mit automatisierten Kampagnenvorlagen, KI-gestützter Textgenerierung und Echtzeit-Dashboards.

Die Erfolgsquote ist alarmierend: Bereits im April 2026 wurden Hunderte Organisationen in Nordamerika und Europa als Opfer bestätigt. Betroffen sind Unternehmen aus Fertigung, Finanzen, Gesundheitswesen, öffentlicher Verwaltung und Hochschulen.

Besonders im Visier: Mitarbeiter der Buchhaltung und Personalabteilungen. Mit Zugriff auf diese Konten können Angreifer Finanztransaktionen überwachen, Rechnungen manipulieren oder Gehaltszahlungen umleiten. Die gestohlenen Tokens ermöglichen zudem den Zugriff auf Drittanbieter-Apps wie Salesforce.

Angesichts der zunehmenden Professionalisierung von Cyberkriminellen müssen insbesondere kleine und mittelständische Unternehmen ihre Abwehrstrategien überdenken. Das Gratis-E-Book zeigt, wie Sie Sicherheitslücken proaktiv schließen und Ihre IT-Infrastruktur ohne massives Budget gegen aktuelle Bedrohungen absichern. Kostenlosen Cyber-Security-Leitfaden für Unternehmen sichern

Was Unternehmen jetzt tun müssen

Die Sicherheitsexperten sind sich einig: Der wirksamste Schutz ist die Implementierung von Conditional Access Policies. Damit können IT-Administratoren den Device-Code-Flow in ihrer Umgebung einschränken oder komplett blockieren.

Weitere Maßnahmen:
- Authentifizierungsübertragungen blockieren
- Sitzungsdauer begrenzen
- Bei Verdacht: Alle OAuth-Tokens manuell widerrufen und alle Sitzungen beenden

Das FBI bittet betroffene Organisationen um Meldung beim Internet Crime Complaint Center (IC3) – mit technischen Details wie E-Mail-Headern, Login-Logs und Listen nicht autorisierter Geräte.

Der Wandel der Bedrohungslage

Kali365 steht für einen grundlegenden Wandel in der Cybersicherheit: Vom Passwortdiebstahl zum Session-Hijacking. Der 2026er Verizon Data Breach Investigations Report zeigt, dass traditioneller Credential-Diebstahl nur noch für 13 Prozent der erfolgreichen Angriffe verantwortlich ist. Die Ausnutzung von Systemschwachstellen ist auf 31 Prozent gestiegen.

Auch andere Akteure setzen auf ähnliche Methoden. Die Hackergruppe Mutant Spider etwa nutzt „Vishing" – sprachgestütztes Phishing über Microsoft Teams – um Nutzer zur Preisgabe ihrer MFA-Daten zu bewegen.

Für Unternehmen bedeutet das: Software-basierte MFA allein reicht nicht mehr. Die Zukunft gehört phishing-resistenten Hardware-Sicherheitsschlüsseln und einer Zero-Trust-Architektur, bei der jede Authentifizierung anhand von Gerätezustand, Standort und Netzwerkursprung geprüft wird.

Microsoft arbeitet eigenen Angaben zufolge an zusätzlichen Schutzmechanismen für OAuth und Device-Code-Flow. Doch die unmittelbare Verantwortung liegt bei den IT-Abteilungen. Der Kampf um die Sicherheit des digitalen Arbeitsplatzes wird zunehmend nicht am Firewall, sondern am Punkt der Authentifizierung entschieden.

de | wissenschaft | 69428343 |