Kali365-Warnung: FBI deckt Phishing-Abo für Microsoft-Konten auf

Kriminelle nutzen zunehmend künstliche Intelligenz für professionelle Angriffskampagnen – und etablierte Schutzmechanismen versagen.

Kali365: Phishing als Abo-Modell

Das FBI warnte bereits am 21. Mai vor der Plattform Kali365. Das Angebot ist ein Paradebeispiel für „Phishing-as-a-Service“ (PhaaS) – Kriminelle ohne tiefgehende Technikkenntnisse können hier komplexe Attacken buchen.

Angesichts der rasanten Zunahme von Identitätsdiebstahl durch Phishing-Attacken wird der Schutz Ihrer Online-Konten immer wichtiger. Dieser kostenlose Report zeigt Ihnen, wie Sie mit der neuen Passkey-Technologie Ihre Accounts bei Amazon, WhatsApp und Co. endlich hackersicher machen. Kostenlosen Passkey-Ratgeber jetzt herunterladen

Der Dienst spezialisiert sich auf den Diebstahl von Microsoft 365-Zugangsdaten. Die Methode: Device-Code-Phishing. Opfer geben einen scheinbar legitimen Code auf einer offiziellen Microsoft-Seite ein. Im Hintergrund kapern die Angreifer das Session-Token und erhalten Vollzugriff auf Outlook, OneDrive und Teams.

Die Preise sind gestaffelt: 250 US-Dollar für 30 Tage, 2.000 US-Dollar für ein Jahr. Besonders perfide: KI-Module generieren dynamisch Ködertexte und Phishing-Seiten, die herkömmliche Filter kaum noch erkennen.

Herkömmliche Multi-Faktor-Authentifizierung (MFA) schützt dagegen nicht mehr. Die Angreifer übernehmen nicht das Passwort, sondern die bereits autorisierte Sitzung.

Zero-Day-Exploit aus der KI-Werkstatt

Doch die Bedrohung geht weiter. Die Google Threat Intelligence Group (GTIG) dokumentierte am 25. Mai den ersten aktiv genutzten, vollständig KI-entwickelten Zero-Day-Exploit. Er richtet sich gegen eine Logikschwachstelle in einem verbreiteten Open-Source-Tool zur MFA-Verwaltung.

Die Statistik des ersten Quartals 2026 spricht Bände: 86 Prozent aller registrierten Phishing-Kampagnen wurden als KI-gesteuert eingestuft.

Auch mobile Geräte sind massiv betroffen. Die Zahl der Banking-Trojaner stieg um 196 Prozent auf 1,24 Millionen Vorfälle. Allein die „Trapdoor“-Kampagne identifizierte 455 manipulierte Android-Apps mit über 24 Millionen Downloads.

Besonders alarmierend: Die Sicherheitslücke CVE-2026-25262 im Qualcomm BootROM gilt als nicht patchbar. Millionen Smartphones bleiben dauerhaft angreifbar.

Da mobile Endgeräte immer häufiger zum Ziel von Banking-Trojanern und komplexen Hackerangriffen werden, ist schnelles Handeln für Android-Nutzer unerlässlich. In diesem gratis PDF-Ratgeber erfahren Sie 5 einfache Schutzmaßnahmen, um Ihr Smartphone sofort effektiv gegen Viren und Datenmissbrauch abzusichern. 5 Schutzmaßnahmen für Android-Smartphones gratis sichern

Chinesische Netzwerke setzen auf Echtzeit-Interception

Der GTIG-Bericht identifiziert mindestens ein Dutzend aktive Phishing-Netzwerke mit Ursprung in China. Statt statischer Phishing-Seiten nutzen sie Live-Admin-Panels. Die Hintermänner verfolgen Log-in-Vorgänge in Echtzeit – selbst zeitkritische Einmal-Passwörter werden wertlos.

Die Verbreitung läuft über die Plattform Darcula. KI-generierte Inhalte werden über verschlüsselte Kanäle wie RCS und iMessage versendet. Die höhere End-zu-End-Integrität suggeriert Sicherheit – die Klickrate der Opfer ist signifikant höher.

Die Angreifer agieren global mit Schwerpunkten in den USA, Japan, Australien und den Vereinigten Arabischen Emiraten. Die Monetarisierung erfolgt auch über „Digital Wallet Provisioning“ – fremde Kreditkarteninformationen werden direkt in die Wallets der Angreifer integriert.

Wirtschaftlicher Schaden erreicht kritische Masse

Branchenanalysten beziffern den weltweiten Schaden durch mobile Cyberkriminalität 2026 auf rund 442 Milliarden Euro. Täglich werden schätzungsweise 3,4 Milliarden schädliche Nachrichten versendet. Sophos prognosticierte, dass die jährlichen Kosten bis 2031 auf 12,2 Billionen US-Dollar steigen könnten.

Eine Verschiebung der Angriffsvektoren ist deutlich: Laut Verizon Data Breach Investigations Report 2026 hat die Ausnutzung technischer Schwachstellen mit 31 Prozent den klassischen Zugangsdatendiebstahl (13 Prozent) überholt.

Betroffene wie eine Nutzerin aus Köln bemerken den Schaden oft erst Wochen später. Eine gefälschte Park-App verursachte finanzielle Einbußen. Banken lehnen Erstattungen in der Regel ab, wenn Transaktionen per TAN autorisiert wurden.

Gesetzliche Initiativen und technische Gegenmaßnahmen

Der Mai 2026 brachte wichtige Weichenstellungen. In Deutschland wurde das Digital-Identitäts-Gesetz verabschiedet. Apple plant für iOS 27 die Post-Quanten-Kryptographie PQ3 – angekündigt für die Entwicklerkonferenz am 8. Juni.

Sicherheitsexperten raten Unternehmen dringend, Device-Code-Flows einzuschränken und auf phishing-resistente MFA-Lösungen wie FIDO2-Hardware-Schlüssel umzustellen. Am 25. Mai gab Yubico eine neue Vertriebspartnerschaft mit Ingram Micro India bekannt.

Interpol meldete im Rahmen der Operation FRONTIER+ III über 3.000 Festnahmen weltweit. Doch die dezentrale Struktur der PhaaS-Anbieter macht die Strafverfolgung zur Sisyphusarbeit. Die Branche geht davon aus, dass die Effektivität von Sicherheitsmaßnahmen künftig weniger an der Komplexität von Passwörtern gemessen wird – sondern an der Geschwindigkeit automatisierter Anomalieerkennung.

de | wissenschaft | 69424725 |