IC3 warnt: Kali365 Phishing-as-a-Service kapert Microsoft-365-Zugriffstoken
Die FBI-Internet Crime Complaint Center (IC3) warnt vor dem Phishing-as-a-Service-Tool Kali365, das Microsoft-365-Zugriffstoken stiehlt. Die Methode zielt auf Account Takeover und Folgebetrug ab, indem Sitzungszugriffe über Token-Hijacking übernommen werden – nicht nur durch klassisches Abgreifen von Passwörtern.
Das FBI-Internet Crime Complaint Center (IC3) hat eine öffentliche Mitteilung zu Kali365 veröffentlicht: Dabei handelt es sich um ein Phishing-as-a-Service (PhaaS)-Kit, das Microsoft-365-Umgebungen gezielt ins Visier nimmt, indem es Zugriffstoken abgreift. In der IC3-Warnung wird der Ansatz ausdrücklich als Umgehung gängiger Schutzmaßnahmen beschrieben: Angreifer versuchen, über das Hijacking von Token an die Sitzung zu gelangen und so authentifizierte Aktivitäten fortzuführen, ohne wiederholt Passwörter eingeben zu müssen. Token-Diebstahl ist besonders riskant, weil aus einem kompromittierten Konto sehr schnell vollständige Kontrolle werden kann – Kriminelle können dann auf E-Mail, Dateien und weitere Ressourcen zugreifen, die dem Ziel-Mandanten des Opfers zugeordnet sind. Von dort kann der Betrug rasch eskalieren: Bedrohungsakteure können den Kontoinhaber imitieren, um Betrugsmaschen für Überweisungen durchzuführen, weitere Phishing-Angriffe an Kontakte ausrollen oder bösartige Links über vermeintlich vertrauenswürdige Kanäle verbreiten. Die IC3-Mitteilung ordnet Kali365 einem kriminellen Ökosystem zu, in dem Phishing-Infrastruktur und operative Fähigkeiten gebündelt und an andere Täter verkauft oder für sie aktiviert werden. Dieses Geschäftsmodell senkt die Einstiegshürde für Angreifer und kann die Zahl der Opfer erhöhen. Für Organisationen ergibt sich daraus der praktische Fokus, Token-Schutz, Sitzungsüberwachung und Phishing-Resilienz als zentrale Kontrollen zu behandeln. Zwar bleibt Security-Schulung für Endnutzer wichtig, doch gerade Token-basierte Kompromittierung macht die Notwendigkeit zusätzlicher Identitätssicherheitsmaßnahmen deutlich: Ungewöhnliche Logins sollten erkannt und Sitzungen bei Hinweisen auf eine Kompromittierung umgehend widerrufen werden. Die Warnung unterstreicht außerdem, Vorfälle zu melden, damit Trends nachvollzogen und besser eingeordnet werden können.
What this article means for a user right now
Die FBI-Internet Crime Complaint Center (IC3) warnt vor dem Phishing-as-a-Service-Tool Kali365, das Microsoft-365-Zugriffstoken stiehlt. Die Methode zielt auf Account Takeover und Folgebetrug ab, indem Sitzungszugriffe über Token-Hijacking übernommen werden – nicht nur durch klassisches Abgreifen von Passwörtern.
- Text Scam Checker: For suspicious SMS, fake delivery texts, smishing, and verification-code pressure.
- Phishing Link Checker: For suspicious links, login pages, fake delivery texts, and scam emails.
Verwandte Betrugsarten
Bester nächster Schritt
Offizielle Ressourcen
Industry anti-phishing organization with reporting and education resources.
FTC Consumer AdviceUS consumer guidance for scams, fraud patterns, and reporting options.
FBI Internet Crime Complaint CenterOfficial reporting channel for internet-enabled crime in the United States.
