Kali365: Phishing-Plattform hebelt Microsoft-365-Sicherheit aus
18.06.2026 - 14:34:35 | boerse-global.de
Eine hochentwickelte Phishing-as-a-Service-Plattform namens Kali365 umgeht selbst mehrstufige Authentifizierung und bedroht Unternehmen weltweit.
Die US-Bundespolizei FBI und Cybersicherheitsforscher schlagen Alarm: Die Plattform Kali365 – auch unter den Namen Octopi365 und Freedom365 bekannt – zielt gezielt auf Microsoft-365-Umgebungen ab. Das Besondere: Herkömmliche Sicherheitsmaßnahmen wie die Zwei-Faktor-Authentifizierung (MFA) werden systematisch ausgehebelt.
Wie Kali365 funktioniert
Anzeige: Wer seine Microsoft-365-Umgebung vor Kali365 und ähnlichen Phishing-Plattformen schützen will, findet in diesem Report die wichtigsten Härtungsmaßnahmen – von FIDO2-Passkeys bis zur Einschränkung von Device-Code-Flows. Jetzt kostenlosen Sicherheits-Report anfordern
Erstmals im April 2026 von Sicherheitsexperten entdeckt, nutzt die Plattform eine Methode namens Device-Code-Phishing. Statt wie bei klassischen Angriffen Passwörter zu stehlen, trickst sie Nutzer aus, ein Angreifer-Gerät über eine legitime Microsoft-Anmeldeseite zu autorisieren.
Der Angriff läuft in vier Schritten ab: Locken, Autorisieren, Token-Diebstahl und dauerhafter Zugriff. Das Opfer gibt einen Code auf einer echten Microsoft-Seite ein – der Angreifer erhält daraufhin ein OAuth-Token und übernimmt die Sitzung, nachdem der Nutzer selbst seine MFA erfolgreich abgeschlossen hat. Einmal drin, haben die Kriminellen Zugriff auf Outlook, Teams und OneDrive – ganz ohne Passwort.
Die Plattform wird über Abonnement-Modelle auf Plattformen wie Telegram vertrieben. Die Kosten: rund 250 Euro pro Monat oder 2.000 Euro jährlich. Über 30 Vorlagen und 100 API-Schnittstellen stehen den Angreifern zur Verfügung. Besonders perfide: Künstliche Intelligenz – konkret Anthropics Claude – wird eingesetzt, um gestohlene E-Mails zu lesen und täuschend echte Antworten zu generieren.
Microsoft verschärft Passwort-Regeln
Als Reaktion auf die wachsende Bedrohungslage zieht Microsoft die Zügel an. Ab dem 6. September 2026 reichen unsichere Verzeichnisattribute wie unbestätigte Telefonnummern oder E-Mail-Adressen nicht mehr für Passwortänderungen aus. Stattdessen müssen Nutzer eine offiziell registrierte Authentifizierungsmethode verwenden.
Eine Registrierungskampagne startet bereits am 6. Juli 2026. Zwar nutzen laut Branchendaten rund 86 Prozent der Nutzer bereits registrierte Methoden, doch der Rest muss umsteigen, um seine Reset-Funktionen zu behalten. Microsoft empfiehlt die Authenticator-App statt SMS-basierter Codes – wegen der höheren Sicherheitsstandards.
Sicherheitslücken in Unternehmen
Aktuelle Studien offenbaren alarmierende Schwachstellen in der Verwaltung von Microsoft-365-Mandanten. Laut Forschungen von Huntress fehlen in über 60 Prozent der analysierten Mandanten mindestens die Hälfte der empfohlenen Sicherheitskontrollen. 55 Prozent der Organisationen erlauben Standardnutzern administrative Funktionen.
Die Folge: Die durchschnittliche Zeit vom ersten Eindringen bis zur Seitwärtsbewegung im Netzwerk beträgt gerade einmal 48 Minuten. Auch beim Ausscheiden von Mitarbeitern klaffen Sicherheitslücken: Über 30 Prozent der Unternehmen benötigen mehr als drei Tage, um den Zugriff ehemaliger Angestellter vollständig zu entziehen. Selbst nach der Kontodeaktivierung können verbliebene OAuth-Token, API-Schlüssel und zwischengespeicherte Sitzungen den Zugriff auf Unternehmensdaten ermöglichen.
Anzeige: Über 60% der Mandanten haben kritische Sicherheitslücken – und Angreifer brauchen nur 48 Minuten, um sich seitwärts zu bewegen. Dieser Report zeigt, wie Sie Token-Diebstahl verhindern und OAuth-Zugriffe kontrollieren. Sofortmaßnahmen gegen Token-Diebstahl sichern
Der Weg zur phishing-resistenten Authentifizierung
Da herkömmliche MFA zunehmend gegen Plattformen wie Kali365 versagt, fordern Sicherheitsexperten den Umstieg auf phishing-resistente Authentifizierung. Dazu gehören FIDO2-Passkeys, zertifikatsbasierte Authentifizierung (CBA) und Windows Hello.
Mitte Juni veröffentlichte Implementierungsleitfäden empfehlen kleinen und mittleren Unternehmen eine schrittweise Einführung von FIDO2-Passkeys – beginnend mit IT-Administratoren und der Führungsebene. Sicherheitsexperten raten zudem, Device-Code-Flows wo möglich einzuschränken und eine kontinuierliche Überwachung auf Token-Missbrauch und Sitzungsanomalien zu implementieren.
