Die Mehrfaktor-Authentifizierung (MFA) gilt seit Jahren als eine der wirksamsten Schutzmaßnahmen gegen Kontoübernahmen. Viele Unternehmen verlassen sich darauf, dass ein zusätzliches Sicherheitsmerkmal – beispielsweise eine Authenticator-App oder eine SMS – Bedrohungsakteuren den Zugriff auf Unternehmenskonten verwehrt.
Doch Cyberkriminelle entwickeln ihre Methoden kontinuierlich weiter. Mit Kali365 beobachten Sicherheitsforscher und Behörden aktuell eine Angriffsmethode, die zeigt, dass selbst bewährte Schutzmechanismen nicht immer ausreichend sind. Besonders Unternehmen, die Microsoft 365 einsetzen, sollten die Entwicklung aufmerksam verfolgen und ihre Sicherheitsmaßnahmen überprüfen.
Was ist Kali365?
Kali365 ist eine sogenannte Phishing-as-a-Service-Plattform. Vereinfacht gesagt handelt es sich um einen fertigen Werkzeugkasten, den Cyberkriminelle nutzen können, um täuschend echte Angriffe auf Microsoft 365 Nutzende durchzuführen.
Während klassische Phishing-Kampagnen darauf abzielen, Benutzername und Passwort zu stehlen, verfolgt Kali365 einen anderen Ansatz. Die Angreifer nutzen legitime Anmeldeprozesse von Microsoft aus und versuchen, Zugriffstokens zu erhalten. Diese Tokens dienen als digitale Zugangsberechtigung und ermöglichen den Zugriff auf verschiedene Microsoft-365-Dienste.
Der entscheidende Unterschied: Selbst wenn die Mehrfaktor-Authentifizierung erfolgreich durchgeführt wurde, können Angreifer mit einem erbeuteten Zugriffstoken unter Umständen weiterhin auf das Konto zugreifen.
Warum ist diese Angriffsmethode besonders gefährlich?
Viele Mitarbeitende haben gelernt, auf verdächtige Links oder gefälschte Anmeldeseiten zu achten. Kali365 nutzt jedoch teilweise echte Microsoft-Dienste und legitime Anmeldeprozesse. Dadurch wirken die Angriffe deutlich glaubwürdiger als herkömmliche Phishing-Versuche.
Zusätzlich sinkt durch solche Phishing-as-a-Service-Angebote die technische Hürde für Cyberkriminelle erheblich. Bedrohungsakteure müssen die notwendigen Werkzeuge nicht selbst entwickeln, sondern können auf bereits vorbereitete Plattformen zurückgreifen.
Die Folge: Die Anzahl und Qualität entsprechender Angriffe dürfte weiter zunehmen.
Wie läuft ein typischer Kali-365-Angriff ab?
Ein Kali365-Angriff beginnt meist mit einer Phishing-E-Mail, beispielsweise einer angeblichen Dokumentenfreigabe oder Teams-Benachrichtigung. Der Nutzer wird aufgefordert, einen Gerätecode einzugeben oder eine Anmeldung zu bestätigen.
Das Besondere: Die Anmeldung erfolgt über eine echte Microsoft-Webseite. Der Nutzer meldet sich regulär an und bestätigt wie gewohnt die Mehrfaktor-Authentifizierung. Im Hintergrund hat der Angreifer jedoch bereits einen sogenannten Device-Code-Flow gestartet.
Mit der Bestätigung autorisiert der Nutzer unbeabsichtigt ein Gerät des Angreifers. Microsoft stellt daraufhin gültige Zugriffsberechtigungen aus, die direkt an den Angreifer übermittelt werden. Dieser kann anschließend auf Microsoft-365-Dienste wie Outlook, Teams, OneDrive oder SharePoint zugreifen – ohne das Passwort des Nutzers zu kennen.
Genau das macht Kali365 so gefährlich: Der Angriff missbraucht einen legitimen Microsoft-Anmeldeprozess und kann dadurch selbst bewährte Schutzmaßnahmen wie die Mehrfaktor-Authentifizierung umgehen.
Welche Systeme sind betroffen?
Grundsätzlich sind alle Organisationen betroffen, die Microsoft 365 einsetzen. Besonders im Fokus stehen dabei:
Wird ein Konto kompromittiert, können Bedrohungsakteure auf E-Mails, Dateien und interne Kommunikationsdaten zugreifen. Darüber hinaus werden kompromittierte Konten häufig genutzt, um weitere Phishing-Angriffe innerhalb des Unternehmens oder gegenüber Geschäftspartnern durchzuführen.
Woran lassen sich solche Angriffe erkennen?
Es gibt einige Warnsignale, auf die Unternehmen und Anwender achten sollten. Dazu gehören unerwartete Anfragen zur Anmeldung bei Microsoft 365 oder Aufforderungen zur Eingabe von Gerätecodes beziehungsweise zur Freigabe einer Anmeldung, die nicht selbst initiiert wurde. Auch ungewöhnliche Anmeldeversuche aus unbekannten Regionen oder zu ungewohnten Zeiten können auf einen potentiellen Angriff hindeuten.
Darüber hinaus sollten auffällige Aktivitäten innerhalb von Outlook, OneDrive oder Teams aufmerksam beobachtet werden, insbesondere wenn Dateien, E-Mails oder Einstellungen ohne erkennbaren Grund verändert werden. Da die genutzten Anmeldeverfahren oftmals legitim wirken, gilt grundsätzlich: Jede unerwartete Anmelde- oder Freigabeanfrage sollte kritisch geprüft werden, bevor darauf reagiert wird.
Welche Schutzmaßnahmen sind empfehlenswert?
Die gute Nachricht: Auch wenn Kali365 moderne Authentifizierungsverfahren ins Visier nimmt, können Unternehmen ihr Risiko deutlich reduzieren.
Zu den wichtigsten Maßnahmen gehören:
Wichtig ist vor allem, MFA nicht als alleinige Schutzmaßnahme zu betrachten. Moderne Angriffe zeigen, dass ein mehrschichtiger Sicherheitsansatz notwendig ist.
Kali365 verdeutlicht einen wichtigen Trend in der Cyberkriminalität: Bedrohungsakteure konzentrieren sich zunehmend darauf, etablierte Schutzmechanismen zu umgehen, statt sie direkt anzugreifen.
Für Unternehmen bedeutet das, dass auch vermeintlich gut geschützte Microsoft-365-Umgebungen regelmäßig überprüft und überwacht werden sollten. Die Kombination aus technischen Schutzmaßnahmen, aktiver Überwachung und sensibilisierten Mitarbeitenden bleibt der wirksamste Schutz gegen moderne Phishing-Angriffe.
Sie möchten über aktuelle Bedrohungen und Sicherheitslücken informiert bleiben?
Abonnieren Sie unseren Newsletter und erhalten Sie wichtige Warnmeldungen, Handlungsempfehlungen und Einschätzungen zu aktuellen Cyberrisiken direkt in Ihr Postfach.
Quellen & weiterführende Informationen