Nachrichten, Betrugsfälle

Das Phishing-Kit „Kali365“ umgeht die MFA und stiehlt Microsoft-Anmeldedaten

von Pieter Arntz | 27. Mai 2026
Phishing in großem Stil

Wenn das Federal büro Investigation (FBI) eine spezielle öffentliche Warnmeldung zu einem neuen Phishing-Kit veröffentlicht, sollte man darauf achten.

Die Behörde warnt nun vor „Kali365“, einer Phishing-as-a-Service-Plattform (PhaaS), die es selbst unerfahrenen Angreifern ermöglicht, Microsoft 365-Konten zu kapern, indem sie Zugriffstoken anstelle von Passwörtern stehlen.

Auch wenn sich die ersten Berichte auf Angriffe auf Unternehmen konzentrieren, funktioniert die zugrunde liegende Technik genauso gut bei einzelnen Microsoft 365-Nutzern, die dazu verleitet werden, einen kurzen Code auf einer echten Microsoft-Website einzugeben. Mit anderen Worten: Dies ist nicht nur ein Problem für Unternehmen oder IT-Abteilungen. Es könnte jeden betreffen, der über ein Outlook-, OneDrive- oder Microsoft 365-Abonnement verfügt.

Für Cyberkriminelle, die dieses Toolkit nutzen, bietet es drei klare Vorteile:

  • Es umgeht die Multi-Faktor-Authentifizierung (MFA), indem es Zugriffstoken stiehlt; sobald das Token kompromittiert ist, nützen zusätzliche Codes oder Apps daher nichts mehr.
  • Kali365 ermöglicht einen dauerhaften Zugriff. Die Angreifer können Outlook, Teams und OneDrive weiterhin nutzen, ohne sich immer wieder anmelden zu müssen, solange das gestohlene Aktualisierungstoken gültig bleibt.
  • Es sind kaum technische Kenntnisse erforderlich. Cyberkriminelle können sich bei Kali365 anmelden und sofort groß angelegte Kampagnen zum Diebstahl von Zugangsdaten starten.

Wie sieht der Angriff aus?

Die Opfer erhalten eine Phishing-Nachricht, die so aussieht, als stamme sie von einem Cloud-Dienst oder einem Tool für die Zusammenarbeit, beispielsweise eine Benachrichtigung zur Freigabe eines Dokuments oder Teams . Die Nachricht enthält einen kurzen „Gerätecode“ und Anweisungen wie: „Rufen Sie die Bestätigungsseite von Microsoft auf und geben Sie diesen Code ein, um das Dokument anzuzeigen.“

Betrug oder seriös? Scam Guard weiß es.

Im Gegensatz zu vielen Phishing-E-Mails leitet diese Sie auf eine echte Microsoft-URL weiter, die für die Anmeldung auf Geräten verwendet wird. Für den Nutzer sieht die Seite vertraut und vollkommen seriös aus, was das Misstrauen mindert.

Die Opfer sehen dann die üblichen Anmelde- und Einwilligungsbildschirme von Microsoft und glauben möglicherweise, dass sie lediglich eine normale Sicherheitsüberprüfung durchführen. Sie sehen zu keinem Zeitpunkt eine gefälschte Seite, geben ihr Passwort niemals in ein verdächtiges Formular ein und sehen möglicherweise sogar das Branding ihrer Organisation.

Was ihnen jedoch nicht bewusst ist: Sie haben dem Angreifer damit Zugang gewährt.

Sobald das Opfer die Anfrage genehmigt hat, erhält das Gerät des Angreifers OAuth- Zugriff s- und Aktualisierungstoken, die mit dem Microsoft 365-Konto des Opfers verknüpft sind. Anhand dieser Token „merkt“ sich Microsoft, dass Sie bereits angemeldet sind, und sie können wiederverwendet werden, um auf Outlook, OneDrive, Teams und andere Microsoft-Dienste zuzugreifen, ohne dass erneut ein Passwort eingegeben werden muss.

Mit gültigen Aktualisierungstoken können Angreifer langfristigen Zugriff aufrechterhalten, bis die Token widerrufen werden oder ablaufen, wobei sie sich oft in die normale Kontoaktivität einfügen.

Dieser Zugriff kann es Cyberkriminellen ermöglichen,

  • Outlook-E-Mails lesen, einschließlich Nachrichten zur Passwortzurücksetzung
  • Auf Dateien zugreifen, die in OneDrive oder SharePoint gespeichert sind
  • Versenden Sie Phishing-E-Mails vom Konto des Opfers an Kollegen, Kunden, Freunde oder Familienangehörige

Wie Sie sich schützen können

Sobald sie sich Zugang zu Outlook verschafft haben, können Angreifer nicht nur Ihre Nachrichten lesen, sondern auch überzeugende neue Nachrichten von Ihrer Adresse aus versenden und dabei Ihre Identität nutzen, um weitere Konten und Kontakte zu kompromittieren.

Ein paar Tipps, wie man das vermeiden kann:

  • Geben Sie niemals einen Code auf einer Microsoft-Anmeldeseite ein, nur weil Sie in einer E-Mail oder Nachricht dazu aufgefordert werden. Sie sollten dies nur tun, wenn Sie die Anmeldung selbst auf Ihrem eigenen Gerät initiiert haben.
  • Nehmen Sie sich Zeit und lesen Sie die Anweisungen durch. Es kann teuer werden, wenn man Anmeldebestätigungen überfliegt, ohne sie sorgfältig zu lesen.
  • Seien Sie misstrauisch gegenüber unerwarteten Dokumentenfreigaben, Teams oder Anmeldeaufforderungen, auch wenn dabei legitime Microsoft-Seiten verwendet werden.
  • Überprüfen Sie unter https://account.microsoft.com/devices/, welche Geräte bei Ihrem Konto angemeldet sind. Wenn Sie unbekannte Geräte oder Anmeldungen sehen, entfernen Sie diese, ändern Sie das Passwort Ihres Microsoft-Kontos und überprüfen Sie Ihre Sicherheitseinstellungen.

Profi-Tipp: Mit Malwarebytes Guardkannst du herausfinden, ob es sich bei einer Nachricht um einen Betrugsversuch handelt.

Seien wir ehrlich: Ein Inkognito-Fenster hat seine Grenzen.

Datenlecks, Handel im Dark Web, Kreditbetrug. Malwarebytes Identity Theft überwacht all das, benachrichtigt Sie umgehend und beinhaltet eine Versicherung gegen Identitätsdiebstahl. 

Über den Autor

Pieter Arntz

Pieter Arntz

Malware-Forscher

War 12 Jahre in Folge Microsoft MVP im Bereich Verbrauchersicherheit. Spricht vier Sprachen. Riecht nach edlem Mahagoni und ledergebundenen Büchern.

NEUESTE ARTIKEL

Nachrichten
Handy auf dem Tisch

Das Unternehmen prahlte damit, dass die Mikrofone der Telefone Gespräche mithören könnten. Das konnten sie aber nicht.

Mai 27, 2026

Cox Media gab an, Nutzer über ihre Geräte ausspionieren und die Informationen für gezielte Werbung nutzen zu können – nur dass das nicht stimmte.

Privacy
LinkedIn

Gefälschte LinkedIn nutzen Adobe aus, um Opfer aufzuspüren

Mai 27, 2026

Phisher stehlen LinkedIn , indem sie Adobe Target missbrauchen, um ihre Opfer aufzuspüren und sie auf echte LinkedIn umzuleiten.

Wanzen
ClickFix imitiert Windows

Über 700 Bildungs- und Technologie-Websites im Rahmen einer groß angelegten ClickFix-Malware-Kampagne gekapert

Mai 26, 2026

Hackers eine Sicherheitslücke in einer Ghost-CMS-Website Hackers , um gefälschte Cloudflare-Verifizierungsseiten anzuzeigen, die Nutzer dazu drängen, ihre eigenen PCs zu infizieren.

Verwandte Artikel

Symbol für Mitwirkende

Mitwirkende

Symbol für das Bedrohungszentrum

Bedrohungszentrum

Podcasts-Symbol

Podcast

Glossar-Symbol

Glossar

Symbol für Betrug

Betrug