Seit April 2026 ist die Phishing-as-a-Service (PhaaS)-Plattform Kali365 aktiv – und sie wird immer gefährlicher. Ursprünglich auf Microsoft 365 ausgerichtet, greift die Bande nun eine ganze Reihe von Unternehmens- und Verbraucherdiensten an. Das geht aus aktuellen Sicherheitsanalysen hervor, die am Donnerstag veröffentlicht wurden.
Rekord-Schäden durch Phishing zeigen, wie professionell Hacker heute vorgehen und sogar die Mehrfaktor-Authentifizierung umgehen. In diesem kostenlosen Anti-Phishing-Paket erfahren Sie in 4 Schritten, wie Sie Ihr Unternehmen wirksam gegen moderne Angriffsmethoden absichern. Kostenlosen Leitfaden zur Hacker-Abwehr herunterladen
Im Visier der Hacker stehen unter anderem Okta Single Sign-On (SSO), der Messenger MAX, Xerox DocuShare sowie Cloud- und Mailanbieter wie AWS, GMX und Yandex Disk. Die Angriffe laufen auf Hochtouren.
So umgehen die Hacker die Zwei-Faktor-Authentifizierung
Das Herzstück von Kali365 ist der Missbrauch des OAuth 2.0 Device Authorization Flow – eine Methode, die als „Device-Code-Phishing“ bekannt ist. Sie erlaubt es Angreifern, die Mehrfaktor-Authentifizierung (MFA) zu umgehen, ohne dass sie das Passwort des Opfers benötigen.
Der Trick: Das Phishing-Kit generiert einen legitimen Gerätecode und fordert das Opfer auf, diesen auf einer echten Microsoft- oder Drittanbieter-Seite einzugeben. Da der Nutzer die Authentifizierung selbst auf einer vertrauenswürdigen Seite vornimmt, greifen die üblichen MFA-Schutzmechanismen nicht. Sobald das Opfer die Anfrage bestätigt, fängt die Kali365-Plattform die Zugriffstoken ab. Die Angreifer können sich so dauerhaft im kompromittierten Account einnisten.
Das FBI hatte bereits im Mai 2026 vor genau dieser Methode gewarnt – mit besonderem Hinweis auf die Risiken für Nutzer von Outlook, Teams und OneDrive.
126 Server und ein Bot für gestohlene Daten
Die Cybersicherheitsexperten von Arctic Wolf haben eine beeindruckende Infrastruktur hinter den Angriffen identifiziert: ein Cluster aus 126 Hosts. Die Kommandozentrale (C2) liegt auf panel[.]securehubcloud[.]com. Das PhaaS-Angebot wird über Telegram für umgerechnet rund 230 Euro pro Monat vermarktet – Bezahlung in Bitcoin.
Eine besonders perfide Kampagne zielt auf Nutzer des Messengers MAX ab, der rund 80 Millionen tägliche Nutzer zählt. Die Hacker locken ihre Opfer mit einer gefälschten Gewinnseite auf greatness-marketing[.]top. Die Phishing-Seite sammelt russische Telefonnummern, Einmalpasswörter (OTPs) und Zwei-Faktor-Codes. Die gestohlenen Daten werden dann über einen Telegram-Bot namens @NovosibyrskyMoneyBot abfließen.
Der Zeitpunkt ist kein Zufall: Erst am 3. Juni 2026 entfernte Apple den MAX Messenger aus seinem App Store. Die russische „Super-App“ des Staates verwendet keine Ende-zu-Ende-Verschlüsselung und speichert Daten in Russland. Während die russischen Behörden die Bürger zum Umstieg auf MAX drängen, hat Apples Schritt die Nutzerbasis verunsichert – ein ideales Umfeld für Phishing-Angriffe.
Dass Hacker gezielt psychologische Schwachstellen ausnutzen, um an sensible Daten zu gelangen, ist eine wachsende Gefahr für jede Belegschaft. Dieser neue Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen und zeigt, wie man betrügerische Manöver rechtzeitig entlarvt. Gratis-Report über psychologische Hacker-Tricks anfordern
Cybercrime auf Rekordniveau: 20 Milliarden Dollar Schaden
Die Kali365-Kampagne ist Teil eines besorgniserregenden Trends. Das FBI meldet für das Jahr 2025 einen Rekordschaden von 20,877 Milliarden US-Dollar (rund 19,3 Milliarden Euro) durch Cyberkriminalität in den USA – ein Anstieg von 26 Prozent im Vergleich zum Vorjahr. Die Behörde verzeichnete über eine Million Beschwerden.
Besonders alarmierend: Künstliche Intelligenz macht betrügerische Machenschaften schneller, billiger und überzeugender. Ältere Menschen ab 60 Jahren sind besonders betroffen – sie verloren 2025 gemeinsam rund 8 Milliarden Dollar.
So schützen sich Unternehmen
Um sich gegen Kali365 und ähnliche Device-Code-Angriffe zu wappnen, empfehlen Sicherheitsexperten:
- OAuth Device Authorization Flow überwachen oder einschränken
- Conditional Access Policies implementieren
- FIDO2-konforme Hardware-Sicherheitsschlüssel nutzen – sie sind resistent gegen Token-Diebstahl und MFA-Umgehung
- Bekannte C2-Domains wie
securehubcloudblockieren
Die Botschaft ist klar: Herkömmliche Passwort- und MFA-Lösungen reichen nicht mehr aus. Unternehmen müssen ihre Authentifizierungsprozesse grundlegend überdenken – oder riskieren, das nächste Opfer von Kali365 zu werden.
