Kali365: Phishing-Plattform umgeht Microsoft-365-MFA vollständig

Sie umgeht die Multi-Faktor-Authentifizierung (MFA) von Microsoft 365 und verschafft Angreifern direkten Zugriff auf Unternehmenskonten. Weltweit sind bereits hunderte Organisationen betroffen, ein Schwerpunkt liegt in Nordamerika und Europa.

So funktioniert der Angriff

Kali365 missbraucht den OAuth 2.0-Geräteautorisierungsfluss. Dieses Verfahren wurde eigentlich für Geräte ohne komfortable Eingabemöglichkeit entwickelt – etwa Smart-TVs oder IoT-Geräte.

Der Fall Kali365 zeigt, wie rasant sich Cyber-Bedrohungen entwickeln und selbst etablierte Sicherheitsmechanismen wie MFA umgangen werden. In diesem kostenlosen E-Book erfahren Sie, welche neuen Bedrohungen 2024 auf Ihr Unternehmen zukommen und wie Sie sich proaktiv schützen. Gratis-E-Book: Aktuelle Cyber Security Trends entdecken

Der Angriff beginnt mit einer täuschend echten E-Mail, die einen speziellen Gerätecode enthält. Die Opfer werden aufgefordert, diesen Code auf einer legitimen Microsoft-Seite einzugeben. Bestätigt der Nutzer den Code, autorisiert er unwissentlich ein Gerät des Angreifers. Das System generiert ein OAuth-Token, das dem Kriminellen dauerhaften Zugriff gewährt – ohne dass jemals ein Passwort gestohlen oder ein MFA-Code abgefangen wurde.

Sicherheitsforscher von Arctic Wolf beobachten die Kampagne seit April 2026. Die Angreifer erhalten vollen Zugriff auf Outlook, Teams und OneDrive. Da das Token eine bestehende Sitzung legitimiert, wird die Zwei-Faktor-Authentifizierung einfach übersprungen.

Ein Abo-Modell für Kriminelle

Kali365 wird über verschlüsselte Messenger wie Telegram vertrieben. Das Abonnement-Modell senkt die Einstiegshürde für weniger technisch versierte Angreifer erheblich. Die Kosten liegen zwischen rund 230 Euro für 30 Tage und bis zu 2.000 Euro für ein Jahresabo.

Die Plattform bietet Unterstützung für 14 Sprachen und 34 verschiedene Designvorlagen für Phishing-Mails. Besonders besorgniserregend: Kali365 nutzt Künstliche Intelligenz, um personalisierte Köder-Inhalte zu generieren. Echtzeit-Dashboards erlauben es den Nutzern, den Erfolg ihrer Kampagnen zu überwachen und erbeutete Zugriffstoken zu verwalten.

Neben dem Device-Code-Verfahren setzen die Angreifer auch auf manipulierte Browser-Cookies. Bei sogenannten Adversary-in-the-Middle-Angriffen fungiert die Plattform als Relais zwischen Nutzer und echtem Dienst, um Sitzungsdaten in Echtzeit abzugreifen.

Wer ist betroffen?

Die Angreifer zeigen keine Branchenpräferenz. Betroffen sind Unternehmen aus der Fertigung, Bildungseinrichtungen, das Gesundheitswesen, Finanzinstitute und Behörden. Innerhalb der Organisationen konzentrieren sich die Kriminellen oft auf Profile aus Buchhaltung oder Gehaltsabrechnung.

Ziel ist der sogenannte Business Email Compromise (BEC): Durch den Zugriff auf die Kommunikation werden Zahlungsströme umgeleitet oder sensible Daten entwendet. Microsoft beobachtet täglich hunderte kompromittierte Konten, die auf ähnliche Methoden zurückgehen.

Die Marktstellung von Microsoft 365 macht die Suite zum attraktiven Ziel: Weltweit gibt es rund 450 Millionen bezahlte Lizenzen, 75 Prozent der Fortune-500-Unternehmen nutzen die Plattform. Bereits im Februar 2026 traf eine ähnliche Kampagne namens „Evil Tokens“ mehr als 340 Organisationen.

Microsoft kämpft an mehreren Fronten

Parallel zu Kali365 missbrauchen Kriminelle eine offizielle Microsoft-E-Mail-Adresse. Seit Monaten wird msonlineservicesteam@microsoftonline.com für groß angelegte Phishing-Wellen genutzt. Die Adresse dient normalerweise für legitime Sicherheitsbenachrichtigungen. Kriminelle manipulieren jedoch offizielle Microsoft-Konten, um Nachrichten über diesen Kanal zu versenden.

Da Angreifer gezielt psychologische Tricks und täuschend echte Vorlagen nutzen, um Mitarbeiter zu manipulieren, ist eine gezielte Aufklärung unerlässlich. Dieser kostenlose Leitfaden zeigt in 4 Schritten, wie Sie Phishing-Angriffe stoppen und Ihr Unternehmen wirksam absichern. Kostenloses Anti-Phishing-Paket jetzt herunterladen

Microsoft bestätigte laufende Untersuchungen und ergriff Maßnahmen zur Löschung missbräuchlich genutzter Konten. Das Unternehmen plant zudem, SMS-basierte Codes für die Authentifizierung schrittweise abzuschaffen.

Die Bedrohungslage eskaliert weiter: Am 25. Mai 2026 wurde ein KI-generierter Zero-Day-Exploit bekannt, der auf einem semantischen Logikfehler in einem Server-Management-Tool basiert. Die Gruppe „Storm-2949“ konnte zudem durch Social Engineering und MFA-Prompt-Spam innerhalb von vier Minuten Daten aus einem Azure Key Vault entwenden.

Was Unternehmen jetzt tun sollten

Das FBI empfiehlt IT-Administratoren konkrete Maßnahmen. Die wichtigste: Den Device-Code-Authentifizierungsfluss für alle Nutzer blockieren, die ihn nicht zwingend benötigen. Das lässt sich über Conditional Access Policies steuern.

Weitere Empfehlungen:
- Gerätecodes in den Systemprotokollen regelmäßig auditieren
- Mitarbeiter darauf hinweisen, niemals unaufgeforderte Codes auf Microsoft-Seiten einzugeben
- Die Browser-Adressleiste genau prüfen, bevor eine Autorisierung erfolgt
- Vorfälle umgehend an das Internet Crime Complaint Center (IC3) melden

Die klassische Multi-Faktor-Authentifizierung ist kein Garant mehr für Kontensicherheit. Angreifer zielen zunehmend auf die Identitätsebene und den Token-basierten Zugriff. Unternehmen müssen ihre Strategien anpassen: Der Fokus verschiebt sich von der bloßen Abfrage von Zugangsdaten hin zur Überwachung von Verhaltensmustern und der Absicherung des gesamten Autorisierungsprozesses. Die Professionalität von Plattformen wie Kali365 deutet darauf hin, dass die Intensität dieser Angriffe weiter zunehmen wird.

de | wissenschaft | 69423950 |