Kali365: Wenn Phishing Ihre Microsoft-365-MFA aushebelt

Für Unternehmen, die täglich mit Outlook, Teams und OneDrive arbeiten, ist das ein Thema, das man nicht auf die lange Bank schieben sollte. Wir erklären, was dahintersteckt – und vor allem, was Sie konkret tun können.

Was ist Kali365?

Kali365 ist eine sogenannte Phishing-as-a-Service-Plattform (PhaaS) – ein kriminelles Abo-Modell, das erstmals im April 2026 beobachtet und über Telegram-Kanäle vertrieben wird. Berichten zufolge ist der Zugang bereits ab rund 250 US-Dollar für 30 Tage zu haben.

Das Tückische daran: Kali365 senkt die Einstiegshürde für Angreifer drastisch. Mitgeliefert werden laut FBI unter anderem:

• KI-generierte Phishing-Mails, die sauber formuliert und praktisch frei von den verräterischen Tippfehlern früherer Betrugsversuche sind
• fertige Vorlagen, die vertrauenswürdige Dienste wie SharePoint, DocuSign, Adobe oder Microsoft selbst imitieren
• ein Echtzeit-Dashboard, das anzeigt, welche Opfer bereits angebissen haben
• die automatische Erfassung der Zugangs-Tokens – der Teil, der die MFA aushebelt

Sicherheitsfirmen wie Proofpoint und Arctic Wolf haben allein im April 2026 hunderte Angriffe dokumentiert, quer durch Branchen wie Industrie, Bildung, Behörden, Versicherungen, Finanzwesen und Gesundheitswesen in Nordamerika und Europa. Bei jedem dieser Opfer war MFA aktiv.

Warum Ihre MFA hier nicht greift

Der Angriff missbraucht eine völlig legitime Microsoft-Funktion: den OAuth-Device-Code-Flow. Dieser Anmeldeweg existiert eigentlich für Geräte ohne komfortable Tastatur – etwa Smart-TVs oder Konferenzraum-Hardware –, bei denen man sich mit einem kurzen Code anmeldet.

So läuft der Angriff typischerweise ab:

1. Ein Mitarbeiter erhält eine überzeugende E-Mail, die wie eine Benachrichtigung von OneDrive, Teams oder einem Dokumentendienst aussieht.
2. Die Mail enthält einen Geräte-Code und einen Link zu einer echten Microsoft-Anmeldeseite. Genau das macht den Betrug so glaubwürdig: Die Seite ist nicht gefälscht.
3. Der Mitarbeiter gibt den Code ein und meldet sich – inklusive MFA – ganz normal an. Damit autorisiert er aber unwissentlich ein Gerät der Angreifer.
4. Die Angreifer fangen das OAuth-Zugriffs- und Refresh-Token ab. Dieses Token ist ein Nachweis, dass die Anmeldung samt MFA bereits erfolgreich war.

Ab diesem Moment haben die Angreifer Zugriff auf Outlook, Teams und OneDrive – und das oft über Wochen oder Monate hinweg, ohne dass jemals wieder eine MFA-Abfrage erscheint. Passwortänderungen helfen nur bedingt, solange die Tokens gültig bleiben.

Kurz gesagt: Klassische MFA schützt vor gestohlenen Passwörtern. Sie schützt nicht davor, dass jemand freiwillig den falschen Code an der richtigen Stelle eingibt.

Was auf dem Spiel steht

Ein gekapertes Microsoft-365-Konto bedeutet selten nur ein verlorenes Postfach. Angreifer nutzen den Zugang in der Regel weiter, etwa für:

• das Mitlesen und Versenden von E-Mails (z. B. für Rechnungsbetrug und CEO-Fraud aus einem echten Firmenkonto heraus)
• den Zugriff auf interne Chats, Dateien und Vertragsunterlagen in Teams und OneDrive
• das schrittweise Ausbreiten im Unternehmen über die kompromittierte Identität

Was Sie jetzt tun sollten

Die wirksamsten Maßnahmen lassen sich überwiegend mit Bordmitteln umsetzen, die in Ihren bestehenden Microsoft-365-Lizenzen meist schon enthalten sind. Das FBI und gängige Identity-Hardening-Empfehlungen nennen unter anderem:

1. Device-Code-Flow einschränken oder deaktivieren. Über eine Conditional-Access-Richtlinie in Microsoft Entra lässt sich der Device-Code-Anmeldeweg für alle Nutzer blockieren – mit eng definierten Ausnahmen nur dort, wo er wirklich gebraucht wird (etwa Konferenzraum-Hardware). Das ist die wirkungsvollste Einzelmaßnahme gegen diesen Angriff.
2. Bestehende Nutzung prüfen. Werten Sie zunächst Ihre Anmeldeprotokolle aus, um legitime Anwendungsfälle zu erkennen, und nehmen Sie streng kontrollierte Notfall-Administratorkonten ("break glass") aus, damit eine Fehlkonfiguration niemanden aussperrt.
3. Auf phishing-resistente MFA umstellen. FIDO2-Sicherheitsschlüssel oder Passkeys sind deutlich widerstandsfähiger gegen solche Angriffe als reine App- oder SMS-Codes.
4. Mitarbeiter sensibilisieren. Die wichtigste Faustregel: Microsoft-365-Dienste immer direkt über den Browser oder die offizielle App öffnen – niemals einen Code eingeben, nur weil eine E-Mail dazu auffordert. Verdächtige Nachrichten gehören an die IT gemeldet.
5. Aktive Sitzungen und Geräte überwachen. Prüfen Sie regelmäßig auf unbekannte Geräte und Sitzungen und ziehen Sie im Verdachtsfall ausgestellte Tokens zurück.