Kali365 umgeht 2FA: Phishing-Dienst für 230 Euro monatlich

Bundesbehörden und Cybersicherheitsexperten schlagen Alarm: Von gefälschten Party-Einladungen bis hin zu professionellen „Phishing-as-a-Service"-Kits reicht das Spektrum der aktuellen Angriffswelle. Besonders perfide: Die Täter nutzen vertrauenswürdige Plattformen und saisonale Trends, um sowohl Privatpersonen als auch Unternehmen hereinzulegen.

CEO-Fraud und psychologische Tricks: Warum selbst erfahrene Mitarbeiter auf gefälschte E-Mails hereinfallen, zeigt ein neuer Gratis-Report für Unternehmen. Kostenloses Anti-Phishing-Paket für Firmen jetzt herunterladen

Gefälschte Einladungen als Einfallstor

Die US-Verbraucherschutzbehörde FTC warnte am 26. Mai vor einer neuen Betrugsmasche, die digitale Einladungsplattformen wie Evite oder Paperless Post missbraucht. Die Opfer erhalten SMS oder E-Mails, die wie legitime Party-Einladungen wirken – etwa zu Abschlussfeiern.

Das Ziel: die Zugangsdaten zum E-Mail-Konto. Die Empfänger werden auf gefälschte Login-Seiten gelotst, die täuschend echt aussehen. Eine betroffene Frau aus Kalifornien verlor auf diese Weise 5.500 Euro, nachdem Betrüger Zugriff auf ihre Konten erlangt hatten. Paperless Post bestätigte, dass wöchentlich mehrere hundert Meldungen über derartige Betrugsversuche eingehen.

Die Täter setzen gezielt auf psychologische Trigger wie Neugier und Zeitdruck. Warnsignale sind unter anderem die Aufforderung, ein Passwort einzugeben, um die Einladung zu sehen, fehlerhafte Layouts in der E-Mail sowie Absenderadressen, die nicht zur offiziellen Domain der Plattform gehören.

Kali365: Gefahr für Unternehmen mit Microsoft 365

Das FBI veröffentlichte am 21. Mai eine separate Warnung vor einer speziellen Phishing-Plattform namens „Kali365". Dieses „Phishing-as-a-Service"-Angebot ist seit April 2026 auf dem Messengerdienst Telegram für umgerechnet rund 230 Euro pro Monat erhältlich – zahlbar in Kryptowährung.

Die Besonderheit: Kali365 umgeht die Zwei-Faktor-Authentifizierung (2FA), indem es OAuth-Token stiehlt. Der Angriff beginnt mit einer Phishing-E-Mail, die einen Gerätecode enthält. Gibt der Nutzer diesen Code auf einer legitimen Microsoft-Autorisierungsseite ein, erteilt er dem Angreifer unwissentlich Zugriff auf seine gesamte Microsoft-365-Umgebung – inklusive Outlook, Teams und OneDrive.

Angriffe auf Microsoft 365 nehmen rasant zu und gefährden die Sicherheit ganzer Organisationen. Dieser kostenlose Leitfaden zeigt Unternehmen aus Verwaltung, Handel und Produktion, wie sie Phishing-Angriffe in 4 Schritten stoppen. Anti-Phishing-Paket für Unternehmen gratis sichern

Bereits im April wurden Hunderte Organisationen aus den Bereichen Produktion, Bildung, Verwaltung, Finanzen und Gesundheitswesen in Nordamerika und Europa angegriffen. Sicherheitsforscher betonen: Alle identifizierten Opfer nutzten zum Zeitpunkt des Angriffs 2FA. Das zeigt eine gravierende Schwachstelle selbst in vermeintlich sicheren Systemen.

Gezielte Angriffe auf LinkedIn, Signal und Co.

Neben diesen Massenkampagnen registrierten Experten im Mai auch hochspezialisierte Angriffe auf bestimmte Nutzergruppen:

LinkedIn und Adobe Target: Eine neue Kampagne zielt auf LinkedIn-Nutzer mit gefälschten Geschäftsangeboten ab. Die E-Mails enthalten HTML-Dateien, die als PDF-Anhänge getarnt sind. Forscher von Malwarebytes entdeckten, dass die Angreifer Adobes A/B-Testplattform Adobe Target nutzen, um den Erfolg ihrer Kampagnen zu messen und schädliche Links zu verschleiern.

Signal-Backups: Nutzer des verschlüsselten Messengers Signal – darunter Aktivisten – werden von angeblichen Signal-Support-Mitarbeitern kontaktiert. Die Täter versuchen, an die Wiederherstellungsschlüssel für Online-Backups zu gelangen. Signal-Präsidentin Meredith Whittaker bestätigte, dass das Unternehmen an technischen Gegenmaßnahmen arbeitet, und erinnerte Nutzer daran: Signal fordert niemals PINs oder Wiederherstellungsschlüssel an.

Fake-IMF-Zuschüsse: Eine weitere Betrugsmasche nutzt den Namen des Internationalen Währungsfonds (IWF). Die E-Mails versprechen Zuschüsse in Millionenhöhe – im Gegenzug fordern sie persönliche Identifikationsdaten. Das Ziel: Identitätsdiebstahl.

So schützen Sie sich

Angesichts der wachsenden Bedrohung haben FTC und FBI aktualisierte Sicherheitsleitlinien veröffentlicht. Für Unternehmen empfiehlt das FBI, sogenannte Conditional Access Policies einzuführen, die den „Device Code Flow" blockieren – es sei denn, er wird für betriebliche Abläufe zwingend benötigt.

Für Privatnutzer raten Experten zu einem mehrstufigen Schutz:
- Zwei-Faktor-Authentifizierung bleibt unverzichtbar
- Unerwartete Einladungen immer über einen separaten Kanal beim Gastgeber verifizieren
- Software aktuell halten
- Offizielle Apps statt Browser für sensible Logins verwenden
- Verdächtige E-Mails an die Anti-Phishing Working Group oder das Internet Crime Complaint Center (IC3) melden

de | wissenschaft | 69446859 |