Das Federal Bureau of Investigation (FBI) hat am 21. Mai 2026 eine öffentliche Sicherheitswarnung zu einer neuen „Phishing-as-a-Service“-Plattform namens Kali365 veröffentlicht. Die Plattform ermöglicht es Cyberkriminellen, Zugriff auf Microsoft-365-Konten zu erhalten, ohne klassische Zugangsdaten wie Passwörter stehlen zu müssen und bestehende Multi-Faktor-Authentifizierung (MFA) zu umgehen. Laut der Warnung wird Kali365 seit April 2026 vor allem über Telegram verbreitet und richtet sich gezielt gegen Unternehmen, Behörden und Privatpersonen, die Microsoft-365-Dienste wie Outlook, Teams oder OneDrive nutzen.

Angriff ohne Passwortdiebstahl

Besonders gefährlich ist laut FBI, dass Kali365 keine herkömmliche Passwortabfrage benötigt. Stattdessen missbrauchen Angreifer den sogenannten „Device Code Flow“ von Microsoft.

Dabei läuft der Angriff typischerweise in vier Schritten ab:

1. Phishing-Mail mit angeblich legitimer Anmeldung

Die Opfer erhalten eine E-Mail, die aussieht, als stamme sie von bekannten Cloud- oder Dokumentendiensten. Darin befindet sich ein Gerätecode sowie die Aufforderung, eine echte Microsoft-Anmeldeseite zu besuchen.

2. Nutzer autorisiert unwissentlich den Angreifer

Das Opfer gibt den Gerätecode auf der legitimen Microsoft-Seite ein. Dadurch wird jedoch nicht der eigene Rechner autorisiert, sondern das Gerät des Angreifers.

3. OAuth-Token werden abgegriffen

Anschließend erhält der Angreifer sogenannte OAuth-Zugriffs- und Refresh-Tokens. Diese ermöglichen dauerhaften Zugriff auf das Microsoft-365-Konto – ohne Passwort und ohne weitere MFA-Abfragen.

4. Dauerhafter Zugriff auf Unternehmensdaten

Mit den Tokens können Kriminelle E-Mails lesen, Dateien herunterladen, Teams-Nachrichten überwachen oder sich lateral im Unternehmensnetzwerk bewegen.

Warum Kali365 besonders gefährlich ist

Nach Einschätzung des FBI senkt Kali365 die technische Einstiegshürde für Cyberkriminelle erheblich. Die Plattform bietet unter anderem:

KI-generierte Phishing-Nachrichten
Automatisierte Angriffsvorlagen
Echtzeit-Dashboards zur Überwachung von Opfern
Token-Diebstahl ohne Passwortabgriff
Persistenten Zugriff auf Microsoft-365-Umgebungen

Dadurch können auch weniger technisch versierte Täter professionelle Phishing-Kampagnen durchführen.

FBI empfiehlt sofortige Schutzmaßnahmen

Das FBI empfiehlt Unternehmen und IT-Abteilungen, den sogenannten Device Code Flow möglichst einzuschränken oder vollständig zu deaktivieren.

Zu den empfohlenen Maßnahmen gehören:

Conditional-Access-Richtlinien erstellen, die Device-Code-Anmeldungen blockieren
Bestehende Device-Code-Nutzung überprüfen
Übertragung von Authentifizierungen zwischen Geräten verhindern
Notfallkonten von Einschränkungen ausnehmen, um Aussperrungen zu vermeiden
Verdächtige OAuth-Sitzungen und aktive Geräte regelmäßig kontrollieren

Zusätzlich sollten Mitarbeitende sensibilisiert werden, niemals Gerätecodes aus E-Mails ungeprüft auf Microsoft-Seiten einzugeben.

Meldung an Behörden empfohlen

Betroffene Organisationen, Unternehmen oder Nutzer sollten Vorfälle – zusätzlich zu internen Sicherheitsmaßnahmen – bei mehreren Stellen melden:

Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) über die Meldestelle für Cybervorfälle.
BSI – Cyber-Sicherheitsvorfall melden
Bei der örtlich zuständigen Polizei oder direkt bei der Zentralen Ansprechstelle Cybercrime (ZAC) des jeweiligen Bundeslandes. Viele Landeskriminalämter bieten Online-Meldungen an.
Über die bundesweite Onlinewache der Polizei, insbesondere wenn finanzielle Schäden, Identitätsdiebstahl oder kompromittierte Firmenkonten betroffen sind.
Onlinewachen der Polizeien in Deutschland
Unternehmen mit kritischer Infrastruktur oder meldepflichtigen IT-Systemen müssen Vorfälle unter Umständen verpflichtend an das BSI melden.
Falls ein Microsoft-365-Konto kompromittiert wurde, sollte der Vorfall zusätzlich bei Microsoft Security Response Center dokumentiert werden.

Wichtige Informationen, die einer Meldung beigefügt werden sollten:

Phishing-Mail inklusive vollständigem Header
Zeitpunkt der verdächtigen Anmeldung
IP-Adressen und Standorte aus den Login-Protokollen
Unbekannte Geräte oder aktive Sessions
Betroffene Benutzerkonten und Dienste
Screenshots oder exportierte Audit-Logs aus Microsoft 365

Sofortmaßnahmen nach einem Verdacht:

Conditional-Access-Regeln verschärfen
Alle aktiven Sitzungen in Microsoft 365 beenden
OAuth-Token und App-Berechtigungen widerrufen
Passwörter ändern
MFA neu registrieren
Login- und Audit-Logs prüfen

Die vollständige FBI-Warnung findet sich auf der offiziellen Website des FBI:
FBI Public Service Announcement zu Kali365

Abonniere jetzt unsere Cyber-News!

Erhalte alle 4 Wochen wertvolle Insights, Tipps und Ratschläge zur Cybersicherheit, ganz gleich ob du Anfänger oder Fortgeschrittener bist.

Newsletter abonnieren

Tagged with: Account-Übernahme, BSI, CISA, Cloud-Sicherheit, Cyberabwehr, Cyberangriff, Cyberbedrohung, Cyberkriminalität, Cybersecurity, Device Code Flow, FBI PSA, FBI-Warnung, Hackerangriff, IC3, Identitätsdiebstahl, IT-Sicherheit, Kali365, MFA-Bypass, Microsoft 365, Microsoft Outlook, Microsoft Teams, Microsoft-Sicherheit, OAuth-Angriff, OAuth-Token, OneDrive, Phishing, Phishing-as-a-Service, Sicherheitslücke, Sicherheitswarnung, Social Engineering, Telegram, Token-Diebstahl, Unternehmenssicherheit, Zugangsdaten

FBI warnt vor „Kali365“: Neue Phishing-Plattform umgeht Multi-Faktor-Authentifizierung in Microsoft 365