Das FBI warnt aktuell vor Kali365, einer seit April 2026 aktiven Phishing-as-a-Service-Plattform, die gezielt Microsoft-365-Umgebungen ins Visier nimmt. Hierbei werden keine Zugangsdaten gestohlen, sondern OAuth-Tokens gekapert, wodurch selbst eine Multifaktor-Authentifizierung (MFA) umgangen wird. Die Plattform bietet zudem KI-generierte Phishing-Vorlagen, automatisierte Kampagnen-Tools und Echtzeit-Tracking-Dashboards und wird über Telegram als Abonnementmodell vertrieben.
Der Angriff läuft dabei in mehreren Schritten ab: Zunächst wird das Opfer per Phishing-E-Mail im Namen vermeintlich vertrauenswürdiger Cloud-Dienste dazu verleitet, einen Gerätecode auf einer legitimen Microsoft-Seite einzugeben. Damit autorisiert es unwissentlich das Gerät der Angreifer. Diese erlangen so OAuth-Access- und Refresh-Tokens und somit dauerhaften Zugriff auf den Microsoft-365-Account des Opfers inklusive Outlook, Teams und OneDrive. Und das ganz ohne Passwort und weitere MFA-Abfragen.
Andrea Sivieri, Chief Product and Technology Officer von CoreView, erklärt:
„Die Warnung des FBI zu Kali365 bestätigt ein Muster, das wir seit Monaten in Microsoft-365-Umgebungen von Unternehmen beobachten. Angreifer brechen nicht mehr ein, sondern loggen sich ein. Sie nutzen dabei Funktionen, die Microsoft für legitime Zwecke entwickelt hat. Der Geräte-Code-Flow existiert aus gutem Grund: Auf diese Weise melden sich Smart-TVs und IoT-Geräte bei den entsprechenden Konten an. Die Angreifer haben jetzt erkannt, dass dies auch eine hervorragende Phishing-Methode darstellt, da der Benutzer selbst auf einer echten Microsoft-Seite auf ‚Genehmigen‘ klickt.
Die vorrangige Empfehlung des FBI, den Code-Flow von Geräten durch Richtlinien für den bedingten Zugriff zu blockieren, könnte jeder Microsoft 365-Administrator noch heute Nachmittag aktivieren. Es gibt einen Grund, warum die meisten Unternehmen dies nicht getan haben und hiervor zurückschrecken: Der bedingte Zugriff in einem Tenant besteht in aller Regel aus einer Vielzahl von Richtlinien, die im Laufe von mehreren Jahren von etlichen verschiedenen Personen bearbeitet wurden. Niemand weiß so recht, welche Funktionen durch die Blockierung eines einzelnen Flows beeinträchtigt werden könnten. Also bleibt die Richtlinie offen. Und die Angreifer haben weiterhin leichtes Spiel.
Die Lehre aus Kali365 lautet: Der nächste bedeutende Sicherheitsvorfall wird nicht damit beginnen, dass ein Hacker eine Schwachstelle ausnutzt. Der nächste bedeutende Sicherheitsvorfall wird damit beginnen, dass ein Mitarbeitender sehr höflich gebeten wird, eine legitime Aktion innerhalb eines legitimen Microsoft-Produkts durchzuführen. Die Lösung liegt nicht in besserer Technologie, sondern in einer konsequenten Überprüfung von Sicherheitsrichtlinien und einer Echtzeit-Transparenz darüber, was innerhalb des Tenants verändert wird.“
