Kali365: Phishing-Dienst umgeht Microsoft-365-MFA komplett
29.06.2026 - 20:38:34 | boerse-global.de
Das FBI schlägt Alarm.
Seit April ist der Phishing-as-a-Service-Dienst aktiv. Angreifer müssen kein Passwort mehr stehlen. Stattdessen nutzen sie eine Methode, die herkömmliche Sicherheitsvorkehrungen aushebelt.
Technischer Ablauf und MFA-Umgehung
Kali365 setzt auf den Device-Code-Login-Flow von Microsoft. Dieses Verfahren generiert einen Authentifizierungstoken für Geräte ohne Tastatur. Die Angreifer locken ihre Opfer auf eine präparierte Seite – dort geben die Nutzer den Code ein.
Die Plattform stiehlt das resultierende OAuth-Token. Damit haben die Angreifer vollen Zugriff auf das Microsoft-Konto. Outlook, Teams und OneDrive liegen offen.
Das Tückische: Die Authentifizierung läuft über den legitimen Microsoft-Prozess. Das System geht davon aus, dass der rechtmäßige Nutzer den Zugriff autorisiert hat. MFA greift nicht.
Neben dem FBI warnt auch die US-Sicherheitsbehörde CISA vor der Bedrohung. Im Visier der Ermittler stehen die Gruppierungen UNC5792 und UNC4221.
Microsoft reagiert mit neuen Sicherheitsrichtlinien
Die Phishing-Plattform Kali365 umgeht Microsoft-365-MFA komplett – und das FBI schlägt Alarm. Mit unserer Checkliste härten Sie Ihre Authentifizierung in 5 konkreten Schritten. Kostenlose Sicherheits-Checkliste anfordern
Am 26. Juni veröffentlichte Microsoft aktualisierte Sicherheitsrichtlinien. Sie setzen verstärkt auf OAuth 2.1 und Proof Key for Code Exchange (PKCE). Diese Maßnahmen sollen den Missbrauch von Autorisierungscodes erschweren.
Die Dringlichkeit ist enorm: Die Verluste durch Business Email Compromise (BEC) beliefen sich 2025 auf rund 2,8 Milliarden Euro. Deepfake-Betrugsfälle stiegen 2024 um 1.300 Prozent.
Auch regional zeigen sich massive Auswirkungen. Auf den Philippinen registrierten die Behörden im ersten Quartal 2026 rund 7.900 Phishing-Vorfälle – etwa 10 Millionen Zugangsdaten wurden kompromittiert.
Zusätzliche Belastungen für Administratoren
IT-Verantwortliche kämpfen derzeit mit weiteren Problemen im Microsoft-Ökosystem. Seit dem 22. Juni melden Nutzer von Outlook für Mac (Version 16.110), dass beim Beantworten von E-Mails der ursprüngliche Nachrichtenverlauf verloren geht. Microsoft hat noch keinen Patch bereitgestellt. Betroffenen wird ein Downgrade empfohlen.
Ihre MFA schützt nicht vor Kali365? Die kostenlose Checkliste zeigt, wie Sie den Device-Code-Login blockieren, OAuth-Token sichern und Ihre Mitarbeiter sensibilisieren. Checkliste per E-Mail sichern
Auch andere Plattformen sind betroffen. In einem populären WordPress-Plugin der Firma WPFactory wurde kürzlich eine Hintertür entdeckt. Die Schwachstelle betraf potenziell über 170.000 Installationen. Mehr als 80 Plugins wurden vorübergehend aus dem offiziellen Verzeichnis entfernt.
Die Sicherheitsbehörden raten Unternehmen dringend, ihre Authentifizierungsprozesse zu überprüfen und Mitarbeiter über die Risiken des Device-Code-Logins aufzuklären. In Großbritannien schreiben die Cyber-Essentials-Plus-Richtlinien für 2026 bereits strikte MFA-Vorgaben und spezifische Passwortlängen vor.
