Das FBI hat eine dringende Warnung vor der Phishing-as-a-Service-Plattform Kali365 herausgegeben, die seit April 2026 täglich hunderte Microsoft-365-Konten kompromittiert. Die über Telegram vertriebene Dienstleistung umgeht gezielt mehrstufige Authentifizierungsverfahren (MFA) und richtet sich gegen Unternehmen und Organisationen weltweit.
Rekord-Schäden durch Phishing zeigen, wie verwundbar Unternehmen trotz Standard-Absicherung sind. Dieser kostenlose Leitfaden für Firmen aus Verwaltung, Handel und Produktion erklärt in 4 Schritten, wie Sie Phishing-Angriffe effektiv stoppen. Kostenloses Anti-Phishing-Paket jetzt herunterladen
Wie Kali365 die Zwei-Faktor-Authentifizierung aushebelt
Die Angreifer nutzen eine ausgeklügelte Methode: Statt Passwörter zu stehlen, manipulieren sie den sogenannten Device-Code-Login von Microsoft. Die Opfer erhalten Phishing-Mails mit einem legitim aussehenden Gerätecode und werden auf eine offizielle Microsoft-Autorisierungsseite geleitet. Gibt der Nutzer den Code dort ein, erhalten die Angreifer ein OAuth-Token – und damit dauerhaften Zugriff auf Outlook, Teams und OneDrive. Ein zweiter Authentifizierungsschritt wird nie ausgelöst.
Das Internet Crime Complaint Center (IC3) des FBI beziffert die Schäden durch Account-Übernahmen seit Januar 2025 auf über 262 Millionen Euro. Betroffen sind Branchen wie Gesundheitswesen, Bildung, Finanzen, Fertigung und Regierungsbehörden – in Nordamerika, Europa, Australien und dem Nahen Osten.
Schutzmaßnahmen für Unternehmen
Sicherheitsexperten empfehlen Unternehmen, Conditional-Access-Richtlinien zu implementieren, die den Device-Code-Flow blockieren oder stark einschränken. Weitere Maßnahmen: Überwachung der Anmeldeprotokolle auf verdächtige OAuth-Berechtigungen, Blockieren von Authentifizierungsübertragungen auf Mobilgeräte und der Ausschluss von Notfallkonten („Break-Glass“) aus restriktiven Richtlinien, um versehentliche Sperren zu vermeiden.
Meta AI und GitHub-Entwickler im Visier
Erst am 1. Juni 2026 schloss Meta eine Sicherheitslücke im Instagram-Support-Chatbot. Angreifer konnten die KI dazu bringen, die hinterlegte E-Mail-Adresse eines Kontos zu ändern und Passwörter zurückzusetzen – ohne Zugriff auf das ursprüngliche Postfach. Betroffen waren unter anderem Profile der US Space Force und eines ehemaligen Obama-Mitarbeiters.
Parallel dazu entdeckten Sicherheitsanalysten das Tool „GoIssue“, das speziell GitHub-Entwickler ins Visier nimmt. Für 700 bis 3.000 Euro auf dem Darknet extrahiert die Software E-Mail-Adressen aus öffentlichen Profilen für Massen-Phishing-Kampagnen. Ziel ist die Kompromittierung von Entwicklerkonten, um Lieferketten-Angriffe zu ermöglichen. Zeitgleich registrierten Forscher zwischen dem 20. und 29. Mai 2026 eine massive Welle bösartiger Pakete im npm-Registry, die AWS-Zugangsdaten und GitHub-Geheimnisse stehlen sollten.
Wandel in der Identitätssicherheit
Die Bedrohungslage verschärft sich rasant. Marktforscher von CrowdStrike verzeichnen einen Anstieg KI-gestützter Cyberangriffe um 89 Prozent im Jahresvergleich. Einige kriminelle Gruppen können Systeme in nur 27 Sekunden kompromittieren. Laut einer Studie von Flare stieg der Anteil von Malware-Logs mit Unternehmensdaten von 6 Prozent (Anfang 2024) auf 14 Prozent (Ende 2025). Microsoft-Entra-ID-Zugangsdaten fanden sich in fast 80 Prozent dieser Logs.
Microsoft reagiert: Der Konzern kündigte an, SMS-Login-Codes für private Konten auslaufen zu lassen. Grund ist die Anfälligkeit von SMS für SIM-Swapping und Phishing. Nutzer sollen auf sicherere Alternativen wie Passkeys, biometrische Verfahren oder die Microsoft Authenticator App umsteigen.
Da herkömmliche Passwörter und SMS-Codes zunehmend zur Sicherheitsfalle werden, setzen Experten auf moderne Alternativen wie Passkeys. Wie Sie diese Technologie bei Diensten wie Amazon oder WhatsApp einrichten und Hackerangriffe verhindern, zeigt dieser kostenlose Report. Gratis-Ratgeber: Passwortlos anmelden mit Passkeys
Erfolg gegen russische Cyber-Infrastruktur
Ein Lichtblick: Am 22. Mai 2026 beschlagnahmten niederländische Ermittler mehr als 800 Server der Firma WorkTitans B.V., die mit russischer Cyber-Infrastruktur in Verbindung stand. Die Aktion legte nach Angaben der Behörden mehrere staatlich unterstützte Gruppen lahm, die das Netzwerk für Spionage und Hintertür-Installationen nutzten.
