Microsoft 365 unter Druck: KI-gestützte Phishing-Plattformen umgehen MFA
Veröffentlicht: 03.07.2026 um 21:27 Uhr, Redaktion boerse-global.de
Hacker setzen auf künstliche Intelligenz, um Sicherheitsmechanismen zu umgehen. Betroffen sind vor allem Unternehmen mit Microsoft-365-Umgebungen.
Sicherheitsforscher und US-Behörden schlagen Alarm: Eine neue Generation von Phishing-as-a-Service-Plattformen und automatisierten Angriffen zielt gezielt auf Microsoft-365-Umgebungen ab. Die Angreifer nutzen KI und spezielle Authentifizierungsexploits, um die mehrstufige Authentifizierung (MFA) zu umgehen – genau jene Schutzmaßnahme, auf die viele Unternehmen bislang vertrauten.
ARToken und Kali365: Neue Werkzeuge für Cyberkriminelle
Am 3. Juli 2026 veröffentlichten die Sicherheitsexperten von Cisco Talos ihre Entdeckung einer neuen PhaaS-Plattform namens ARToken. Das Tool missbraucht die Gerätecode-Authentifizierung, um Zugriffstoken zu stehlen. Über 80 API-Endpunkte stehen den Angreifern zur Verfügung. Besonders perfide: ARToken ermöglicht den dauerhaften Zugriff über sogenannte Primary Refresh Tokens. Die Plattform ist eng mit dem bekannten EvilTokens-Toolkit verwandt und nutzt KI-gesteuerte Automatisierung für Postfach-Scans und Business-E-Mail-Compromise-Angriffe (BEC).
Fast zeitgleich warnte das FBI vor einem ähnlichen Dienst namens Kali365. Dieser Dienst missbraucht den OAuth-2.0-Geräteautorisierungs-Fluss von Microsoft. Die Plattform arbeitet mit einer klaren Hierarchie aus Administratoren, Wiederverkäufern und Partnern. Auch hier kommen KI-generierte Köder und automatisierte Kampagnenverwaltung zum Einsatz – alles mit dem Ziel, die MFA zu umgehen.
81 Millionen Anmeldeversuche in zwei Wochen
Doch nicht nur spezialisierte Plattformen bereiten Sorgen. Das Sicherheitsunternehmen Huntress beobachtete zwischen dem 12. und 26. Juni 2026 eine massive Password-Spraying-Kampagne. Die Angreifer generierten rund 81 Millionen Anmeldeversuche auf Microsoft-365-Konten.
Die Hacker nutzten die Azure Command-Line Interface (CLI) und den ROPC-OAuth-Flow (Resource Owner Password Credentials). Diese Methode umgeht die MFA dann erfolgreich, wenn Unternehmen ihre Conditional Access Policies falsch konfiguriert haben. Das Ergebnis: 78 kompromittierte Konten in 64 verschiedenen Organisationen. Die technische Analyse führt die Angriffe auf einen IPv6-Bereich des Anbieters LSHIY LLC zurück.
Wer seine Microsoft-365-Umgebung gegen KI-Phishing wappnen will, findet in diesem Report die entscheidenden Hebel – von der Erkennung von Token-Diebstahl bis zur Härtung der Conditional Access Policies. Jetzt kostenlosen Sicherheits-Report anfordern
Token-Diebstahl in Sekundenschnelle
Die Methoden der Angreifer werden immer raffinierter. Aktuelle Berichte vom Juli 2026 dokumentieren den Aufstieg von "ConsentFix" - und "ClickFix" -Angriffen. Diese Tricks bringen Nutzer dazu, schädliche Localhost-Callback-Links zu ziehen oder bestimmte Tastenkombinationen auszuführen. Das Ziel: die Herausgabe von OAuth-Token. Bereits im März 2026 wurden detaillierte Anleitungen für diese Techniken in russischen Cybercrime-Foren beobachtet. Der Trend zeigt: Konten werden in Sekunden gekapert – ohne dass ein traditioneller Passwortdiebstahl nötig wäre.
Phantom Squatting: KI-generierte Angriffs-Infrastruktur
Auch die Infrastruktur für diese Angriffe wird zunehmend automatisiert. Die Forscher von Palo Alto Networks Unit 42 berichten über ein Phänomen namens "Phantom Squatting" . Angreifer nutzen KI, um massenhaft potenzielle Domains zu generieren. Von 2,1 Millionen generierten Links identifizierten die Forscher 250.000 registrierte Domains, die für Phishing-Seiten genutzt wurden. In einem konkreten Fall wurde eine betrügerische Postdienst-Domain nur 23 Tage nach ihrer KI-gestützten Generierung registriert.
Die KI-Revolution in der Cyberkriminalität
Token-Diebstahl in Sekunden – ohne Passwort. 81 Mio Anmeldeversuche in zwei Wochen. Unternehmen mit falsch konfigurierten Conditional Access Policies sind das Hauptziel. Dieser Leitfaden zeigt, wie Sie ARToken & Kali365 blocken und Ihre MFA wirklich sicher machen. MFA-Härtungs-Leitfaden jetzt sichern
Ein aktueller Zwischenbericht des Sicherheitsunternehmens KELA vom 2. Juli 2026 unterstreicht die wachsende Rolle der KI in der Cyberkriminalität. Demnach wurden allein in den ersten Monaten des Jahres über eine Million Rechner infiziert – durch Infostealer, die KI-Speicherdateien und Sitzungs-Cookies stehlen.
Branchenbeobachter schätzen, dass einige staatlich unterstützte Akteure bereits einen Automatisierungsgrad von 80 bis 90 Prozent in ihren Operationen erreicht haben. Die Bedrohungslage wird zusätzlich durch "Vibe Hacking" -Techniken zur Manipulation von KI-Systemen und durch autonome Angriffe mit offenen Large Language Models (LLMs) verschärft. Die Botschaft ist klar: Die Einstiegshürde für professionelle, zielgerichtete Phishing-Kampagnen sinkt rapide – und KI wird zum zentralen Werkzeug der Angreifer.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
