Das FBI hat eine Erklärung warning über eine schnell wachsende Phishing-as-a-Service-Plattform namens Kali365 veröffentlicht, die dazu verwendet wird, Microsoft-365-Konten zu kompromittieren und gleichzeitig Multi-Faktor-Authentifizierungsschutz zu umgehen.
Laut einer neuen FBI-Öffentlichkeitserklärung, die über das Internet Crime Complaint Center (IC3) veröffentlicht wurde, erschien Kali365 erstmals im April 2026 und wird hauptsächlich über Telegram-Kanäle verteilt, die von Cyberkriminellen genutzt werden. Die Plattform ermöglicht es Angreifern, Microsoft 365 OAuth-Zugriffstoken zu stehlen, ohne Passwörter oder MFA-Codes direkt zu erfassen.
Das FBI erklärte, dass Kali365 die Hürde für weniger qualifizierte Cyberkriminelle senkt, indem es fertige Phishing-Infrastruktur, KI-generierte Phishing-Lockmittel, automatisierte Kampagnenvorlagen, Opferverfolgungs-Dashboards und Token-Erfassungstools bereitstellt.
Im Gegensatz zu herkömmlichen Phishing-Angriffen, die auf gefälschten Login-Seiten basieren, missbraucht Kali365 Microsofts legitimen Geräte-Authentifizierungsprozess. Bei einem typischen Angriff erhalten Opfer E-Mails, die sich als vertrauenswürdige Cloud- oder Dokumentenaustauschdienste ausgeben. Die Nachrichten enthalten Anweisungen, die Nutzer auf Microsofts echte Verifizierungsseite verweisen und sie auffordern, einen bereitgestellten Gerätecode einzugeben.
Sobald der Code eingegeben ist, autorisieren die Opfer unwissentlich das Gerät des Angreifers, auf deren Microsoft 365-Umgebung zuzugreifen. Angreifer erfassen dann OAuth-Zugriffs- und Aktualisierungstoken, was dauerhaften Zugriff auf Dienste wie Outlook, Teams und OneDrive ermöglicht, ohne zusätzliche MFA-Eingaben auszulösen.
Sicherheitsforscher beschreiben die Technik als “Device Code Phishing”, eine zunehmende Angriffsmethode, die sich gegen Cloud-Authentifizierungssysteme richtet. Da der Login über legitime Microsoft-Infrastruktur erfolgt, haben herkömmliche Phishing-Erkennungstools oft Schwierigkeiten, die Aktivität als bösartig zu erkennen.
Forscher von Arctic Wolf haben Kali365 zuvor mit groß angelegten Kampagnen in Verbindung gebracht, die Organisationen in den Bereichen Fertigung, Gesundheitswesen, Finanzen, Regierung und Bildung in Nordamerika und Europa betreffen. Das Unternehmen sagte, Angreifer hätten realistische Phishing-Lockmittel in Kombination mit Microsofts legitimem Geräte-Login-Flow verwendet, um persistente Zugriffstoken zu erhalten.
Cybersicherheitsexperten warnen, dass die gestohlenen Token langfristigen Zugang zu Unternehmensumgebungen ermöglichen und für geschäftliche E-Mail-Kompromittationen, interne Aufklärung, Datendiebstahl, Finanzbetrug und den Einsatz von Ransomware eingesetzt werden können.
Das FBI empfahl Organisationen, dass Gerätecode-Authentifizierungsflüsse, wo möglich, eingeschränkt oder deaktiviert werden und bedingte Zugriffsrichtlinien implementieren, die riskante Anmeldeversuche blockieren. Die Behörde riet Unternehmen außerdem, die Berechtigungen der OAuth-Anwendungen zu überwachen, verdächtige Authentifizierungsereignisse zu überprüfen und unautorisierte Token sofort nach der Entdeckung von Kompromittierungsaktivitäten zurückzuziehen.
Die Behörde warnte zudem die Nutzer davor, bei unerwünschten E-Mails, die Authentifizierungsmaßnahmen anfordern, vorsichtig zu sein, selbst wenn Links auf legitime Microsoft-Domains verweisen.
Kali365 reiht sich in ein wachsendes Ökosystem von Phishing-as-a-Service-Operationen ein, die fortschrittliche Angriffstechniken in abonnementbasierte Plattformen bündeln, die über Telegram und unterirdische Cyberkriminalitätsgemeinschaften verkauft werden. Forscher sagen, dass diese Dienste komplexe Account-Takeover-Angriffe zunehmend für unerfahrene Bedrohungsakteure zugänglich machen.