Das hier ist ein vollständig KI generierter Artikel.

Das FBI warnt in einem aktuellen Advisory vor Kali365, einer Phishing-as-a-Service-Plattform, die es auch weniger versierten Angreifern erleichtert, Zugriff auf Microsoft-365-Konten zu erlangen und dabei sogar Multi-Faktor-Authentifizierung (MFA) zu umgehen. Die Angriffe basieren auf dem Missbrauch legitimer OAuth-Token und nutzen täuschend echte, automatisiert erzeugte Phishing-Kampagnen.

Was ist Kali365 und wie funktioniert der Dienst?

Kali365 wird primär über Telegram vertrieben und richtet sich explizit an Cyberkriminelle. Der Dienst stellt eine komplette Infrastruktur bereit, um Phishing-Kampagnen aufzusetzen: von KI-generierten E-Mails über fertige HTML-Phishing-Seiten bis hin zu Dashboards zur Überwachung laufender Angriffe. Laut FBI wurde Kali365 erstmals im April 2026 beobachtet und hat seither zu Hunderten von Angriffen auf Microsoft-365-Umgebungen geführt.

Im Kern zielt Kali365 nicht auf das Abgreifen klassischer Zugangsdaten (Benutzername/Passwort), sondern auf die Erlangung gültiger OAuth-Zugriffs- und Aktualisierungstoken. Diese Token erlauben es, auf Dienste wie Outlook, Teams oder OneDrive zuzugreifen, ohne dass ein Passwort oder eine erneute MFA-Abfrage nötig ist. Damit wird ein legitimer Mechanismus von Microsoft missbraucht, der eigentlich für sichere, tokenbasierte Authentifizierung gedacht ist.

Missbrauch legitimer Microsoft-Login-Flows

Die Angriffe laufen typischerweise über Phishing-E-Mails, die bekannte Cloud- und Dokumentenplattformen imitieren, etwa Adobe, DocuSign oder SharePoint. Die Nachrichten enthalten Codes und Anweisungen, die das Opfer auf echte Microsoft-Verifizierungsseiten führen. Dort geben die Betroffenen den Code ein und autorisieren damit – scheinbar legitim – ein neues Gerät oder eine Anwendung.

Der entscheidende Punkt: Das Opfer interagiert mit einer echten Microsoft-Seite und sieht keinen offensichtlichen Hinweis auf einen Angriff. Im Hintergrund wird jedoch ein von den Angreifern initiierter Login-Prozess abgeschlossen. Die dabei ausgestellten OAuth-Access- und Refresh-Token landen nicht beim legitimen Nutzer, sondern werden von der Kali365-Plattform erfasst und den Angreifern zur Verfügung gestellt.

Umgehung von MFA und langfristiger Zugriff

Da OAuth-Token nach erfolgreicher Authentifizierung und MFA-Prüfung ausgestellt werden, können Angreifer mit diesen Token auf das Konto zugreifen, ohne weitere Sicherheitsabfragen auszulösen. Damit wird MFA faktisch umgangen, obwohl sie technisch korrekt eingesetzt wurde. Laut Incident-Response-Teams, die Kampagnen mit Kali365 untersucht haben, verschaffen sich Angreifer so unmittelbaren Zugriff auf Postfächer und weitere Microsoft-365-Dienste.

In einigen Fällen richten die Angreifer im Anschluss bösartige Posteingangsregeln ein, um sicherheitsrelevante Benachrichtigungen zu unterdrücken oder bestimmte Nachrichten automatisch zu verschieben oder zu löschen. Das verlängert die Verweildauer im kompromittierten Konto und erschwert die Entdeckung des Angriffs. Zusätzlich können Kontakte abgegriffen, weitere Phishing-Mails aus dem kompromittierten Konto versendet und administrative Aktionen durchgeführt werden – insbesondere, wenn das betroffene Konto über erhöhte Rechte verfügt.

Funktionsumfang und Geschäftsmodell von Kali365

Analysen von Sicherheitsfirmen, die zeitweise Zugriff auf das Kali365-System hatten, zeigen ein klar strukturiertes Geschäftsmodell mit mehreren Preistiers. Die Nutzung des Dienstes wird im Abo-Modell angeboten, mit Laufzeiten von 30 bis 365 Tagen und Preisen im mittleren bis hohen dreistelligen Dollarbereich. Damit positioniert sich Kali365 als professionelles Werkzeug für wiederkehrende Kampagnen.

Zum Funktionsumfang gehören unter anderem:

  • KI-generierte Phishing-Texte in zahlreichen Sprachen
  • Vorlagen für E-Mail-Kampagnen mit unterschiedlichen Layouts und Markenauftritten
  • Automatisierte Erstellung von HTML-Phishing-Seiten, die bekannte Dienste imitieren
  • Echtzeit-Dashboards zur Verfolgung von Zielen und Erfolgsquoten
  • Erfassung, Speicherung und Wiederverwendung von OAuth-Access- und Refresh-Token
  • Optional eine Desktop-Anwendung zur lokalen Nutzung des Dienstes

Die erbeuteten Token können innerhalb der Plattform geteilt oder weiterverkauft werden. Da sie unmittelbaren und oft längerfristigen Zugriff auf Microsoft-365-Konten ermöglichen, sind sie für verschiedene Formen der Folgekriminalität interessant – vom Business Email Compromise (BEC) über Datendiebstahl bis hin zu lateralen Phishing-Kampagnen innerhalb eines Unternehmens.

Professionalisierung des Cybercrime-Ökosystems

Fachleute sehen in Kali365 ein weiteres Beispiel für die fortschreitende Professionalisierung und Arbeitsteilung im Cybercrime-Ökosystem. Phishing-as-a-Service senkt die Einstiegshürden deutlich: Angreifer müssen weder eigene Infrastruktur betreiben noch tiefes technisches Know-how mitbringen. Stattdessen können sie auf fertige Baukästen zurückgreifen, die kontinuierlich weiterentwickelt und gewartet werden.

Parallel dazu beobachten Sicherheitsforscher eine Zunahme ähnlicher Plattformen, die auf andere Angriffsvektoren setzen, etwa die Verbreitung von Malware über legitime Cloud-Dienste oder die Automatisierung von Social-Engineering-Kampagnen. Für Verteidiger bedeutet dies, dass sie es nicht mehr nur mit einzelnen Gruppen und deren individueller Infrastruktur zu tun haben, sondern mit einem breiten Markt standardisierter Angriffsservices.

Was Unternehmen jetzt beachten sollten

Auch wenn das FBI-Alert primär den US-Markt adressiert, sind die beschriebenen Techniken global relevant. Unternehmen, die Microsoft 365 einsetzen, sollten insbesondere folgende Punkte berücksichtigen:

  • Überwachung und Härtung von OAuth- und App-Registrierungen in der eigenen Tenant-Umgebung
  • Regelmässige Überprüfung von Posteingangsregeln und delegierten Zugriffsrechten
  • Sensibilisierung von Mitarbeitenden für Angriffe, die über legitime Login-Seiten laufen
  • Einsatz von Conditional Access Policies, um Token-Nutzung nach Standort, Gerät oder Risiko zu begrenzen
  • Protokollierung und Auswertung von Anmeldeereignissen, insbesondere neuer Geräte und Anwendungen

Da Phishing-as-a-Service-Plattformen wie Kali365 stark auf Automatisierung und Skalierung setzen, ist davon auszugehen, dass ähnliche Kampagnen auch in anderen Regionen und Sprachen zunehmen werden.

Fazit

Kali365 zeigt exemplarisch, wie Angreifer legitime Authentifizierungsmechanismen ausnutzen, um MFA zu umgehen und langfristigen Zugriff auf Microsoft-365-Konten zu erlangen. Die Kombination aus Phishing-as-a-Service, KI-generierten Inhalten und dem Missbrauch von OAuth-Token senkt die Einstiegshürde für Cyberkriminelle und erhöht den Druck auf Unternehmen, ihre Cloud-Umgebungen gezielt zu härten. Wer Microsoft 365 produktiv einsetzt, sollte die eigenen Sicherheitskontrollen rund um OAuth, App-Berechtigungen und Anomalieerkennung kritisch überprüfen und Mitarbeitende auf diese neue Qualität von Phishing-Kampagnen vorbereiten.

Quelle: https://therecord.media/fbi-warns-of-kali365-phishing-attacks