Kali365: FBI warnt vor Phishing-Plattform, die MFA umgeht

Das Federal Bureau of Investigation (FBI) hat eine Warnung vor der Phishing-as-a-Service-Plattform Kali365 herausgegeben. Seit April 2026 im Umlauf, zielt der Dienst speziell auf Microsoft-365-Umgebungen ab. Seine besondere Gefährlichkeit liegt in der Fähigkeit, Multi-Faktor-Authentifizierung (MFA) zu umgehen – und zwar durch die Ausnutzung legitimer Microsoft-Anmeldeprotokolle.

Da Cyberkriminelle ihre Methoden ständig verfeinern, ist eine proaktive Abwehrstrategie gegen Phishing für Firmen heute unerlässlich. Dieser kostenlose Leitfaden zeigt Ihnen in 4 Schritten, wie Sie Angriffe stoppen, bevor sie Schaden anrichten. In 4 Schritten zum sicheren Unternehmen: Anti-Phishing-Paket jetzt gratis herunterladen

So funktioniert der MFA-Bypass

Die Kernmethode von Kali365 heißt Device-Code-Phishing. Opfer erhalten eine Phishing-E-Mail mit einem Code und werden aufgefordert, diesen auf einer offiziellen Microsoft-Anmeldeseite einzugeben. Da die Nutzer mit einer echten Microsoft-Domain interagieren, schlagen herkömmliche Sicherheitsfilter nicht an.

Sobald der Code eingegeben ist, fangen die Angreifer OAuth-Tokens ab. Diese gewähren ihnen dauerhaften Zugriff auf die gesamte Microsoft-365-Suite – inklusive Outlook, Teams und OneDrive. Besonders tückisch: Die gestohlenen Refresh-Tokens können bis zu 90 Tage gültig bleiben. Das verschafft den Tätern eine langfristige Präsenz im kompromittierten Netzwerk.

Gerade beim Zugriff auf Cloud-Dienste wie Microsoft 365 aus dem Home-Office entstehen oft kritische Sicherheitslücken, die Angreifer gezielt ausnutzen. Nutzen Sie bewährte Strategien und rechtssichere Vorlagen, um mobile Arbeitsplätze wirksam vor unbefugten Zugriffen zu schützen. Bewährte Strategien und Vorlagen für sicheres Home-Office jetzt kostenlos anfordern

Ergänzend bietet die Plattform einen zweiten Angriffsmodus: einen Adversary-in-the-Middle (AitM) Reverse Proxy. Damit lassen sich aktive Session-Cookies direkt stehlen – eine weitere Methode, um MFA-Schutzmaßnahmen zu umgehen.

Phishing als Dienstleistung

Kali365 wird über verschlüsselte Messaging-Dienste wie Telegram vertrieben. Das Geschäftsmodell: Abo-basiert. Laut Cybersicherheitsanalysten kostet die Lizenz rund 250 Euro für 30 Tage oder 2.000 Euro für ein ganzes Jahr. Die Zahlungen laufen über anonyme Dienste, um die Identität der Käufer zu verschleiern.

Das Toolkit senkt die Einstiegshürde für Kriminelle massiv. Zu den Funktionen zählen:

• KI-generierte Inhalte: Künstliche Intelligenz erstellt überzeugende Phishing-Nachrichten und Köder.
• Zentrale Dashboards: Angreifer verwalten mehrere Kampagnen und sehen gestohlene Zugangsdaten live ein.
• Automatisierte Postfachregeln: Das Kit legt selbstständig Regeln an, um Aktivitäten zu verstecken oder Daten abzuziehen.
• Geräteregistrierung: Angreifer können eigene Geräte im Mandanten des Opfers anmelden und so den Zugriff sichern.

Schutzmaßnahmen für Unternehmen

In einer öffentlichen Warnung Ende Mai 2026 empfehlen das FBI und Sicherheitsfirmen mehrere Gegenmaßnahmen. Experten raten dringend, Device-Code-Authentifizierungsflüsse einzuschränken oder ganz zu deaktivieren – sofern sie im Betrieb nicht zwingend erforderlich sind.

Sicherheitsexperten schlagen außerdem bedingte Zugriffsrichtlinien vor, die Authentifizierungsübertragungen zwischen verschiedenen Geräten blockieren. Unternehmen, die verdächtige Aktivitäten feststellen, sollen diese beim Internet Crime Complaint Center (IC3) melden.

Die Kali365-Kampagne reiht sich ein in einen besorgniserregenden Trend: Angreifer missbrauchen zunehmend legitime Verwaltungswerkzeuge. Bereits Anfang des Jahres gab es Berichte über staatlich unterstützte Gruppen, die Open-Source-Tools für Angriffe auf Microsoft-APIs nutzten. Der Fokus liegt klar auf der Ausbeutung cloudbasierter Identitäten.

de | wissenschaft | 69430032 |