Das FBI warnt vor der Phishing-as-a-Service-Plattform Kali365, die gezielt Microsoft-365-Umgebungen angreift. Die Angreifer setzen dabei auf legitime Microsoft-Authentifizierungsverfahren und können so selbst Multifaktor-Authentifizierung umgehen.
Foto: CoreView
Andrea Sivieri, Chief Product and Technology Officer von CoreView
Mit Kali365 ist laut FBI eine neue Phishing-Plattform aktiv, die Unternehmen mit Microsoft-365-Umgebungen ins Visier nimmt. Anders als bei klassischen Phishing-Angriffen zielen die Täter nicht auf die Erbeutung von Passwörtern ab. Stattdessen kapern sie OAuth-Tokens und verschaffen sich dadurch Zugriff auf Unternehmenskonten, ohne Anmeldedaten stehlen zu müssen.
Die seit April 2026 aktive Plattform wird als Phishing-as-a-Service angeboten und umfasst unter anderem KI-generierte Phishing-Vorlagen, automatisierte Kampagnen-Tools sowie Dashboards für die Echtzeitüberwachung von Angriffen. Vertrieben wird der Dienst über Telegram im Abonnementmodell.
Der Angriff beginnt mit einer Phishing-E-Mail, die scheinbar von einem vertrauenswürdigen Cloud-Dienst stammt. Das Opfer wird aufgefordert, einen Gerätecode auf einer legitimen Microsoft-Seite einzugeben. Dadurch autorisiert es unbewusst ein von den Angreifern kontrolliertes Gerät.
Auf diese Weise gelangen die Täter an OAuth-Access- und Refresh-Tokens, die ihnen einen dauerhaften Zugriff auf Microsoft-365-Dienste wie Outlook, Teams und OneDrive ermöglichen. Da die Anmeldung über autorisierte Tokens erfolgt, sind weder Passwortdiebstahl noch weitere MFA-Abfragen erforderlich.
Andrea Sivieri, Chief Product and Technology Officer von CoreView, sieht darin eine Entwicklung, die Unternehmen bereits seit Monaten beobachten.
„Die Warnung des FBI zu Kali365 bestätigt ein Muster, das wir seit Monaten in Microsoft-365-Umgebungen von Unternehmen beobachten. Angreifer brechen nicht mehr ein, sondern loggen sich ein. Sie nutzen dabei Funktionen, die Microsoft für legitime Zwecke entwickelt hat.“
Nach Einschätzung von Sivieri liegt eine zentrale Herausforderung darin, dass viele Unternehmen den sogenannten Geräte-Code-Flow nicht blockieren. Zwar könne dies über Richtlinien für den bedingten Zugriff erfolgen, in der Praxis scheiterten viele Organisationen jedoch an der Komplexität ihrer gewachsenen Microsoft-365-Umgebungen.
„Es gibt einen Grund, warum die meisten Unternehmen dies nicht getan haben und hiervor zurückschrecken: Der bedingte Zugriff in einem Tenant besteht in aller Regel aus einer Vielzahl von Richtlinien, die im Laufe von mehreren Jahren von etlichen verschiedenen Personen bearbeitet wurden“,
erklärt Sivieri. Oft sei unklar, welche Auswirkungen Änderungen auf bestehende Prozesse hätten. Die Folge: Potenzielle Angriffswege bleiben offen.
Für Unternehmen liefert Kali365 nach Ansicht des CoreView-Managers eine wichtige Erkenntnis.
„Die Lehre aus Kali365 lautet: Der nächste bedeutende Sicherheitsvorfall wird nicht damit beginnen, dass ein Hacker eine Schwachstelle ausnutzt. Der nächste bedeutende Sicherheitsvorfall wird damit beginnen, dass ein Mitarbeitender sehr höflich gebeten wird, eine legitime Aktion innerhalb eines legitimen Microsoft-Produkts durchzuführen.“
Die wirksamste Gegenmaßnahme sieht Sivieri daher nicht allein in zusätzlicher Sicherheitstechnologie. Entscheidend seien vielmehr die konsequente Überprüfung bestehender Sicherheitsrichtlinien sowie Transparenz darüber, welche Änderungen innerhalb der Microsoft-365-Umgebung vorgenommen werden. „Die Lösung liegt nicht in besserer Technologie, sondern in einer konsequenten Überprüfung von Sicherheitsrichtlinien und einer Echtzeit-Transparenz darüber, was innerhalb des Tenants verändert wird.“
