Kali365-Phishing: FBI warnt vor Device-Code-Attacken auf Microsoft

Der Schritt fällt zusammen mit einer FBI-Warnung vor einer neuen Phishing-Plattform, die speziell Microsoft-365-Umgebungen angreift.

Ende einer Ära: Warum SMS als Sicherheitsfaktor ausgedient hat

Microsoft hat am Dienstag angekündigt, den SMS-Dienst für die Zwei-Faktor-Authentifizierung (2FA) schrittweise einzustellen. Der Grund: SMS-Codes gelten in der Branche seit langem als Schwachstelle. Sie sind anfällig für SIM-Swapping – eine Methode, bei der Angreifer Mobilfunkanbieter dazu bringen, eine Telefonnummer auf ein neues Gerät zu übertragen. Auch klassische Phishing-Seiten haben sich weiterentwickelt: Sie stehlen Passwort und SMS-Code gleichzeitig, indem sie eine gespiegelte Login-Seite anzeigen und den Code in Echtzeit abfangen.

Angesichts von rund 4,7 Millionen gehackten Online-Konten pro Quartal in Deutschland wird der Umstieg auf sicherere Anmeldeverfahren immer dringlicher. Erfahren Sie in diesem kostenlosen Ratgeber, wie Sie Passkeys bei Diensten wie Microsoft, Amazon und WhatsApp sofort einrichten und Hackern keine Chance mehr lassen. Kostenlosen Passkey-Guide jetzt herunterladen

Die Zukunft gehört den sogenannten Passkeys. Diese nutzen biometrische Daten wie Fingerabdruck oder Gesichtserkennung sowie gerätespezische PINs. Passkeys sind an einzelne Geräte gebunden, lassen sich aber über Ökosysteme von Apple und Microsoft hinweg synchronisieren. Das macht sie sicherer und zugleich nutzerfreundlicher.

FBI warnt vor Kali365: Phishing als Dienstleistung

Die Dringlichkeit des Umstiegs unterstreicht eine aktuelle Warnung des FBI. Die Behörde hat eine Phishing-as-a-Service-Plattform namens Kali365 identifiziert, die über Telegram vermarktet wird. Das Besondere: Kali365 nutzt eine Methode namens „Device-Code-Phishing".

Dabei generiert der Angreifer einen legitimen Gerätecode über Microsofts OAuth-Prozess und schickt eine Phishing-Mail an das Opfer. Die Mail führt zu einer echten Microsoft-Login-Seite, auf der der Code eingegeben werden muss. Da die Seite authentisch ist, werden Nutzer selten misstrauisch. Wer den Code eingibt, autorisiert unwissentlich das Gerät des Angreifers.

Die Folge: OAuth-Tokens werden gestohlen, nicht nur Passwörter. Diese Tokens gewähren dauerhaften Zugriff auf Outlook, Teams und OneDrive – ohne erneute Authentifizierung. Das FBI empfiehlt Unternehmen, den „Device-Code-Flow" in ihren Mandanten zu blockieren. Kali365 ist erschreckend zugänglich: Die Plattform bietet 14 Sprachen und 34 Design-Vorlagen für Cyberkriminelle.

Moderne Phishing-Angriffe wie der Missbrauch von OAuth-Tokens zeigen, wie raffiniert Cyberkriminelle heute psychologische Schwachstellen ausnutzen. Dieser Gratis-Report enthüllt aktuelle Manipulationsmethoden und zeigt Unternehmen in 4 Schritten, wie sie sich effektiv gegen professionelle Hacker-Attacken schützen. Anti-Phishing-Paket für Unternehmen kostenlos sichern

Neue Angriffswelle: Offizielle Microsoft-Adresse missbraucht

Die Lage wird durch eine weitere Entwicklung verschärft. Betrüger nutzen die offizielle Microsoft-Adresse msonlineservicesteam@microsoftonline.com für Phishing-Mails. Diese Adresse wird normalerweise für legitime 2FA-Benachrichtigungen verwendet – für Nutzer ist es kaum möglich, echte von falschen Sicherheitsmeldungen zu unterscheiden. Das Spamhaus-Projekt beobachtet diesen Missbrauch seit Monaten. Microsoft hat bestätigt, dass der Vorfall untersucht wird.

Der Wandel der Bedrohungslage: Schwachstellen statt gestohlener Passwörter

Der Verizon Data Breach Investigations Report 2026 zeigt einen fundamentalen Wandel: Erstmals hat die Ausnutzung von Software-Schwachstellen (31 Prozent der Vorfälle) den Diebstahl von Zugangsdaten (13 Prozent) als häufigste Einstiegsmethode überholt. Ransomware bleibt in fast der Hälfte aller untersuchten Sicherheitsvorfälle ein Faktor.

Besonders alarmierend: Mobile Phishing über SMS oder Anrufe verzeichnet eine um 40 Prozent höhere Klickrate als traditionelles E-Mail-Phishing. Das erklärt, warum die Branche SMS als Sicherheitsschicht so schnell wie möglich aufgeben will.

„Shadow AI": Die unsichtbare Gefahr im Unternehmen

Der Bericht identifiziert einen weiteren Trend: „Shadow AI". Rund 45 Prozent der Mitarbeiter nutzen KI-Tools in ihrem Arbeitsalltag – aber 67 Prozent von ihnen tun dies über private, nicht autorisierte Konten. Das schafft neue blinde Flecken für Unternehmens-Sicherheitsteams.

Ausblick: Hardware-basierte Authentifizierung als neuer Standard

Microsoft treibt den Umstieg auf Passkeys und phishing-resistente FIDO2-Hardware voran. Auch andere Anbieter ziehen nach: Der japanische Telekommunikationsanbieter NTT Docomo bringt am heutigen Mittwoch neue Sicherheitstarife auf den Markt, die KI-basierte Betrugserkennung, Deepfake-Analyse und spezielle Filter für Belästigungsanrufe integrieren.

Sicherheitsexperten empfehlen physische Sicherheitsschlüssel als Goldstandard für besonders schützenswerte Konten. Der Abschied von SMS mag für viele Nutzer unbequem sein – doch angesichts der Kommerzialisierung hochentwickelter Phishing-Werkzeuge gilt er als überfällig. Für Unternehmen steht fest: Der Fokus muss auf der Einschränkung verwundbarer Authentifizierungsabläufe und der Bekämpfung des Missbrauchs offizieller Dienst-Adressen liegen.

de | wissenschaft | 69423269 |