Kali365: Phishing-Plattform umgeht Microsoft-365-MFA in 42 Sekunden
18.06.2026 - 04:07:06 | boerse-global.de
Eine hochentwickelte Phishing-Plattform namens Kali365 umgeht den mehrstufigen Authentifizierungsschutz von Microsoft-365-Konten. Das FBI hat in einer aktuellen Warnung vor der Bedrohung gewarnt, die sich gegen Unternehmen und ihre Cloud-Umgebungen richtet. Die Plattform nutzt legitime Authentifizierungsprotokolle aus – und macht damit herkömmliche Sicherheitsmaßnahmen wirkungslos.
Hacker nutzen immer raffiniertere Methoden, um trotz Sicherheitsvorkehrungen in Unternehmensnetzwerke einzudringen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und neuen Cyberbedrohungen Unternehmer jetzt kennen müssen. Gratis-E-Book: Cyber-Security-Trends jetzt lesen
Wie Kali365 die MFA-Hürde überwindet
Kali365 – auch bekannt unter den Namen Octopi365 und Freedom365 – wird über Telegram als Abo-Service für umgerechnet rund 230 Euro pro Monat vermarktet. Sicherheitsforscher von Huntress entdeckten die Plattform im Mai 2026, nachdem erste Aktivitäten bereits im April registriert worden waren.
Der entscheidende Trick: Anders als klassische Phishing-Angriffe, die auf Passwortdiebstahl setzen, nutzt Kali365 den sogenannten Microsoft Device Code Flow. Dabei initiiert der Angreifer eine Login-Anfrage, die einen spezifischen Code von Microsoft generiert. Das Opfer erhält dann eine Phishing-Mail, die es auffordert, diesen Code auf einer legitimen Microsoft-Authentifizierungsseite einzugeben. Weil das Opfer mit der offiziellen Microsoft-Domain interagiert, werden die üblichen MFA-Schutzmechanismen umgangen – der Nutzer autorisiert praktisch selbst das Gerät des Angreifers.
Die Geschwindigkeit dieser Angriffe ist bemerkenswert: Forscher beobachteten, dass Angreifer bereits 42 Sekunden nach Eingabe des Codes durch das Opfer ein funktionierendes Token erbeuten können.
Künstliche Intelligenz als Werkzeug der Täuschung
Die Kali365-Plattform ist mit rund 33 Vorlagen und 100 API-Schnittstellen ausgestattet. Besonders perfide: Sie integriert künstliche Intelligenz, darunter Anthropics Claude, um die Betrugsversuche noch überzeugender zu machen. Die KI durchsucht die E-Mail-Verläufe des Opfers, bewertet das Potenzial für Finanzbetrug und generiert dann kontextuell passende Antworten – etwa gefälschte Zahlungsanweisungen oder aktualisierte Bankverbindungen – um die Kontakte des Opfers zu täuschen.
Wenn selbst erfahrene Mitarbeiter auf derart personalisierte Angriffe hereinfallen, helfen oft nur psychologische Gegenstrategien. Experten erklären in diesem kostenlosen Leitfaden, wie Unternehmen sich mit gezielter Awareness effektiv gegen moderne Hacker-Abwehr schützen. Kostenloses Anti-Phishing-Paket herunterladen
Ein Hauptproblem für Sicherheitsexperten ist die Hartnäckigkeit dieser Angriffe. Durch das Erbeuten von OAuth-Zugriffs- und Aktualisierungstokens können Angreifer dauerhaft auf Outlook, Teams und OneDrive zugreifen. Diese Aktualisierungstokens überleben sogar eine Passwortzurücksetzung – der unbefugte Zugriff bleibt bestehen, selbst wenn herkömmliche Sicherheitsmaßnahmen aktualisiert werden.
Schutzmaßnahmen und Branchenauswirkungen
Die Bedrohung durch Device-Code-Phishing ist Teil eines größeren Trends hochentwickelter identitätsbasierter Angriffe. Das australische Signals Directorate (ASD) und andere internationale Behörden verzeichnen seit 2020 einen Anstieg solcher Techniken. Tools wie EvilTokens gelten als Vorläufer der aktuellen PhaaS-Welle. Bereits im März 2026 waren über 340 Organisationen von ähnlichen Kampagnen betroffen.
Zur Risikominimierung empfiehlt das FBI Unternehmen, Conditional-Access-Richtlinien zu implementieren, die den Device Code Flow gezielt blockieren oder einschränken. Sicherheitsexperten raten zudem zur Überprüfung bestehender Authentifizierungsübertragungen und zum Einsatz von Zulassungslisten, um sicherzustellen, dass nur autorisierte Geräte bestimmte Login-Protokolle nutzen können. Microsoft selbst hat kürzlich mit dem Patch CVE-2026-42824 verwandte Sicherheitslücken geschlossen, um die Cloud-Sicherheit zu stärken.
