Das FBI warnt vor Kali365, einer Phishing-as-a-Service-Plattform die seit April 2026 gezielt Microsoft-365-Umgebungen angreift. Die Plattform missbraucht den legitimen OAuth Device Code Flow und umgeht MFA, ohne eine einzige Sicherheitslücke auszunutzen. Ab 250 Dollar monatlich sind keine technischen Kenntnisse erforderlich.
Das FBI warnt: Kali365 missbraucht den legitimen OAuth Device Code Flow um MFA zu umgehen. Nutzer autorisieren Angreifer unwissentlich auf echter Microsoft-Seite.
(Bild: Dall-E / KI-generiert)
Unternehmen investieren jährlich Millionen in Multifaktor-Authentifizierung. Und doch gibt es einen Angriff, der an MFA schlicht vorbeiläuft, ohne eine einzige Sicherheitslücke auszunutzen. Das FBI hat im Mai 2026 eine Warnung zu Kali365 herausgegeben. Die Phishing-as-a-Service-Plattform (PhaaS) ist seit April 2026 aktiv und kompromittiert gezielt Microsoft-365-Umgebungen. Dabei stehlen die Angreifer keine Passwörter, knacken keine Authentifikatoren und fälschen keine Login-Seiten. Sie missbrauchen stattdessen einen Mechanismus, den Microsoft selbst für legitime Zwecke entwickelt hat: den OAuth-Geräte-Code-Flow.
Der OAuth-2.0-Device-Authorization-Grant-Flow wurde ursprünglich für Geräte wie Smart-TVs, Drucker oder IoT-Sensoren entwickelt, die über keine vollwertige Tastatur oder keinen Browser verfügen: Das Gerät generiert einen kurzen Code und fordert den Nutzer auf, diesen auf einer separaten, echten Microsoft-Website einzugeben. Sobald der Code dort autorisiert wird, erhält das anfragende Gerät Zugriff auf das entsprechende Microsoft-Konto.
Kali365 dreht diesen Ablauf für kriminelle Zwecke um. Anstelle eines Smart-TVs ist es ein Rechner der Angreifer, der den Code generiert. Die Cyberkriminellen senden diesen Code per Phishing-Mail, etwa als vermeintliche Benachrichtigung eines Cloud-Dienstes, an das Opfer. Dieses klickt auf den enthaltenen Link, landet auf einer echten Microsoft-Seite, gibt den Code ein und klickt auf „Genehmigen“. In diesem Moment hat es unwissentlich das Gerät des Angreifers für den Zugriff auf sein Microsoft-365-Konto autorisiert. Die Angreifer erlangen so OAuth-Access- und Refresh-Tokens und somit dauerhaften Zugriff auf den Microsoft-365-Account des Opfers inklusive Outlook, Teams und OneDrive. Und das ganz ohne Passwort und weitere MFA-Abfragen.
Kali365 wird über Telegram als vollständig gemanagte Dienstleistung vertrieben. Die Preise belaufen sich dabei auf 250 US-Dollar monatlich pro Ziel-Tenant oder 2.000 US-Dollar im Jahresabonnement. Technische Kenntnisse sind nicht erforderlich. Abonnenten erhalten Zugang zu KI-generierten Phishing-Vorlagen, automatisierten Kampagnen-Tools und Echtzeit-Dashboards zur Überwachung von Angriffen.
Diese niedrige Einstiegshürde zeigt Wirkung: Sicherheitsfirmen wie Arctic Wolf und Proofpoint haben bereits im April 2026 Hunderte von Kali365-Angriffen dokumentiert. Betroffen waren Organisationen aus dem Fertigungssektor, dem Gesundheitswesen, Bildungseinrichtungen, Behörden sowie Finanz- und Versicherungsdienstleister in Nordamerika und Europa. Der gemeinsame Nenner all dieser Opfer: Sie hatten MFA aktiviert.
Problem liegt nicht in der Technologie
Die Empfehlung des FBI ist technisch klar: Der Device-Code-Flow lässt sich über Conditional-Access-Richtlinien in Microsoft Entra ID blockieren. Für viele Unternehmen ist das jedoch leichter gesagt als getan. Andrea Sivieri, Chief Product and Technology Officer bei CoreView, einem Spezialisten für Microsoft-365-Tenant-Sicherheit, weist auf ein strukturelles Dilemma hin: „Der bedingte Zugriff in einem Tenant besteht in aller Regel aus einer Vielzahl von Richtlinien, die im Laufe von mehreren Jahren von etlichen verschiedenen Personen bearbeitet wurden. Niemand weiß so recht, welche Funktionen durch die Blockierung eines einzelnen Flows beeinträchtigt werden könnten. Also bleibt die Richtlinie offen. Und die Angreifer haben weiterhin leichtes Spiel.“
Selbst wer die Warnung ernst nimmt, steht so vor einem Komplexitätsproblem. Conditional-Access-Policies wachsen in Unternehmen organisch über Jahre, werden selten vollständig dokumentiert und noch seltener auf Abhängigkeiten geprüft. Eine einzelne Änderung kann unvorhergesehene Nebeneffekte auslösen. Dies führt letztlich dazu, dass viele Administratoren riskante Einstellungen lieber aktiv lassen, als einen Ausfall zu riskieren.
MFA kein Allheilmittel
Kali365 steht symptomatisch für einen Paradigmenwechsel in der Angriffstechnik. Cyberkriminelle brechen nicht mehr ein, sie loggen sich ein. Der Device-Code-Flow ist dabei nur das jüngste Beispiel einer ganzen Reihe von Techniken, die nicht Schwachstellen ausnutzen, sondern legitime Funktionen. Die Multi-Faktor-Authentifizierung scheitert hier nicht an einer technischen Lücke, sondern daran, dass der Nutzer selbst auf einer echten Microsoft-Seite die Angreifer einlässt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
So sieht es auch Andrea Sivieri: „Der nächste bedeutende Sicherheitsvorfall wird nicht damit beginnen, dass ein Hacker eine Schwachstelle ausnutzt. Er wird damit beginnen, dass ein Mitarbeitender sehr höflich gebeten wird, eine legitime Aktion innerhalb eines legitimen Microsoft-Produkts durchzuführen. Die Lösung liegt nicht in besserer Technologie, sondern in einer konsequenten Überprüfung von Sicherheitsrichtlinien und einer Echtzeit-Transparenz darüber, was innerhalb des Tenants verändert wird.“
Entsprechend sollten Unternehmen, die Microsoft 365 betreiben, drei Maßnahmen vorrangig prüfen:
1. Bestandsaufnahme bestehender Conditional-Access-Policies und deren tatsächliche Abdeckung
2. Gezielte Einschränkung oder vollständige Blockierung des Device-Code-Flows für alle Nutzer ohne nachgewiesenen Bedarf
3. Aufbau einer Echtzeit-Transparenz über Konfigurationszustände und aktive Sessions im Tenant, denn was nicht sichtbar ist, kann auch nicht verteidigt werden.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/33/ed/33edaf32cea5c2a27807d46be06a48d9/0131662547v1.jpeg "Das FBI warnt: Kali365 missbraucht den legitimen OAuth Device Code Flow um MFA zu umgehen. Nutzer autorisieren Angreifer unwissentlich auf echter Microsoft-Seite. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/de/7e/de7e4e18a87f91a95d2d636e1cbfff48/0131661724v3.jpeg "CVE-2026-45659 erlaubt Remotecodeausführung auf SharePoint-Servern mit einfachem Benutzerkonto. Microsoft hat Updates für drei Versionen bereitgestellt. (Bild: © MT.PHOTOSTOCK - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/40/bd/40bdbdca63096f1e025c7966da46e965/0131634412v2.jpeg "Ein Null-Byte im Hostnamen umgeht die Netzwerk-Allowlist von Anthropics Claude Code. In Kombination mit Prompt Injection ermöglicht der Bypass Datenabfluss. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e2/19/e219fa017340d60b8be01c103b884af0/0131550436v1.jpeg "Strategie, Governance und Sicherheit sind notwendige Leitplanken für die KI-Transformation eines Unternehmens. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b1/7f/b17f03bc089f2d895c95a746beb68318/0131662291v2.jpeg "Data Lineage macht sichtbar, wohin Daten wirklich fließen. Mit dem Vormarsch autonomer KI-Agenten wird Nachverfolgbarkeit zur operativen Notwendigkeit für Sicherheitsteams. (Bild: © Natalia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e1/d5/e1d556ba48e0ffa97941d48bf14c109d/0131002676v1.jpeg "Artesca+ Veeam HA kombiniert die Veeam Software Appliance v13 HA mit Artesca-HA auf Speicherebene und automatisiertem Failover – für durchgängige Ausfallsicherheit im gesamten Backup-Stack. (Bild: Scality)")
:quality(80)/p7i.vogel.de/wcms/b7/a2/b7a22f7118a608d260e239c11954fe2c/0131612860v2.jpeg "Am 12. Januar 2027 verlieren Windows Server 2016 und Windows 10 LTSC 2021 ihre Updateversorgung. Offene Schwachstellen bleiben danach dauerhaft ungepatcht. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/cd/d9cd0e458b481c15705a0f88d7c9d47d/0131534090v2.jpeg "Browser-Sicherheit bedeutet mehr als sicheres Surfen. Es geht darum, Arbeitsprozesse im Browser abzusichern und geschäftskritische Abläufe zu schützen. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ac/44/ac44392808d6b416be95612c000c9f06/0131633869v2.jpeg "Über 700 manipulierte Git-Tags schleusen einen Credential-Stealer in Laravel-Lang-Pakete. Die Schadroutine startet automatisch und stiehlt Cloud-, Browser- und Vault-Daten. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b3/63/b363742bedc517d975030360caab8ef6/0131643019v2.jpeg "KI-Agenten brauchen Secrets für jeden Prozess und erweitern damit die Angriffsfläche. Dynamisches Secrets Management mit kurzlebigen Credentials minimiert dieses Risiko. (Bild: © Arnab Dey - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cd/6f/cd6f731c0ed680d9d410827b6c3df012/0131361357v1.jpeg "2025 gab es viele Themen und Aufgaben, die die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit beschäftigt haben. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8c/5b/8c5bed1fb7144d467acb162e193e0a6a/0131538614v2.jpeg "Martin Talian, ESET Chief Corporate Solutions Office und Radmila Šekerinska, NATO Deputy Secretary General (Bild: Eset)")
:quality(80)/p7i.vogel.de/wcms/38/73/38736859f3bbd53b9fc6edcc8f372f1a/0131559499v1.jpeg "Der ATHENE Startup Award UP26@it-sa richtet sich an junge Cybersecurity- und Datenschutz-Startups aus Deutschland, Österreich und der Schweiz. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/e7/dce7048477ac2b6f9d1411475c2fef78/0131183563v1.jpeg "Malware wie Viren, Würmer und Trojaner ist Software, die nur für den Zweck erzeugt wird, Schaden anzurichten. (Bild: Olemedia via Getty Images Signature)")
:quality(80)/p7i.vogel.de/wcms/a3/7d/a37d1d1261dbe550bbc86876a966b983/0131028980v1.jpeg "Netzwerke brauchen besonderen Schutz. Dieser Schutz muss für interne und externe Verbindungen, z.B. mit mobilen Geräten und Cloud-Services, sichergestellt sein. (Bild: Pixabay / CC0 )")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/ec/8d/ec8daa15d4147e65fa4d61dd1574caa9/0123286635v2.jpeg "Klassische Phishing-Methoden verlieren durch moderne Schutzmethoden zunehmend an Wirkung. Mit Device Code Phishing umgehen Angreifer allerdings viele dieser Schutzmaßnahmen. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/79/7979624f016e7e6caa1e5ca39184c625/0127749320v2.jpeg "KI verändert die Angriffstaktiken: Gezielte Phishing-Mails und manipulierte OAuth-Anmeldungen ermöglichen den Zugriff auf Microsoft-365- und Azure-Konten. (Bild: © Art_spiral - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/38/35/383586af1f2bafa3a5336beeb6d1156a/0123011186v2.jpeg "Hacker entwickeln ihre Techniken stetig weiter, um an den modernen Sicherheitsmechanismen wie Mehrfaktor-Authentifizierung (MFA) vorbeizukommen. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/28/fb/28fbd4b66d5a6547362c2c784d852934/0130549494v2.jpeg "Cyberkriminelle hebeln MFA über gefälschte SSO-Portale mit dem MitM-Framework Evilginx aus. Mindestens 18 US-Universitäten wurden seit April 2025 attackiert. (Bild: © kucherav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/70/69/706919d52afdacaf2f0673e1f2be027b/0125969613v2.jpeg "Cyberkriminelle erstellen täuschend echte Microsoft-365-Anwendungen, die populäre Dienste wie RingCentral, SharePoint, Adobe oder DocuSign imitieren und auf scheinbar legitime OAuth-Autorisierungsseiten führen. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/79/7979624f016e7e6caa1e5ca39184c625/0127749320v2.jpeg "KI verändert die Angriffstaktiken: Gezielte Phishing-Mails und manipulierte OAuth-Anmeldungen ermöglichen den Zugriff auf Microsoft-365- und Azure-Konten. (Bild: © Art_spiral - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/70/69/706919d52afdacaf2f0673e1f2be027b/0125969613v2.jpeg "Cyberkriminelle erstellen täuschend echte Microsoft-365-Anwendungen, die populäre Dienste wie RingCentral, SharePoint, Adobe oder DocuSign imitieren und auf scheinbar legitime OAuth-Autorisierungsseiten führen. (Bild: © Pakin - stock.adobe.com)")