Kali365: Phishing-Dienst umgeht Microsoft-MFA in 42 Sekunden
18.06.2026 - 08:06:50 | boerse-global.de
Internationale Sicherheitsbehörden, darunter das FBI und das australische ASD, haben heute eine dringende Warnung vor der Phishing-as-a-Service-Plattform Kali365 herausgegeben. Das Tool ermöglicht Angreifern, die mehrstufige Authentifizierung (MFA) von Microsoft-365-Umgebungen zu umgehen und dauerhaften Zugriff auf Unternehmenskonten zu erlangen.
Da herkömmliche Passwörter und einfache MFA-Methoden gegen moderne Angriffe wie Kali365 oft machtlos sind, ist der Wechsel auf sicherere Alternativen entscheidend. Dieser kostenlose Report zeigt Ihnen, wie Sie mit Passkeys Phishing und Datenklau komplett verhindern können. Was hinter der neuen Passkey-Technologie steckt
Wie der Angriff in 42 Sekunden gelingt
Kali365 – auch unter den Namen Octopi365 und Freedom365 bekannt – nutzt eine Methode namens Device-Code-Phishing. Der Angriff beginnt mit einer legitimen Geräte-Code-Anfrage. Das Opfer wird aufgefordert, einen Code auf der offiziellen Microsoft-Autorisierungsseite einzugeben.
Der entscheidende Trick: Weil das Opfer die Authentifizierung – inklusive MFA – auf einer echten Microsoft-Domain durchführt, werden sämtliche Sicherheitsmechanismen umgangen. Sobald der Code eingegeben ist, erhält der Angreifer die OAuth-Tokens. Sicherheitsanalysten von Huntress beobachteten, dass der gesamte Prozess vom Opferkontakt bis zur vollständigen Kompromittierung des Kontos in nur 42 Sekunden abgeschlossen sein kann.
KI als Brandbeschleuniger für Betrug
Die Plattform wird als Abo-Dienst auf Telegram für umgerechnet rund 230 Euro pro Monat vertrieben. Sie bietet Angreifern 33 verschiedene Vorlagen und 100 API-Schnittstellen – das senkt die Einstiegshürde für Cyberkriminelle drastisch.
Die entscheidende Neuerung: Kali365 integriert künstliche Intelligenz. Die KI analysiert den Inhalt kompromittierter Postfächer, bewertet das Potenzial für Finanzbetrug und generiert kontextbezogene Antworten für Business-E-Mail-Compromise-Angriffe (BEC). Diese KI-generierten Köder sind von echten Geschäftskommunikationen kaum zu unterscheiden – herkömmliche E-Mail-Filter erkennen sie nicht.
Professionelle Cyberangriffe nutzen gezielt psychologische Tricks und automatisierte Abläufe, um selbst erfahrene Mitarbeiter zu täuschen. Mit diesem kostenlosen Anti-Phishing-Paket erfahren Sie in 4 Schritten, wie Sie Ihr Unternehmen wirksam gegen Phishing und CEO-Fraud absichern. Anti-Phishing-Paket jetzt kostenlos herunterladen
Besonders tückisch: Weil die Angreifer OAuth-Refresh-Tokens statt herkömmlicher Passwörter stehlen, reicht ein einfaches Zurücksetzen des Passworts nicht aus, um den unbefugten Zugriff zu beenden.
Alarmierende Entwicklung und Schutzmaßnahmen
Das australische ASD berichtete am heutigen Donnerstag, dass Device-Code-Phishing zwar seit Jahren bekannt ist, aber die automatisierten Kits wie Kali365 und „EvilTokens" zu einer regelrechten Angriffswelle geführt haben. Aktuelle Branchendaten zeigen, dass die Zugangsdaten von Mitarbeitern bei 86 Prozent der Fortune-100-Unternehmen bereits kompromittiert wurden.
Eine Simulation des Barracuda Red Teams Anfang der Woche demonstrierte, dass eine vollständige Angriffskette – inklusive MFA-Umgehung und dauerhafter Installation über Windows-Verwaltungstools – in nur fünf Minuten abgeschlossen sein kann.
Das FBI und die US-Cybersicherheitsbehörde CISA empfehlen Unternehmen dringend, Conditional-Access-Richtlinien zu implementieren, die den Device-Code-Flow blockieren, wenn er nicht zwingend für Geschäftsprozesse benötigt wird. Cybersicherheitsexperten raten zudem zu phising-resistenten MFA-Methoden wie der FIDO2-Authentifizierung sowie zu einer strengen Überwachung von Sitzungen, um ungewöhnliche Token-Nutzungen oder nicht autorisierte Geräteautorisierungen zu erkennen.
