
Kali365-Gerätecode-Phishing verwandelt einen Zahlungsköder in den Diebstahl von Microsoft-365-Tokens
Inhaltsverzeichnis
Aufbau einer Phishing-E-Mail für einen elektronischen Zahlungsvorgang

Der Angreifer nutzt zunächst eine externe E-Mail mit einem vermeintlichen Zahlungs- oder Überweisungsanliegen als Köder.
Der Betreff wirkt unmittelbar relevant, da er sich auf eine finanzielle Transaktion bezieht:
EFT-Zahlung in Bearbeitung
Das ist ein wirkungsvoller Köder für Mitarbeiter aus Buchhaltung, Finanzen, Immobilienverwaltung, Einkauf und operativem Betrieb. Begriffe und Formulierungen rund um elektronische Überweisungen, Rechnungen und Zahlungsbestätigungen sind in legitimen Geschäftsabläufen üblich. Deshalb hat der Empfänger einen nachvollziehbaren Grund, schnell zu reagieren.
Der Text der E-Mail ist als Zahlungsbenachrichtigung gestaltet. Er beginnt mit:
„Zahlungsübersicht“
Die Anrede ist allgemein gehalten:
„Hallo Sir/Ma“
Das ist einer der sprachlich schwächeren Aspekte des Köders. Durch den Zahlungskontext wirkt die E-Mail dennoch wie ein routinemäßiger Geschäftsvorgang. Anschließend folgt ein hervorgehobener, dokumentenähnlicher Bereich mit dem Text:
„Die zugehörigen Unterlagen finden Sie zu Ihrer Information im Anhang.“
Eine grüne Call-to-Action-Schaltfläche fordert den Empfänger zum Fortfahren auf:
„ZAHLUNGSDETAILS ANZEIGEN“
Unterhalb der Schaltfläche wird der geschäftliche Kontext zusätzlich durch Formulierungen zu Rechnung und Zahlung verstärkt:
„ZAHLUNGSBESTÄTIGUNG APRIL-RECHNUNG“
It also includes a payment timestamp:
Payment Date/Time: 05/28/2026
Außerdem enthält die E-Mail einen Zeitstempel zur Zahlung:
„Datum/Uhrzeit der Zahlung: 28.05.2026“
Anschließend verweist die Nachricht auf eine angebliche Zahlungs- oder Überweisungs-Referenznummer:
„PYMT REM7174475023 Überweisungsdetails zu ACH-Zahlungsbericht“
Mehrere Details sind dabei besonders auffällig:
- Die E-Mail erzeugt finanziellen Handlungsdruck, ohne dabei übertrieben dramatisch zu wirken. Es wird weder behauptet, dass eine Zahlung fehlgeschlagen sei, noch dass ein Konto gesperrt werde. Stattdessen wirkt sie wie eine routinemäßige Zahlungsbestätigung.
- Der Köder fokussiert sich auf ein Dokument. Der Empfänger wird nicht sofort aufgefordert, sich anzumelden, sondern dazu, die Überweisungsdetails einzusehen.
- Die E-Mail verwendet die Signatur einer Marke und einen realen Geschäftskontext, um Misstrauen zu verringern.
- Die Ansprache „Hallo Sir/Ma““ und der Ausdruck „zugehörige Unterlagen“ sind verdächtig, aber reichen nicht zwangsläufig aus, um einen beschäftigten Benutzer vom Klicken abzuhalten.
Was nach dem Klick passiert
Die erste beobachtete URL in dieser Kette war auf einer legitimen SaaS-Domain eines Drittanbieters gehostet:
hxxps://mixpanel[.]com/public/5TwfnfSBNLp72xaBMcuEwT

Das ist ein wichtiger Bestandteil des Angriffs. Der erste Klick führt nicht sofort auf eine offensichtlich bösartige Domain. Stattdessen landet das Opfer auf einer öffentlichen Seite einer bekannten SaaS-Plattform.
Die erste Seite der Angriffskette zeigt einen einfachen Dokumentenköder. Dem Opfer wird mitgeteilt, dass es ein neues PDF-Dokument erhalten hat. Dieses wird als gescanntes Dokument bezeichnet, es werden grundlegende Metdaten angezeigt und eine auffällige Schaltfläche zum Anzeigen des Dokuments ist vorhanden.
Diese Phase dient dem Vertrauensaufbau. Das Opfer kommt von einer E-Mail mit Zahlungsbezug und sieht nun eine Seite mit einem scheinbar passenden Dokument. Der Angriff verlagert sich schrittweise von einer „Zahlungsbestätigung“ zu einem „sicheren Dokumentenzugriff“.
Das ist relevant, weil moderne Phishing-Kampagnen die eigentliche Zielseite oft nicht sofort anzeigen. Stattdessen nutzen sie eine mehrstufige Infrastruktur und gestaffelte Weiterleitungen, damit die Interaktion plausibel und normal wirkt.
Die Kali365-Landingpage
Nach dem Dokumentenköder der ersten Stufe wechselt die Sitzung zu:
hxxps://6civt6gowo[.]clearprocesses[.]de/l/375eYPgUe-4

An diesem Punkt führt der Angriff eine Art Zwischenseite im Stil einer „Online-Sicherheitsprüfung“ ein. Das Opfer sieht einen Verifizierungsschritt, bevor es zum eigentlichen Phishing-Inhalt gelangt.
Ein solcher Schritt hat zwei Auswirkungen: Für das Opfer kann dadurch der Eindruck entstehen, dass die Seite geschützt ist oder professionell gehostet wird. Für Verteidiger und automatisierte Scanner erzeugt er zusätzliche Komplexität und kann die Sichtbarkeit der eigentlichen Phishing-Seite verringern.

Nach dem Verifizierungsschritt wechselt die Seite zu einer Microsoft-ähnlichen Oberfläche für sichere Dokumente. Die Seite verwendet Outlook-ähnliches Branding und Formulierungen zur Nachrichtenverschlüsselung. Sie verweist auf ein freigegebenes Dokument und zeigt eine PDF-Kachel an.
Das entscheidende Element ist der kurze Code, der dem Opfer angezeigt wird. Die Seite weist den Benutzer an, ein Microsoft-Anmeldefenster zu öffnen, den angezeigten Code einzugeben, sich mit seinem Microsoft-Konto zu authentifizieren und anschließend zur Seite zurückzukehren, um die Nachricht zu lesen.
Hier findet der entscheidende Übergang im Angriff statt. Die Phishing-Seite versucht nicht, das Passwort des Benutzers direkt abzugreifen. Stattdessen führt sie das Opfer dazu, einen legitimen Microsoft-Authentifizierungsablauf per Gerätecode abzuschließen, der vom Angreifer initiiert wurde.
So funktioniert Microsoft Gerätecode-Phishing

Das Gerätecode-Verfahren von Microsoft OAuth 2.0 („OAuth 2.0 device authorization grant”) ist ein legitimer Authentifizierungsablauf. Es wurde für Geräte mit eingeschränkten Eingabemöglichkeiten entwickelt, etwa Smart-TVs, IoT-Geräte, Drucker oder andere Geräte, bei denen die direkte Eingabe von Zugangsdaten schwierig ist. In diesem Ablauf wird der Benutzer aufgefordert, auf einem anderen Gerät in einem Browser eine Verifizierungsseite aufzurufen, einen kurzen Benutzercode einzugeben und die Anmeldung abzuschließen. Sobald sich der Benutzer anmeldet, kann das anfragende Gerät Zugriffs- und Aktualisierungstoken erhalten.
Angreifer missbrauchen diesen Ablauf, indem sie das Vertrauensmodell umkehren.
In einem legitimen Szenario besitzt oder kontrolliert der Benutzer das Gerät, das die Authentifizierung anfordert.
Bei diesem Angriff kontrolliert dagegen der Angreifer die Sitzung und fordert die Authentifizierung an.
Der Benutzer wird dazu verleitet, den vom Angreifer bereitgestellten Code auf einer echten Microsoft-Seite einzugeben. Nachdem das Opfer sich angemeldet und die MFA abgeschlossen hat, stellt Microsoft gültige Tokens für die Sitzung aus, die den Gerätecode angefordert hat.
Das bedeutet, dass das Opfer möglicherweise eine echte Microsoft-Anmeldeseite, eine legitime Microsoft-Domain und eine gewöhnliche MFA-Abfrage sieht. Aus Sicht des Benutzers sieht dabei nicht zwingend etwas wie eine klassische gefälschte Anmeldeseite aus.
Der bösartige Teil ist nicht die Microsoft-Seite selbst. Der bösartige Teil besteht darin, dass das Opfer eine Sitzung autorisiert, die vom Angreifer kontrolliert wird.
Frühere Untersuchungen von Microsoft zu Gerätecode-Phishing erklären, warum diese Methode für Angreifer attraktiv ist: Das Opfer authentifiziert sich über einen normalen Anmeldeprozess, während der Angreifer Tokens erhält, die Zugriff auf das Konto und die Daten des Opfers ermöglichen. Microsoft weist darauf hin, dass diese Tokens Zugriff auf Dienste wie E-Mail oder Cloud-Speicher erlauben können, ohne dass das Passwort erforderlich ist, solange die Tokens gültig bleiben.
In dem beobachteten Beispiel führt die Angriffskette zur legitimen Microsoft-Seite für die Geräteauthentifizierung. Dem Opfer wird ein kurzer Code angezeigt, den es in den Microsoft-Ablauf eingibt; anschließend wird es zur Anmeldung aufgefordert. Der sichtbare Microsoft-Hinweis weist darauf hin, dass sich der Benutzer auf einem anderen Gerät bei Microsoft Authentication Broker anmeldet.
Das ist hochrelevant. Der Angriff stiehlt nicht nur Zugangsdaten. Stattdessen versucht er über abgefangene OAuth-Tokens einen bereits authentifizierten Zugriff auf Microsoft 365 zu erlangen.
Wie sich dieses Beispiel mit der FBI-Warnung vergleichen lässt
Der beobachtete Angriff stimmt auf strategischer Ebene weitgehend mit der Beschreibung von Kali365 durch das FBI überein.
Die FBI-Warnung beschreibt ein Phishing-as-a-Service-Kit, das Angreifern ermöglicht, Microsoft-365-Access-Tokens zu erlangen, MFA zu umgehen, ohne Zugangsdaten abzufangen, und durch OAuth-Token-Erfassung dauerhaften Zugriff auf Microsoft-365-Umgebungen zu erhalten.
Dieses Beispiel zeigt dieselbe Kerntechnik:
- Das Opfer erhält eine geschäftsbezogene Phishing-E-Mail.
- Der Köder führt in einen Dokumentenzugriffs-Workflow.
- Dem Opfer wird ein Gerätecode angezeigt.
- Das Opfer wird in einen legitimen Microsoft-Verifizierungs- und Anmeldeablauf gedrängt.
- Das wahrscheinliche Ziel des Angreifers ist der Diebstahl von Microsoft-365-Tokens und nicht die direkte Erfassung des Passworts.
Es gibt jedoch auch wichtige Unterschiede.
In der vereinfachten Angriffsbeschreibung des FBI enthält die Phishing-E-Mail den Gerätecode und die Anweisung, die Microsoft-Verifizierungsseite aufzurufen. Im beobachteten Beispiel wird der Gerätecode nicht direkt in der E-Mail angezeigt. Stattdessen führt die E-Mail im ersten Schritt zu einem gehosteten Dokumentenköder, dann zu einer Phishing-Seite und erst dort wird dem Opfer der Gerätecode angezeigt.
Das ist kein Widerspruch, aber es handelt sich um eine stärker geschichtete operative Variante derselben Technik.
Die FBI-Warnung beschreibt Kali365 darüber hinaus allgemeiner als PhaaS-Plattform, die KI-generierten Phishing-Köder, Kampagnenvorlagen, Tracking-Dashboards und Funktionen zur Erfassung von OAuth-Tokens umfasst. Diese weitergehenden Plattformmerkmale sind in dieser einzelnen E-Mail-Kette nicht vollständig ersichtlich. In diesem Fall ist lediglich der Teil des Gerätecode-Phishings der Angriffskette sichtbar.
Erkennungsmerkmale und zentrale Abwehrmaßnahmen
Dieser Angriff verdeutlicht, warum sich Verteidiger nicht allein darauf verlassen sollten, ob die finale Anmeldeseite legitim ist. In diesem Fall ist die Microsoft-Authentifizierungsseite legitim. Der Betrug findet statt, bevor das Opfer diese Seite erreicht.
Nützliche Signale für Erkennung und Triage sind unter anderem:
- Unerwartete E-Mails zu Zahlungen, Rechnungen, Überweisungen oder Belegen, die zu externem Dokument-Hosting oder öffentlichen SaaS-URLs führen.
- Mehrstufige Klickketten, bei denen eine vertrauenswürdige SaaS-Seite auf eine neu beobachtete oder thematisch nicht passende Domain weiterleitet.
- Cloudflare-ähnliche oder CAPTCHA-ähnliche Zwischenseiten, die vor den Seiten des Dokumentzugriffs erscheinen.
- Seiten, die einen kurzen Code anzeigen und den Benutzer anweisen, eine Microsoft-Anmeldeseite zu öffnen.
- Authentifizierungsereignisse, die den Microsoft-Gerätecode-Ablauf verwenden, obwohl dafür kein erkennbarer geschäftlicher Bedarf besteht.
- Anmeldungen mit Microsoft Authentication Broker oder Gerätecode-Authentifizierungsmustern, die nicht dem üblichen Benutzerverhalten entsprechen.
Microsoft empfiehlt Unternehmen, die Nutzung des Gerätecode-Ablaufs möglichst vollständig zu blockieren. Zuvor sollten bestehende Anwendungsfälle geprüft werden, sodass nur dokumentierte und angemessen abgesicherte Einsatzzwecke weiterhin zugelassen werden. Microsoft empfiehlt außerdem, Conditional-Access-Richtlinien zu verwenden, um Gerätecode-Abläufe dort zu blockieren, wo sie nicht benötigt werden.
Die Dokumentation von Microsoft zu „Managed Conditional Access“ weist ebenfalls darauf hin, dass Gerätecode-Abläufe von Kunden nur selten genutzt werden, von Angreifern jedoch häufig. Microsoft empfiehlt daher, den Gerätecode-Ablauf zu blockieren, um diesen Angriffsvektor zu beseitigen.
Fazit

Gerätecode-Phishing im Stil von Kali365 verändert die Anforderungen hinsichtlich der Sensibilisierung von Nutzern.
Benutzer wurden lange darauf trainiert, zu überprüfen, ob eine Anmeldeseite echt aussieht. Bei diesem Angriff reicht dieser Rat jedoch nicht mehr aus. Die finale Anmeldeseite kann echt sein, die MFA-Abfrage kann echt sein und die Microsoft-Domain kann echt sein, während die autorisierte Sitzung dennoch vom Angreifer kontrolliert wird.
Der verdächtige Moment ist nicht nur die Anmeldeseite. Verdächtig ist vor allem die Aufforderung, einen kurzen Code einzugeben, der von einer E-Mail oder einer Dokumentenseite bereitgestellt wurde.
Das bedeutet für Verteidiger, dass die besten Chancen, einen Angriff zu stoppen, früher in der Kette liegen: E-Mail-Filterung, URL-Analyse, Inspektion von Weiterleitungsketten, Meldungen verdächtiger Aktivitäten durch Benutzer sowie Conditional-Access-Kontrollen, die die Gerätecode-Authentifizierung einschränken, bevor aus einem vermeintlich sicheren Dokumentenköder ein tokenbasierter Zugriff auf Microsoft 365 wird.
Weitere beobachtete Aktivität
Eine aktuellere Variante dieser Aktivität wurde am 2. Juni 2026 beobachtet, was darauf hindeutet, dass diese Gerätecode-Phishing-Technik weiterhin aktiv eingesetzt wird. Zwar änderte sich der Köder von einer elektronischen Zahlungsbenachrichtigung zu einer dringenden Antragsprüfung, das grundlegende Angriffsmuster blieb jedoch gleich: Das Opfer wurde von einem E-Mail-Köder zunächst auf eine von Dritten gehostete Seite und anschließend auf eine Phishing-Seite weitergeleitet, auf der ein kurzer Gerätecode angezeigt wurde. Von dort aus wurde es schließlich zum legitimen Microsoft-Authentifizierungsablauf per Gerätecode geführt.
Diese Variante unterstreicht die zentrale Erkenntnis für die Abwehr: Die Microsoft-Authentifizierungsseite kann vollkommen legitim sein, während die autorisierte Sitzung dennoch dem Angreifer gehört.

Indikatoren für Kompromittierung (IoCs)
| Typ | Wert | Beschreibung |
|---|---|---|
| URL | hxxps://mixpanel[.]com/public/5TwfnfSBNLp72xaBMcuEwT | Gehosteter Dokumentenköder der ersten Stufe |
| URL | hxxps://biovelt[.]com/@trianzprop | Gehosteter Dokumentenköder der ersten Stufe |
| URL | hxxps://6civt6gowo[.]clearprocesses[.]de/l/375eYPgUe-4 | Kali365-Phishing-Seite der zweiten Stufe |
| URL | hxxps://l2k9vlvw7p[.]brinautomotivekow[.]sbs/l/fjOZveI_IVw | Kali365-Phishing-Seite der zweiten Stufe |
| Domain | 6civt6gowo[.]clearprocesses[.]de | Phishing-Subdomain |
| Domain | l2k9vlvw7p[.]brinautomotivekow[.]sbs | Phishing-Subdomain |
| IP | 104.21.28[.]254 | Beobachteter IP-Indikator |