Du fühlst dich mit der Zwei-Faktor-Anmeldung sicher? Genau darauf zielt der neue Angriff. Das FBI hat am 21. Mai eine offizielle Warnung herausgegeben: Ein Phishing-Baukasten namens Kali365 hebelt den MFA-Schutz von Microsoft 365 aus — und zwar ganz ohne dein Passwort zu kennen.
SO LÄUFT der Angriff ab
Kali365 setzt auf eine fiese Masche namens Device-Code-Phishing. Der Trick: Du bekommst eine täuschend echte Mail, die so aussieht, als käme sie von einem Cloud- oder Dokumentendienst. Darin steht ein kurzer Gerätecode mit der Bitte, ihn auf einer echten Microsoft-Anmeldeseite einzugeben.
Und hier ist der Haken: Die Seite ist nicht gefälscht — sie gehört wirklich zu Microsoft. Wenn du den Code eingibst, autorisierst du in Wahrheit das Gerät des Angreifers. Der schnappt sich anschließend deine OAuth-Zugriffs- und Refresh-Token und spaziert in Outlook, Teams und OneDrive — komplett ohne Passwort und ohne zweiten Faktor.
WARUM die Zwei-Faktor-Sperre nicht greift
Klassisches Phishing klaut dein Passwort, dann stoppt der zweite Faktor den Angreifer. Beim Device-Code-Flow läuft die Anmeldung aber über einen legitimen Microsoft-Vorgang — du selbst bestätigst sie. Die MFA-Prüfung ist da längst gelaufen. Der gestohlene Token bleibt oft wochenlang gültig, selbst wenn du dein Passwort später änderst.
Phishing zum BILLIGTARIF
Das wirklich Gefährliche an Kali365: Es senkt die Einstiegshürde drastisch. Der Baukasten wird laut FBI vor allem über Telegram vertrieben und liefert auch technisch schwachen Kriminellen alles frei Haus — KI-generierte Phishing-Texte, fertige Kampagnen-Vorlagen, Echtzeit-Dashboards zur Opfer-Verfolgung und die Token-Klau-Mechanik.
Die Sicherheitsfirma Arctic Wolf Labs beziffert die Preise auf rund 250 Dollar für 30 Tage oder 2.000 Dollar fürs ganze Jahr. Arctic Wolf und Proofpoint dokumentierten allein im April Hunderte Angriffe auf Firmen und Behörden — aus Industrie, Bildung, Verwaltung, Versicherung, Finanzwesen und Gesundheit, quer durch Nordamerika und Europa.
So SCHÜTZT du dich — die 3 wichtigsten Schritte
Das FBI gibt eine klare Empfehlung: Sperre den OAuth-Gerätecode-Flow, wo immer es geht. So gehst du vor:
1. Conditional Access setzen: Lege in Microsoft Entra ID eine Richtlinie an, die den Device-Code-Flow blockiert. Prüfe vorher per Audit, ob echte Workflows (z. B. Smart-TVs, IoT-Logins) ihn brauchen, damit nichts kaputtgeht.
2. Token-Laufzeiten kürzen: Verkürze die Gültigkeit von Refresh-Token und erzwinge regelmäßige Neu-Anmeldungen. Das verkleinert das Zeitfenster für Angreifer.
3. Mitarbeiter sensibilisieren: Niemand sollte je einen Gerätecode aus einer Mail auf einer Login-Seite eingeben. Kein seriöser Dienst fordert das per E-Mail an.
EXTRA-TIPP für Admins
Behalte die Anmelde-Logs im Blick: Ungewöhnliche Geräte-Autorisierungen, neue OAuth-Apps mit weitreichenden Rechten und Logins aus untypischen Regionen sind die ersten Warnsignale. Wer Microsoft Defender for Cloud Apps nutzt, kann verdächtige Token-Aktivität automatisiert alarmieren lassen.
FAZIT: Kali365 zeigt, dass MFA allein 2026 nicht mehr reicht. Wer den Gerätecode-Flow sperrt und seine Token-Laufzeiten im Griff hat, nimmt diesem Angriff den Großteil seiner Wucht.
Häufige Fragen
Bin ich mit aktivierter Zwei-Faktor-Anmeldung sicher?
Woran erkenne ich eine Kali365-Phishing-Mail?
Was muss ich als Admin sofort tun?
Quellen: