FBI warnt vor Kali365-Angriffen auf Microsoft 365-Benutzer zur Diebstahl von Zugangsdaten und Umgehung der Zwei-Faktor-Authentifizierung

Werkzeuge zur automatisierten Bereitstellung.

Echtzeit-Dashboards zur Überwachung.

Köder: Opfer erhalten Phishing-E-Mails, die so aussehen, als stammten sie E-Mails enthalten einen Gerätecode und Anweisungen.

Technik und Auswirkungen

Autorisierung: Das Opfer wird auf eine legitime Microsoft-Verifizierungsseite geleitet und aufgefordert, den bereitgestellten Code einzugeben.

Token-Diebstahl: Durch Eingabe des Codes autorisiert der Benutzer unbewusst die Sitzung des Angreifers, wodurch dieser OAuth-Zugriffstoken und Refresh-Tokens erfassen kann.

Persistenz: Anschließend können Angreifer Dienste wie Outlook, Teams und OneDrive nutzen, ohne dass erneut MFA ausgelöst wird. Diese Technik ist besonders gefährlich, da sie legitime Authentifizierungsabläufe ausnutzt und die Erkennung erschwert.

Sicherheitslage und Risiko

Heute hat das FBI eine öffentliche Warnung (#PSA) veröffentlicht, in der die Bevölkerung vor Kali365 gewarnt wird – einer neuartigen Phishing-as-a-Service (PhaaS)-Plattform.

Kali365, das erstmals im April 2026 beobachtet wurde, ermöglicht es Cyberbedrohungsakteuren, Microsoft 365-Zugriffstoken zu erhalten und Multi-Faktor-Authentifizierung (MFA)-Protokolle zu umgehen, ohne… Unter der Warnungsnummer I-052126-PSA verfolgt und erstmals im April 2026 registriert, gewinnt die Plattform bei Cyberkriminellen an Bedeutung aufgrund ihrer Benutzerfreundlichkeit und fortschrittlichen Funktionen.

Sobald Zugriff erhalten wurde, können Angreifer:

Auf vertrauliche Dateien in OneDrive zugreifen.

Auf vertrauliche Dateien in OneDrive zugreifen.

Kommunikationen über Teams überwachen.

Langfristige Persistenz durch Refresh-Tokens aufrechterhalten. Da Zugangsdaten nicht direkt gestohlen werden, können herkömmliche Sicherheitswarnungen möglicherweise nicht ausgelöst werden, wodurch die Verweildauer der Angreifer verlängert wird. Empfehlungen zur Abwehr Das FBI und CISA empfehlen mehrere Schutzmaßnahmen, um das Expositionsrisiko zu verringern:

Technischer Hintergrund

Die Gerätecode-Flow-Authentifizierung dort, wo möglich, einschränken oder deaktivieren. Implementieren Sie Zugriffsrichtlinien, um die Nutzung ätecodes durch unberechtigte Geräte zu blockieren. Prüfen Sie bestehende Abhängigkeiten des Gerätecode-Flows, bevor Einschränkungen angewendet werden. Blockieren Sie die Authentifizierungsübertragung zwischen Geräten.

Halten Sie Notfallzugangskonten bereit, um Sperren zu vermeiden. Organisationen sollten zudem auf ungewöhnliche Anmeldevorgänge und Token-Nutzungsmuster achten. Opfer von Kali365-bezogenen Angriffen werden aufgefordert, Vorfälle beim Internet Crime Complaint Center (IC3) des FBI unter www.ic3.gov zu melden. Folgende Informationen sollten enthalten sein:

Verdächtige Anmeldeinformationen (IP-Adresse, Uhrzeit, Standort).

Unberechtigte Geräte oder aktive Sitzungen. Da sich Phishing-Techniken weiterentwickeln, weist die Kali365-Plattform auf einen wachsenden Trend hin zu Token-basierten Angriffen, die herkömmliche Schutzmaßnahmen umgehen und die Notwendigkeit stärkerer Identitäts- und Zugriffssteuerelemente unterstreichen. Sie uns auf