Kali365: Phishing-Kit umgeht MFA und sperrt Millionen Konten
21.06.2026 - 23:28:28 | boerse-global.de
Die Software umgeht die Multifaktor-Authentifizierung (MFA) und verschafft Angreifern Zugriff auf sensible Unternehmensdaten in Outlook, Teams und OneDrive.
So funktioniert die neue Angriffsmethode
Seit April 2026 wird Kali365 als Phishing-as-a-Service-Modell über verschlüsselte Messenger wie Telegram vertrieben. Die Kosten: rund 250 Euro pro Monat oder 2.000 Euro für ein Jahresabonnement.
Anzeige: Das Kali365-Phishing-Kit umgeht MFA und bedroht tausende Unternehmen – allein im DACH-Raum stiegen Cybervorfälle um 124 Prozent. Dieser kostenlose Report zeigt Ihnen, wie Sie mit FIDO2 und Conditional Access Ihre Identitätssysteme härten. Sicherheits-Report jetzt anfordern
Im Gegensatz zu klassischen Phishing-Methoden setzt Kali365 auf Device-Code-Phishing. Opfer erhalten eine E-Mail mit einem vermeintlichen Gerätecode, den sie auf einer offiziellen Microsoft-Seite eingeben sollen. Autorisiert der Nutzer den Code, generiert das System einen OAuth-Token. Dieser erlaubt es Angreifern, das Gerät des Opfers zu imitieren – ohne Passwort oder weitere MFA-Bestätigung.
Hunderte solcher Attacken wurden bereits in Nordamerika und Europa dokumentiert.
Angriffswelle auf OAuth-Schnittstellen
Die Warnung kommt zu einem Zeitpunkt erhöhter Aktivitäten gegen OAuth-Integrationen. Mitte Juni 2026 traf es das Unternehmen Klue: Die Erpressergruppe Icarus entwendete über kompromittierte Legacy-Zugangsdaten OAuth-Tokens für Salesforce-Integrationen. Betroffen waren namhafte Kunden wie Recorded Future, Tanium und Jamf.
Parallel dazu identifizierten Sicherheitsforscher zwischen dem 8. und 18. Juni eine Kampagne der Gruppe UNC6395 (ebenfalls Icarus). Sie nutzte Tokens der Salesloft-Drift-Integration aus. In über 700 Organisationen wurden Support-Texte, Kontaktdaten und teilweise Klartext-Zugangsdaten extrahiert. Die betroffene App wurde am 20. Juni aus dem Salesforce AppExchange entfernt.
Microsoft reagiert mit Sicherheitsupdates
Als Reaktion auf die Bedrohungslage hat Microsoft im Juni umfangreiche Sicherheitsupdates veröffentlicht. Geschlossen wurde unter anderem die Schwachstelle „SearchLeak“ (CVE-2026-42824) im Microsoft 365 Copilot Enterprise. Sie ermöglichte durch Parameter-Manipulation den Abfluss von Informationen.
Am 15. Juni folgten Sicherheitsupdates für die Microsoft 365 Apps unter Android. Sie beheben fünf kritische Schwachstellen für Remotecodeausführung (darunter CVE-2026-45461 und CVE-2026-45472) sowie eine Lücke zur Offenlegung von Informationen in Word, Excel und PowerPoint.
Unternehmen im Visier – Schäden in Milliardenhöhe
Anzeige: Über 80 Prozent aller Phishing-Mails sind KI-generiert – und Kali365 umgeht selbst Ihre MFA. Bevor Ihr Unternehmen das nächste Opfer wird, sichern Sie sich diesen Leitfaden mit konkreten Schritten zur Abwehr von Device-Code-Phishing. Kostenlosen Leitfaden jetzt sichern
Die aktuelle Bedrohungslage zeigt sich auch in nationalen Statistiken. Der BKA-Cybercrime-Lagebericht für 2025 verzeichnete 333.922 registrierte Fälle. Der wirtschaftliche Gesamtschaden: rund 202,4 Milliarden Euro.
Besonders betroffen sind kleine und mittlere Unternehmen (KMU). Sie machen rund 90 Prozent der Opfer von Ransomware-Angriffen aus. Im DACH-Raum stiegen die Cybervorfälle 2025 um 124 Prozent.
Sicherheitsexperten und Behörden wie FBI und NCSC raten dringend zu moderneren Authentifizierungsstandards wie FIDO2 oder Passkeys. Administratoren sollten den Conditional Access verschärfen und unaufgeforderte Aufforderungen zur Eingabe von Gerätecodes kritisch prüfen. Über 80 Prozent aller Phishing-Mails sind mittlerweile KI-generiert – die technologische Absicherung der Identitätsprüfung wird damit zur Überlebensfrage.
