PhishingSchwachstellenHackerangriffe

FBI warnt vor Kali365: Phishing-as-a-Service bedroht Microsoft-365-Nutzer weltweit

Von CyberDeutsch Redaktion
FBI warnt vor Kali365: Phishing-as-a-Service bedroht Microsoft-365-Nutzer weltweit
Zusammenfassung

Das FBI warnt vor Kali365, einer neuen Phishing-as-a-Service-Plattform, die Cyberkriminelle nutzen, um unbefugten Zugriff auf Microsoft-365-Konten zu erlangen. Der Dienst wird über Telegram verbreitet und ermöglicht es auch weniger technisch versierten Angreifern, mithilfe von KI-generierten Phishing-Luren und automatisierten Kampagnenvorlagen OAuth-Token zu kapern – und damit die Zwei-Faktor-Authentifizierung zu umgehen. Seit April 2026 werden hunderte solcher Angriffe registriert. Kali365 funktioniert, indem Cyberkriminelle täuschend echte Microsoft-Authentifizierungsseiten simulieren und Nutzer dazu bringen, Login-Anfragen zu autorisieren, ohne ihre Anmeldedaten preiszugeben. Sobald die OAuth-Tokens erbeutet sind, haben Angreifer direkten Zugriff auf Outlook, Teams und OneDrive. Für deutsche Unternehmen und Behörden stellt dies eine erhebliche Bedrohung dar, da viele auf Microsoft-365-Lösungen setzen. Die einfache Bedienung und niedrigen Kosten der Plattform (ab 250 Dollar) senken die Einstiegshürde für Angreifer erheblich und professionalisieren das Cybercrime-Ökosystem. Deutsche Organisationen sollten ihre Mitarbeiter intensiv schulen und zusätzliche Sicherheitsmaßnahmen implementieren.

Kali365 funktioniert nach einem perfiden Schema: Cyberkriminelle versenden Phishing-E-Mails, die legitime Dienste wie Microsoft 365, Adobe oder DocuSign imitieren. Die Nachrichten enthalten Codes und Anweisungen, die Nutzer auf echte Microsoft-Authentifizierungsseiten führen. Wenn das Opfer dort den Code eingibt, autorisiert es unbewusst ein Gerät des Angreifers, auf sein Konto zuzugreifen. Mit den so erbeuteten OAuth-Zugriffstoken können Kriminelle anschließend auf Outlook, Teams und OneDrive zugreifen – ohne Passwort oder zusätzliche Verifikation.

Das besonders Bemerkenswerte an Kali365 ist seine Benutzerfreundlichkeit für Angreifer: Die Plattform bietet KI-generierte Phishing-Vorlagen in dutzenden Sprachen, automatisierte Kampagnen-Templates und Echtzeit-Überwachungs-Dashboards. Die Preise reichen von 250 Dollar für 30 Tage bis 2.000 Dollar für 365 Tage. Sogar eine herunterladbare Desktop-Version wird angeboten – ein Geschäftsmodell, das die Demokratisierung von Cyberattacken verdeutlicht.

Besonders besorgniserregend: Die gestohlenen OAuth-Token sind nicht an einzelne Sessions gebunden. Sie ermöglichen persistente, unbegrenzte Zugriffe auf Microsoft-365-Umgebungen und können weitergegeben oder wiederverwendet werden. Sicherheitsforscher von Arctic Wolf dokumentierten, dass Angreifer damit Kontakte harvesten, Phishing-Kampagnen verteilen, Sicherheitsbenachrichtigungen unterdrücken und – bei administrativen Konten – organisationsweite Schäden anrichten können.

Das FBI betont, dass Kali365 seit April 2026 aktiv ist. Parallel warnten mehrere Cybersecurity-Unternehmen vor hunderten Angriffen, die mit dieser und ähnlichen Plattformen durchgeführt wurden. Microsoft kündigte ebenfalls die Disruption eines vergleichbaren kriminellen Tools an.

Für deutsche Organisationen sind die Implikationen erheblich: Unternehmen und Behörden, die von Kali365-Angriffen betroffen werden, müssen Datenpannen gemäß DSGVO dem Bundesdatenschutzbeauftragten (BfDI) melden – bei fahrlässigen Fehlern drohen Bußgelder bis 4 Prozent des Jahresumsatzes. Das BSI empfiehlt verstärkte Aufklärung der Nutzer, die Überprüfung von OAuth-Genehmigungen und die Implementierung zusätzlicher Sicherheitsmaßnahmen. Kali365 symbolisiert eine wachsende Bedrohung: Cyberkriminalität wird zunehmend professionalisiert, modularisiert und für breite Angreifer-Kreise zugänglich gemacht.

Ähnliche Artikel