Neuer Angriff bedroht Microsoft 365-Nutzer
Das FBI hat eine neue Bedrohung im Internet entdeckt, die unter dem Namen Kali365 bekannt ist und vor allem Nutzer der Microsoft 365 Cloud-Office-Suite ins Visier nimmt. Es handelt sich um eine Phishing-as-a-Service-Plattform, die sich unter Cyberkriminellen hauptsächlich über den beliebten Messenger-Dienst Telegram verbreitet. Laut FBI senkt diese Plattform die Einstiegshürde für Angriffe erheblich. Sie ermöglicht es auch technisch weniger versierten Angreifern, auf KI-generierte Phishing-Angriffe zuzugreifen.
Der Angriff selbst wird den Opfern per E-Mail übermittelt. Der Nutzer erhält zunächst eine E-Mail, die fälschlicherweise vorgibt, von einem vertrauenswürdigen Cloud-Produktivitätsdienst oder einer Dokumentenaustauschplattform zu stammen. Die Nachricht enthält einen gerätespezifischen Code und Anweisungen, eine offizielle Microsoft-Verifizierungsseite aufzurufen und den Code einzugeben.
Wenn der Empfänger die echte Microsoft-Website öffnet und den Code eingibt oder einfügt, teilt er unwissentlich seinen OAuth-Zugriffscode mit dem Angreifer. Dieser kann diese Information dann auf seinem eigenen Computer nutzen, um direkten Zugriff auf das Microsoft-365-Konto des Opfers zu erlangen. Das FBI warnt, dass Cyberkriminelle nach erfolgreichem Abschluss dieses Vorgangs ungehindert auf wichtige Dienste wie Outlook, Teams und OneDrive zugreifen können, ohne ein Passwort eingeben oder zusätzliche Schritte zur Zwei-Faktor-Authentifizierung durchführen zu müssen.
Proofpoint weist darauf hin, dass diese Art von Geräte-Phishing derzeit in der Cyberbedrohungswelt explosionsartig zunimmt und wöchentlich neue Tools auftauchen. Dieses exponentielle Wachstum fällt zeitlich direkt mit der Veröffentlichung krimineller Werkzeuge und dem Aufkommen zahlreicher Phishing-as-a-Service-Angebote zusammen. Die meisten Abwehrmaßnahmen gegen diese Art von Bedrohung werden auf Unternehmensebene implementiert, wo die Blockierung der Geräteauthentifizierung oder die Implementierung von Richtlinien für bedingten Zugriff dazu beitragen kann, diese Angriffe zu verhindern oder einzuschränken.
Für normale Nutzer ist es jedoch entscheidend zu wissen, dass Tokens auf diese Weise gestohlen und auf dem Gerät eines Angreifers verwendet werden können. Daher ist es unerlässlich, mit gesundem Menschenverstand vorzugehen. Das bedeutet, keine Links zu unerwarteten Dokumenten anzuklicken, bei E-Mails, die zu einer Handlung auffordern, misstrauisch zu sein und die Echtheit der Nachricht immer zu überprüfen, bevor man darauf klickt.






















