Das FBI schlägt Alarm.
Das Federal Bureau of Investigation hat eine dringende Warnung zu einer hochentwickelten Phishing-as-a-Service-Plattform namens Kali365 herausgegeben. In einer Mitteilung vom 21. Mai 2026 beschreiben die Ermittler, wie der Dienst legitime Microsoft-Authentifizierungsprozesse missbraucht, um die Mehrfaktor-Authentifizierung (MFA) zu umgehen. Parallel dazu wurde bekannt, dass eine monatelange Spam-Kampagne eine interne Microsoft-Benachrichtigungsadresse ausgenutzt hat, um Sicherheitsfilter zu umgehen.
Diese Vorfälle markieren eine Phase erhöhter Aktivität gegen Cloud-Produktivitätsumgebungen. Kriminelle Akteure verlagern sich zunehmend vom reinen Passwortdiebstahl zur Übernahme von Sitzungstokens. Unternehmen stehen vor einer Welle automatisierter, KI-gestützter Kampagnen, die auf dauerhaften Zugriff auf sensible Daten in Outlook, Teams und OneDrive abzielen.
Da herkömmliche Passwörter und selbst einfache MFA-Verfahren zunehmend durch Methoden wie Token-Diebstahl umgangen werden, ist ein moderner Schutz Ihrer Konten unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie mit Passkeys eine unknackbare Alternative bei Microsoft, Amazon und Co. einrichten. Passkeys als sichere Alternative jetzt kostenlos entdecken
So funktioniert die Angriffsmethode
Die Kali365-Plattform tauchte erstmals im April 2026 auf und wird hauptsächlich über verschlüsselte Kanäle auf Telegram vertrieben. Laut FBI und den Sicherheitsfirmen Arctic Wolf und Proofpoint arbeitet der Dienst mit einer abgestuften kommerziellen Struktur aus Administratoren, Agenten und Kunden. Die Abonnementkosten liegen zwischen umgerechnet rund 230 Euro für 30 Tage und etwa 1.850 Euro für ein Jahresabo.
Der entscheidende Trick: Kali365 missbraucht den OAuth-2.0-Geräteautorisierungsfluss. Ein Ziel erhält eine E-Mail, die wie eine Standard-Benachrichtigung eines Cloud-Dienstes aussieht. Statt eines klassischen schädlichen Links enthält die Nachricht einen Gerätecode und verweist auf eine legitime Microsoft-Verifizierungsseite. Gibt das Opfer den Code auf dem offiziellen Portal ein, gewährt es dem Angreifer unwissentlich ein OAuth-Token. Dieses Token umgeht MFA und Passwörter komplett – der Täter hat direkten Zugriff auf das Konto.
Die Kampagne hat bereits Hunderte Organisationen in Branchen wie Fertigung, Bildung, Gesundheitswesen und Behörden getroffen, mit Schwerpunkt in Nordamerika und Europa. Die Plattform unterstützt 14 Sprachen und bietet 34 verschiedene Designvorlagen. KI-generierte Köder erhöhen die Erfolgswahrscheinlichkeit. Nach einem Einbruch legen Angreifer oft Postfachregeln an, um Sicherheitswarnungen zu verstecken, und registrieren Zweitgeräte für dauerhaften Zugriff.
Interne Sicherheitslücken bei Microsoft
Parallel zur Kali365-Bedrohung kämpft Microsoft mit einer Schwachstelle in der eigenen Benachrichtigungsinfrastruktur. Berichte vom 21. Mai 2026 enthüllten eine monatelange Spam-Kampagne, die die offizielle Microsoft-Benachrichtigungsadresse msonlineservicesteam@microsoftonline.com nutzte. Die Absender-Reputation der echten Microsoft-Domain war so hoch, dass die betrügerischen Nachrichten herkömmliche Spam-Filter umgehen konnten.
Microsoft-Sprecherin Emelia Katon erklärte, das Unternehmen untersuche den Vorfall aktiv, entferne die betrügerischen Konten und arbeite daran, die Sicherheitslücke zu schließen. Die Angreifer hatten zahlreiche neue Konten erstellt, um die Angriffswelle aufrechtzuerhalten.
Phishing-Angriffe werden immer raffinierter und nutzen psychologische Manipulationstaktiken, gegen die technische Filter oft machtlos sind. In diesem kostenlosen Anti-Phishing-Paket erfahren Unternehmen, wie sie ihre Mitarbeiter effektiv schulen und Sicherheitslücken schließen können. Kostenloses Anti-Phishing-Paket für Unternehmen anfordern
Erst Anfang Mai 2026 hatte Microsoft eine Phishing-Welle gemeldet, die angebliche „Verhaltenskodex“-Verstöße thematisierte. Diese Kampagne traf over 35.000 Nutzer in 13.000 Organisationen in 26 Ländern – 92 Prozent der Ziele befanden sich in den USA. Branchenanalysten von Paubox stellten zudem fest, dass inzwischen über 50 Prozent der E-Mail-Sicherheitsvorfälle im Gesundheitswesen Microsoft-365-Umgebungen betreffen.
Erfolg gegen Malware-Signierungsnetzwerke
Einen bedeutenden Erfolg konnte Microsofts Digital Crimes Unit (DCU) im Mai 2026 verbuchen. In Zusammenarbeit mit Resecurity gelang die Zerschlagung eines großen Netzwerks namens Fox Tempest, das auf die Signierung von Schadsoftware spezialisiert war. Die Gruppe missbrauchte Microsofts Artifact-Signing-Dienst, um gefälschte Code-Signaturzertifikate zu erstellen. Diese Zertifikate mit einer typischen Gültigkeit von 72 Stunden ließen Schadsoftware für Betriebssysteme wie legitime Software erscheinen.
Fox Tempest nutzte gestohlene Identitäten aus den USA und Kanada, um Hunderte Azure-Tenants zu registrieren. Die Gruppe verlangte zwischen 4.600 und 8.300 Euro für ihre Dienste und stellte vorkonfigurierte virtuelle Maschinen zur Automatisierung bereit. Diese Infrastruktur ermöglichte Ransomware- und Schadsoftware-Varianten wie Rhysida, Lumma Stealer und Vidar. Microsoft bestätigt, dass nach der Operation mehr als 1.000 betrügerische Zertifikate widerrufen wurden.
Bedrohung durch gestohlene Berechtigungen
Die Analyse von Microsoft Threat Intelligence vom 25. Mai 2026 identifizierte eine weitere hochentwickelte Bedrohungsgruppe namens Storm-2949. Diese Gruppe konzentrierte sich auf den Missbrauch von Azure-RBAC-Berechtigungen (Role-Based Access Control). Durch Social Engineering und Ausnutzung der Self-Service-Passwortzurücksetzung konnten die Angreifer Nutzer und Rollen über die Graph-API auslesen. In einem dokumentierten Fall extrahierte die Gruppe Geheimnisse aus einem Azure Key Vault in nur vier Minuten – ein Beleg dafür, wie schnell falsch konfigurierte Cloud-Berechtigungen ausgenutzt werden können.
Hintergrund: Die Entwicklung der Cyberkriminalität
Die aktuelle Welle von Sicherheitsproblemen spiegelt eine grundlegende Entwicklung der Cyberkriminalität wider. Der Microsoft Digital Defense Report 2025 verzeichnete einen Anstang von identitätsbasierten Angriffen um 32 Prozent. Analysten von Proofpoint beobachten, dass Gerätecode-Phishing seit Ende 2025 „explodiert“ – was ursprünglich von staatlich gesteuerten Akteuren genutzt wurde, ist heute bei allgemeinen kriminellen Gruppen angekommen.
Tools wie EvilTokens und Tycoon2FA haben sich neben Kali365 etabliert und standardisieren den Diebstahl von Sitzungstokens. Das Scareware-Kit CypherLoc wurde in einer Kampagne identifiziert, die seit Anfang 2026 rund 2,8 Millionen Angriffe verzeichnet. Diese Kampagne lockt Opfer über Phishing-Mails auf gefälschte Support-Seiten, wo sie schließlich mit falschen Microsoft-Support-Mitarbeitern verbunden werden.
Der Trend zu „Adversary-in-the-Middle“-Angriffen (AitM) und OAuth-Missbrauch ist eine taktische Reaktion auf die weit verbreitete Einführung von MFA. Da klassischer Passwortdiebstahl weniger effektiv wird, konzentrieren sich Angreifer auf den Diebstahl von Post-Authentifizierungs-Cookies und Tokens – diese gewähren Zugriff ohne Passwort oder zweiten Faktor.
Schutzmaßnahmen für Unternehmen
FBI und Microsoft empfehlen Unternehmen eine strenge Überprüfung der OAuth-Gerätecode-Nutzung. Viele Organisationen benötigen diese Funktion nicht für den täglichen Betrieb. Das FBI rät, sie wo möglich über Conditional-Access-Richtlinien komplett zu blockieren.
Die wichtigsten empfohlenen Sicherheitsmaßnahmen:
- Einschränkung der Gerätecode-Authentifizierung auf bestimmte, verifizierte Benutzergruppen
- Prüfung der aktuellen Nutzung von Gerätecode-Flows auf anomale Muster
- Blockierung von Authentifizierungsübertragungsrichtlinien, die Sitzungstokens zwischen Geräten verschieben
- Verkürzung der Lebensdauer von Zugriffs- und Aktualisierungstokens, um das Zeitfenster für Angreifer zu minimieren
- Implementierung phishing-resistenter MFA wie FIDO2-konformer Sicherheitsschlüssel
Solange Angreifer KI-gestützte Köder und interne Benachrichtigungslücken verfeinern, bleibt der Fokus auf identitätszentrierter Verteidigung entscheidend. Die Überwachung von OAuth-Zustimmungsaktivitäten und die Durchsetzung von „Purge Protection“ in Cloud-Key-Vaults werden zum Standard für eine widerstandsfähige Sicherheitsarchitektur.
