Chat with us, powered by LiveChat
Microsoft Header

Kali365-Gerätecode-Phishing verwandelt einen Zahlungsköder in den Diebstahl von Microsoft-365-Tokens

Aufbau einer Phishing-E-Mail für einen elektronischen Zahlungsvorgang 

EFT payment phishing email
Phishing-E-Mail zu einer Überweisung (EFT; Electronic Funds Transfer) dient ursprünglicher als erster Köder 

Der Angreifer nutzt zunächst eine externe E-Mail mit einem vermeintlichen Zahlungs- oder Überweisungsanliegen als Köder.  

Der Betreff wirkt unmittelbar relevant, da er sich auf eine finanzielle Transaktion bezieht: 

EFT-Zahlung in Bearbeitung 

Das ist ein wirkungsvoller Köder für Mitarbeiter aus Buchhaltung, Finanzen, Immobilienverwaltung, Einkauf und operativem Betrieb. Begriffe und Formulierungen rund um elektronische Überweisungen, Rechnungen und Zahlungsbestätigungen sind in legitimen Geschäftsabläufen üblich. Deshalb hat der Empfänger einen nachvollziehbaren Grund, schnell zu reagieren. 

Der Text der E-Mail ist als Zahlungsbenachrichtigung gestaltet. Er beginnt mit: 

„Zahlungsübersicht“

Die Anrede ist allgemein gehalten: 

„Hallo Sir/Ma“

Das ist einer der sprachlich schwächeren Aspekte des Köders. Durch den Zahlungskontext wirkt die E-Mail dennoch wie ein routinemäßiger Geschäftsvorgang. Anschließend folgt ein hervorgehobener, dokumentenähnlicher Bereich mit dem Text: 

„Die zugehörigen Unterlagen finden Sie zu Ihrer Information im Anhang.“

Eine grüne Call-to-Action-Schaltfläche fordert den Empfänger zum Fortfahren auf: 

„ZAHLUNGSDETAILS ANZEIGEN“

Unterhalb der Schaltfläche wird der geschäftliche Kontext zusätzlich durch Formulierungen zu Rechnung und Zahlung verstärkt:  

„ZAHLUNGSBESTÄTIGUNG APRIL-RECHNUNG“

It also includes a payment timestamp:

Payment Date/Time: 05/28/2026

Außerdem enthält die E-Mail einen Zeitstempel zur Zahlung: 

„Datum/Uhrzeit der Zahlung: 28.05.2026“

Anschließend verweist die Nachricht auf eine angebliche Zahlungs- oder Überweisungs-Referenznummer: 

„PYMT REM7174475023 Überweisungsdetails zu ACH-Zahlungsbericht“

Mehrere Details sind dabei besonders auffällig: 

  • Die E-Mail erzeugt finanziellen Handlungsdruck, ohne dabei übertrieben dramatisch zu wirken. Es wird weder behauptet, dass eine Zahlung fehlgeschlagen sei, noch dass ein Konto gesperrt werde. Stattdessen wirkt sie wie eine routinemäßige Zahlungsbestätigung. 
  • Der Köder fokussiert sich auf ein Dokument. Der Empfänger wird nicht sofort aufgefordert, sich anzumelden, sondern dazu, die Überweisungsdetails einzusehen. 
  • Die E-Mail verwendet die Signatur einer Marke und einen realen Geschäftskontext, um Misstrauen zu verringern. 
  • Die Ansprache „Hallo Sir/Ma““ und der Ausdruck „zugehörige Unterlagen“ sind verdächtig, aber reichen nicht zwangsläufig aus, um einen beschäftigten Benutzer vom Klicken abzuhalten. 

Was nach dem Klick passiert 

Die erste beobachtete URL in dieser Kette war auf einer legitimen SaaS-Domain eines Drittanbieters gehostet: 

hxxps://mixpanel[.]com/public/5TwfnfSBNLp72xaBMcuEwT 
First-stage document lure hosted on trusted SaaS infrastructure
Dokumentenköder der ersten Angriffsstufe, gehostet auf vertrauenswürdiger SaaS-Infrastruktur

Das ist ein wichtiger Bestandteil des Angriffs. Der erste Klick führt nicht sofort auf eine offensichtlich bösartige Domain. Stattdessen landet das Opfer auf einer öffentlichen Seite einer bekannten SaaS-Plattform. 

Die erste Seite der Angriffskette zeigt einen einfachen Dokumentenköder. Dem Opfer wird mitgeteilt, dass es ein neues PDF-Dokument erhalten hat. Dieses wird als gescanntes Dokument bezeichnet, es werden grundlegende Metdaten angezeigt und eine auffällige Schaltfläche zum Anzeigen des Dokuments ist vorhanden. 

Diese Phase dient dem Vertrauensaufbau. Das Opfer kommt von einer E-Mail mit Zahlungsbezug und sieht nun eine Seite mit einem scheinbar passenden Dokument. Der Angriff verlagert sich schrittweise von einer „Zahlungsbestätigung“ zu einem „sicheren Dokumentenzugriff“. 

Das ist relevant, weil moderne Phishing-Kampagnen die eigentliche Zielseite oft nicht sofort anzeigen. Stattdessen nutzen sie eine mehrstufige Infrastruktur und gestaffelte Weiterleitungen, damit die Interaktion plausibel und normal wirkt. 

Die Kali365-Landingpage 

Nach dem Dokumentenköder der ersten Stufe wechselt die Sitzung zu: 

hxxps://6civt6gowo[.]clearprocesses[.]de/l/375eYPgUe-4
Cloudflare-style verification gate shown before the Kali365 phishing landing page
Cloudflare-ähnliche Verifizierungsseite wird vor der Kali365-Phishing-Landingpage angezeigt 

An diesem Punkt führt der Angriff eine Art Zwischenseite im Stil einer „Online-Sicherheitsprüfung“ ein. Das Opfer sieht einen Verifizierungsschritt, bevor es zum eigentlichen Phishing-Inhalt gelangt. 

Ein solcher Schritt hat zwei Auswirkungen: Für das Opfer kann dadurch der Eindruck entstehen, dass die Seite geschützt ist oder professionell gehostet wird. Für Verteidiger und automatisierte Scanner erzeugt er zusätzliche Komplexität und kann die Sichtbarkeit der eigentlichen Phishing-Seite verringern. 

Microsoft-themed secure document page
Microsoft-ähnliche Seite für den sicheren Dokumentenzugriff mit dem von Angreifer bereitgestellten Gerätecode

Nach dem Verifizierungsschritt wechselt die Seite zu einer Microsoft-ähnlichen Oberfläche für sichere Dokumente. Die Seite verwendet Outlook-ähnliches Branding und Formulierungen zur Nachrichtenverschlüsselung. Sie verweist auf ein freigegebenes Dokument und zeigt eine PDF-Kachel an. 

Das entscheidende Element ist der kurze Code, der dem Opfer angezeigt wird. Die Seite weist den Benutzer an, ein Microsoft-Anmeldefenster zu öffnen, den angezeigten Code einzugeben, sich mit seinem Microsoft-Konto zu authentifizieren und anschließend zur Seite zurückzukehren, um die Nachricht zu lesen. 

Hier findet der entscheidende Übergang im Angriff statt. Die Phishing-Seite versucht nicht, das Passwort des Benutzers direkt abzugreifen. Stattdessen führt sie das Opfer dazu, einen legitimen Microsoft-Authentifizierungsablauf per Gerätecode abzuschließen, der vom Angreifer initiiert wurde. 

So funktioniert Microsoft Gerätecode-Phishing 

Legitimate Microsoft device-code authentication page
Legitime Microsoft-Authentifizierungsseite für Gerätecodes, die nach Anzeige des Kurzcodes auf der Phishing-Seite geöffnet wird 

Das Gerätecode-Verfahren von Microsoft OAuth 2.0 („OAuth 2.0 device authorization grant”) ist ein legitimer Authentifizierungsablauf. Es wurde für Geräte mit eingeschränkten Eingabemöglichkeiten entwickelt, etwa Smart-TVs, IoT-Geräte, Drucker oder andere Geräte, bei denen die direkte Eingabe von Zugangsdaten schwierig ist. In diesem Ablauf wird der Benutzer aufgefordert, auf einem anderen Gerät in einem Browser eine Verifizierungsseite aufzurufen, einen kurzen Benutzercode einzugeben und die Anmeldung abzuschließen. Sobald sich der Benutzer anmeldet, kann das anfragende Gerät Zugriffs- und Aktualisierungstoken erhalten.  

Angreifer missbrauchen diesen Ablauf, indem sie das Vertrauensmodell umkehren. 

In einem legitimen Szenario besitzt oder kontrolliert der Benutzer das Gerät, das die Authentifizierung anfordert. 

Bei diesem Angriff kontrolliert dagegen der Angreifer die Sitzung und fordert die Authentifizierung an. 

Der Benutzer wird dazu verleitet, den vom Angreifer bereitgestellten Code auf einer echten Microsoft-Seite einzugeben. Nachdem das Opfer sich angemeldet und die MFA abgeschlossen hat, stellt Microsoft gültige Tokens für die Sitzung aus, die den Gerätecode angefordert hat. 

Das bedeutet, dass das Opfer möglicherweise eine echte Microsoft-Anmeldeseite, eine legitime Microsoft-Domain und eine gewöhnliche MFA-Abfrage sieht. Aus Sicht des Benutzers sieht dabei nicht zwingend etwas wie eine klassische gefälschte Anmeldeseite aus. 

Der bösartige Teil ist nicht die Microsoft-Seite selbst. Der bösartige Teil besteht darin, dass das Opfer eine Sitzung autorisiert, die vom Angreifer kontrolliert wird. 

Frühere Untersuchungen von Microsoft zu Gerätecode-Phishing erklären, warum diese Methode für Angreifer attraktiv ist: Das Opfer authentifiziert sich über einen normalen Anmeldeprozess, während der Angreifer Tokens erhält, die Zugriff auf das Konto und die Daten des Opfers ermöglichen. Microsoft weist darauf hin, dass diese Tokens Zugriff auf Dienste wie E-Mail oder Cloud-Speicher erlauben können, ohne dass das Passwort erforderlich ist, solange die Tokens gültig bleiben. 

In dem beobachteten Beispiel führt die Angriffskette zur legitimen Microsoft-Seite für die Geräteauthentifizierung. Dem Opfer wird ein kurzer Code angezeigt, den es in den Microsoft-Ablauf eingibt; anschließend wird es zur Anmeldung aufgefordert. Der sichtbare Microsoft-Hinweis weist darauf hin, dass sich der Benutzer auf einem anderen Gerät bei Microsoft Authentication Broker anmeldet. 

Das ist hochrelevant. Der Angriff stiehlt nicht nur Zugangsdaten. Stattdessen versucht er über abgefangene OAuth-Tokens einen bereits authentifizierten Zugriff auf Microsoft 365 zu erlangen. 

Wie sich dieses Beispiel mit der FBI-Warnung vergleichen lässt 

Der beobachtete Angriff stimmt auf strategischer Ebene weitgehend mit der Beschreibung von Kali365 durch das FBI überein. 

Die FBI-Warnung beschreibt ein Phishing-as-a-Service-Kit, das Angreifern ermöglicht, Microsoft-365-Access-Tokens zu erlangen, MFA zu umgehen, ohne Zugangsdaten abzufangen, und durch OAuth-Token-Erfassung dauerhaften Zugriff auf Microsoft-365-Umgebungen zu erhalten. 

Dieses Beispiel zeigt dieselbe Kerntechnik: 

  • Das Opfer erhält eine geschäftsbezogene Phishing-E-Mail. 
  • Der Köder führt in einen Dokumentenzugriffs-Workflow. 
  • Dem Opfer wird ein Gerätecode angezeigt. 
  • Das Opfer wird in einen legitimen Microsoft-Verifizierungs- und Anmeldeablauf gedrängt. 
  • Das wahrscheinliche Ziel des Angreifers ist der Diebstahl von Microsoft-365-Tokens und nicht die direkte Erfassung des Passworts. 

Es gibt jedoch auch wichtige Unterschiede. 

In der vereinfachten Angriffsbeschreibung des FBI enthält die Phishing-E-Mail den Gerätecode und die Anweisung, die Microsoft-Verifizierungsseite aufzurufen. Im beobachteten Beispiel wird der Gerätecode nicht direkt in der E-Mail angezeigt. Stattdessen führt die E-Mail im ersten Schritt zu einem gehosteten Dokumentenköder, dann zu einer Phishing-Seite und erst dort wird dem Opfer der Gerätecode angezeigt. 

Das ist kein Widerspruch, aber es handelt sich um eine stärker geschichtete operative Variante derselben Technik. 

Die FBI-Warnung beschreibt Kali365 darüber hinaus allgemeiner als PhaaS-Plattform, die KI-generierten Phishing-Köder, Kampagnenvorlagen, Tracking-Dashboards und Funktionen zur Erfassung von OAuth-Tokens umfasst. Diese weitergehenden Plattformmerkmale sind in dieser einzelnen E-Mail-Kette nicht vollständig ersichtlich. In diesem Fall ist lediglich der Teil des Gerätecode-Phishings der Angriffskette sichtbar.

Erkennungsmerkmale und zentrale Abwehrmaßnahmen 

Dieser Angriff verdeutlicht, warum sich Verteidiger nicht allein darauf verlassen sollten, ob die finale Anmeldeseite legitim ist. In diesem Fall ist die Microsoft-Authentifizierungsseite legitim. Der Betrug findet statt, bevor das Opfer diese Seite erreicht. 

Nützliche Signale für Erkennung und Triage sind unter anderem: 

  • Unerwartete E-Mails zu Zahlungen, Rechnungen, Überweisungen oder Belegen, die zu externem Dokument-Hosting oder öffentlichen SaaS-URLs führen. 
  • Mehrstufige Klickketten, bei denen eine vertrauenswürdige SaaS-Seite auf eine neu beobachtete oder thematisch nicht passende Domain weiterleitet. 
  • Cloudflare-ähnliche oder CAPTCHA-ähnliche Zwischenseiten, die vor den Seiten des Dokumentzugriffs erscheinen. 
  • Seiten, die einen kurzen Code anzeigen und den Benutzer anweisen, eine Microsoft-Anmeldeseite zu öffnen. 
  • Authentifizierungsereignisse, die den Microsoft-Gerätecode-Ablauf verwenden, obwohl dafür kein erkennbarer geschäftlicher Bedarf besteht.  
  • Anmeldungen mit Microsoft Authentication Broker oder Gerätecode-Authentifizierungsmustern, die nicht dem üblichen Benutzerverhalten entsprechen. 

Microsoft empfiehlt Unternehmen, die Nutzung des Gerätecode-Ablaufs möglichst vollständig zu blockieren. Zuvor sollten bestehende Anwendungsfälle geprüft werden, sodass nur dokumentierte und angemessen abgesicherte Einsatzzwecke weiterhin zugelassen werden. Microsoft empfiehlt außerdem, Conditional-Access-Richtlinien zu verwenden, um Gerätecode-Abläufe dort zu blockieren, wo sie nicht benötigt werden. 

Die Dokumentation von Microsoft zu „Managed Conditional Access“ weist ebenfalls darauf hin, dass Gerätecode-Abläufe von Kunden nur selten genutzt werden, von Angreifern jedoch häufig. Microsoft empfiehlt daher, den Gerätecode-Ablauf zu blockieren, um diesen Angriffsvektor zu beseitigen.

Fazit

Kali365 device-code phishing attack chain
Kali365 device-code phishing attack chain

Gerätecode-Phishing im Stil von Kali365 verändert die Anforderungen hinsichtlich der Sensibilisierung von Nutzern. 

Benutzer wurden lange darauf trainiert, zu überprüfen, ob eine Anmeldeseite echt aussieht. Bei diesem Angriff reicht dieser Rat jedoch nicht mehr aus. Die finale Anmeldeseite kann echt sein, die MFA-Abfrage kann echt sein und die Microsoft-Domain kann echt sein, während die autorisierte Sitzung dennoch vom Angreifer kontrolliert wird. 

Der verdächtige Moment ist nicht nur die Anmeldeseite. Verdächtig ist vor allem die Aufforderung, einen kurzen Code einzugeben, der von einer E-Mail oder einer Dokumentenseite bereitgestellt wurde. 

Das bedeutet für Verteidiger, dass die besten Chancen, einen Angriff zu stoppen, früher in der Kette liegen: E-Mail-Filterung, URL-Analyse, Inspektion von Weiterleitungsketten, Meldungen verdächtiger Aktivitäten durch Benutzer sowie Conditional-Access-Kontrollen, die die Gerätecode-Authentifizierung einschränken, bevor aus einem vermeintlich sicheren Dokumentenköder ein tokenbasierter Zugriff auf Microsoft 365 wird. 

Weitere beobachtete Aktivität

Eine aktuellere Variante dieser Aktivität wurde am 2. Juni 2026 beobachtet, was darauf hindeutet, dass diese Gerätecode-Phishing-Technik weiterhin aktiv eingesetzt wird. Zwar änderte sich der Köder von einer elektronischen Zahlungsbenachrichtigung zu einer dringenden Antragsprüfung, das grundlegende Angriffsmuster blieb jedoch gleich: Das Opfer wurde von einem E-Mail-Köder zunächst auf eine von Dritten gehostete Seite und anschließend auf eine Phishing-Seite weitergeleitet, auf der ein kurzer Gerätecode angezeigt wurde. Von dort aus wurde es schließlich zum legitimen Microsoft-Authentifizierungsablauf per Gerätecode geführt. 

Diese Variante unterstreicht die zentrale Erkenntnis für die Abwehr: Die Microsoft-Authentifizierungsseite kann vollkommen legitim sein, während die autorisierte Sitzung dennoch dem Angreifer gehört. 

Recent Kali365 device-code phishing variant observed on June 2, 2026
Neuere Kali365-Variante für Gerätecode-Phishing, beobachtet am 2. Juni 2026

Indikatoren für Kompromittierung (IoCs) 

TypWertBeschreibung
URLhxxps://mixpanel[.]com/public/5TwfnfSBNLp72xaBMcuEwT Gehosteter Dokumentenköder der ersten Stufe 
URLhxxps://biovelt[.]com/@trianzpropGehosteter Dokumentenköder der ersten Stufe 
URLhxxps://6civt6gowo[.]clearprocesses[.]de/l/375eYPgUe-4 Kali365-Phishing-Seite der zweiten Stufe 
URLhxxps://l2k9vlvw7p[.]brinautomotivekow[.]sbs/l/fjOZveI_IVw Kali365-Phishing-Seite der zweiten Stufe 
Domain6civt6gowo[.]clearprocesses[.]de Phishing-Subdomain 
Domainl2k9vlvw7p[.]brinautomotivekow[.]sbs Phishing-Subdomain 
IP104.21.28[.]254 Beobachteter IP-Indikator 

Dies könnte Sie auch interessieren