PhishingHackerangriffeCyberkriminalität

FBI warnt vor Kali365: Phishing-Dienst zielt auf Microsoft-365-Konten ab

Von CyberDeutsch Redaktion
FBI warnt vor Kali365: Phishing-Dienst zielt auf Microsoft-365-Konten ab
Zusammenfassung

Das FBI warnt vor der Phishing-as-a-Service-Plattform Kali365, die gezielt Microsoft-365-Konten kompromittiert, indem sie das legitime OAuth-Device-Code-Authentifizierungsverfahren von Microsoft missbraucht. Der Dienst, der seit April 2026 über Telegram-Kanäle verbreitet wird, ermöglicht es selbst unerfahrenen Cyberkriminellen, Zugangsdaten zu stehlen und Multi-Faktor-Authentifizierung zu umgehen – ohne Passwörter abfangen oder MFA-Codes knacken zu müssen. Kali365 bietet seinen Nutzern eine vollständige Infrastruktur mit KI-gestützten Phishing-Vorlagen, automatisierten Kampagnen, Live-Tracking-Dashboards und Token-Capture-Funktionen. Betroffene Organisationen in Deutschland sollten diesen Trend ernst nehmen, da auch hiesige Unternehmen und Behörden, die auf Microsoft 365 und Microsoft Entra angewiesen sind, ins Visier geraten können. Die Attacken ermöglichen Cyberkriminellen nicht nur Zugriff auf Mailboxen und sensible Daten, sondern auch die Einrichtung versteckter Regeln und illegitimer Geräte im Netzwerk. Das FBI empfiehlt deutschen IT-Verantwortlichen, Device-Code-Authentifizierung zu blockieren, bestehende Nutzung zu überprüfen und verdächtige Aktivitäten unverzüglich zu dokumentieren.

Die Bedrohung durch Kali365 basiert auf einer Missbrauch von Microsofts legitimem OAuth 2.0 Device Authorization Grant Flow. Dieses Authentifizierungsverfahren wurde eigentlich für Geräte mit begrenzten Eingabemöglichkeiten konzipiert – etwa Smart-TVs, Konferenzsysteme, Drucker oder IoT-Geräte. Sie können sich durch die Eingabe eines kurzen Codes auf der Seite http://microsoft.com/devicelogin anmelden, was den Prozess vereinfacht.

Kriminelle nutzen diesen Mechanismus, um Opfer per Phishing zu täuschen. Sie initiieren selbst den Device-Authorization-Prozess, generieren einen Code und überreden ihre Ziele, diesen auf Microsofts Login-Portal einzugeben. Sobald das Opfer den Code bestätigt und die MFA abschließt, erhält der Angreifer ein vollständiges OAuth-Zugangstoken – ohne selbst MFA-Herausforderungen bewältigen zu müssen. Damit hat der Cyberkriminelle ungehinderten Zugriff auf alle Anwendungen, auf die der Nutzer normalerweise zugreift, einschließlich Microsoft 365, Salesforce und andere Cloud-SaaS-Plattformen.

Sicherheitsforscher von Arctic Wolf beobachteten Kali365-Aktivitäten bereits im April 2026 in weltweiten Kampagnen. Die Angreifer nutzten Phishing-E-Mails, um Opfer zur Device-Code-Login-Seite zu locken. Nach erfolgreicher Kompromittierung erstellten sie Regeln im Postfach, um ihre Aktivitäten zu verbergen, und registrierten teilweise neue Geräte in den Microsoft-Umgebungen, um ihre Kontrolle zu erweitern.

Kali365 funktioniert wie ein professionalisiertes Business: Administratoren koordinieren die Produktentwicklung, Reseller vermarkten den Dienst, Affiliates führen Phishing-Attacken durch. Die Plattform bietet zwei Angriffsmodule: Device-Code-Phishing und “Cookie Link” – ein Adversary-in-the-Middle-Verfahren, das authentifizierte Browser-Sitzungen, Cookies und Tokens über attacker-kontrollierte Infrastruktur erfasst.

Das FBI empfiehlt Unternehmen dringend, Device-Code-Authentifizierungsflüsse per Conditional-Access-Richtlinien zu blockieren oder einzuschränken, vorhandene Geräte-Code-Nutzung zu überprüfen und Richtlinien zu unterbinden, die Authentifizierungssessions zwischen Geräten verschieben. Zusätzlich sollten verdächtige Logins und unauthorisierte Geräteregistrierungen dokumentiert und dem Internet Crime Complaint Center gemeldet werden.

Dass Kali365 nicht allein ist, verschärft die Lage: Andere Phishing-as-a-Service-Plattformen wie EvilTokens und Tycoon2FA nutzen ebenfalls Device-Code-Phishing. Für deutsche Unternehmen ist rasches Handeln erforderlich.

Ähnliche Artikel