Im Mittelpunkt des Angriffs steht nicht der klassische Passwortdiebstahl, sondern die missbräuchliche Nutzung von Microsoft Zugriffstoken. Diese Token werden normalerweise verwendet, um berechtigten Anwendungen den Zugriff auf Dienste wie Outlook, Teams oder OneDrive zu ermöglichen. Gelangen Angreifer an solche Zugriffsdaten, können sie sich unter Umständen als legitimer Nutzer ausgeben.
Wie Kali365 funktioniert
Der Angriff beginnt typischerweise mit einer Phishing Nachricht. Diese E Mail wirkt so, als stamme sie von einem vertrauenswürdigen Cloud Dienst, einem Dokumentenportal oder einer Plattform zur Dateifreigabe. In der Nachricht befindet sich ein Code sowie die Aufforderung, eine echte Microsoft Verifizierungsseite aufzurufen und den Code dort einzugeben.
Gerade dieser Punkt macht den Angriff besonders gefährlich. Der Nutzer landet nicht zwingend auf einer offensichtlich gefälschten Webseite, sondern kann tatsächlich auf einer legitimen Microsoft Seite landen. Durch die Eingabe des Codes autorisiert der Nutzer jedoch unbewusst den Zugriff des Angreifers auf das Konto.
Nach erfolgreicher Eingabe kann der Angreifer OAuth Zugriffsinformationen erfassen. OAuth wird in modernen Cloud Umgebungen häufig eingesetzt, um Anwendungen den Zugriff auf Kontodaten zu erlauben, ohne dass das Passwort direkt weitergegeben wird. Wird dieser Mechanismus missbraucht, können Angreifer Zugriff auf Microsoft 365 Dienste erhalten, darunter Outlook, Microsoft Teams und OneDrive.
Warum der Angriff trotz Mehrfaktor Authentifizierung gefährlich ist
Die Mehrfaktor Authentifizierung gilt grundsätzlich als wichtige Schutzmaßnahme gegen unbefugte Kontoübernahmen. Bei Kali365 liegt das Problem jedoch darin, dass der Nutzer selbst eine scheinbar legitime Freigabe auslöst. Der Angreifer benötigt in diesem Szenario nicht zwingend das Passwort und muss auch keinen klassischen zweiten Faktor abfangen.
Stattdessen wird der Zugriff über eine autorisierte Sitzung oder über OAuth Berechtigungen hergestellt. Dadurch kann der Angreifer unter Umständen auf Microsoft Dienste zugreifen, ohne erneut eine zusätzliche Sicherheitsabfrage auslösen zu müssen. Für betroffene Nutzer ist der Angriff daher oft schwer zu erkennen.
Mögliche Folgen für Outlook.com und Microsoft 365 Nutzer
Nach einer erfolgreichen Kompromittierung können Angreifer auf verschiedene Dienste innerhalb des Microsoft Kontos zugreifen. Besonders betroffen sind E Mail Daten, gespeicherte Dateien, Kontakte, Kalenderinformationen und Kommunikationsverläufe.
In Outlook können Angreifer Regeln anlegen, Nachrichten automatisch weiterleiten oder bestimmte E Mails ausblenden. In OneDrive können Dateien eingesehen, kopiert oder manipuliert werden. In Teams besteht die Gefahr, dass interne Kommunikation ausgespäht oder weitere Phishing Nachrichten im Namen des betroffenen Nutzers verschickt werden.
Zusätzlich besteht das Risiko, dass Angreifer weitere Sicherheitsmechanismen verändern. Dazu gehören unbekannte Geräte, fremde Wiederherstellungsinformationen, zusätzliche Alias Adressen oder nicht autorisierte App Berechtigungen.
Keine Lösegeldzahlung bei Erpressungsversuchen
Wird ein Nutzer nach einer Kontoübernahme zur Zahlung eines Lösegeldes aufgefordert, sollte keine Zahlung erfolgen. Eine Zahlung garantiert keine Wiederherstellung von Daten oder Kontozugriffen. Zudem finanzieren solche Zahlungen weitere Angriffe und stärken die kriminelle Infrastruktur hinter derartigen Kampagnen.
Stattdessen sollte das Konto umgehend abgesichert, auf verdächtige Änderungen geprüft und der Vorfall dokumentiert werden. Besonders wichtig ist es, nicht nur das Passwort zu ändern, sondern auch versteckte Manipulationen im Konto und in Outlook zu entfernen.
Microsoft Konto sofort absichern
Betroffene Nutzer sollten sich zunächst direkt über die offizielle Microsoft Kontoseite anmelden. Dort sollten alle hinterlegten Alias Adressen überprüft werden. Nicht bekannte Alias Einträge müssen entfernt werden, da sie von Angreifern zur späteren Wiederherstellung oder erneuten Übernahme des Kontos genutzt werden könnten.
Anschließend sollte im Gerätebereich geprüft werden, welche Geräte mit dem Konto verbunden sind. Unbekannte oder nicht mehr verwendete Geräte sollten entfernt werden. Ebenso wichtig ist der Bereich zur Anmeldung und Sicherheit. Dort sollte das Passwort geändert und die zweistufige Überprüfung aktiviert oder neu eingerichtet werden.
Auch alle Kontaktinformationen zur Wiederherstellung des Kontos müssen kontrolliert werden. Dazu gehören E Mail Adressen und Telefonnummern. Nur Informationen, die eindeutig dem rechtmäßigen Kontoinhaber gehören, sollten dort hinterlegt sein.
Am Ende der Sicherheitsseite sollten vorhandene App Passwörter geprüft werden. Nicht bekannte oder nicht mehr benötigte App Passwörter sollten gelöscht werden. Danach empfiehlt sich die Funktion zur Abmeldung auf allen Geräten, damit bestehende Sitzungen beendet werden.
Wiederherstellungscode sicher aufbewahren
Nach der Absicherung des Kontos sollte ein Wiederherstellungscode erstellt werden. Dieser Code ist wichtig, falls der Zugriff auf das Konto später erneut überprüft oder wiederhergestellt werden muss. Er sollte an einem sicheren Ort gespeichert werden, idealerweise getrennt von den regulären Zugangsdaten.
Eine sinnvolle Vorgehensweise besteht darin, den Code sowohl offline als auch auf einem zweiten geschützten Gerät aufzubewahren. Entscheidend ist, dass der Wiederherstellungscode nicht in einem kompromittierten Postfach oder in einem unsicheren Cloud Speicher abgelegt wird.
App Zugriff und Berechtigungen prüfen
Ein weiterer zentraler Schritt betrifft die App Berechtigungen. In den Datenschutzeinstellungen des Microsoft Kontos sollten Nutzer prüfen, welche Anwendungen Zugriff auf das Konto haben. Anwendungen, die nicht bekannt sind oder nicht mehr verwendet werden, sollten blockiert oder entfernt werden.
Gerade bei Angriffen, die OAuth Berechtigungen missbrauchen, ist dieser Schritt besonders wichtig. Ein geändertes Passwort allein reicht nicht immer aus, wenn eine bösartige oder missbräuchlich autorisierte Anwendung weiterhin Zugriff auf das Konto besitzt.
System mit Microsoft Safety Scanner überprüfen
Zusätzlich zur Kontoprüfung sollte das betroffene Windows System auf Schadsoftware untersucht werden. Microsoft stellt dafür den Microsoft Safety Scanner bereit. Dieses Werkzeug kann Malware erkennen und entfernen, die möglicherweise im Zusammenhang mit dem Angriff steht.
Eine lokale Überprüfung ist besonders dann wichtig, wenn ungewöhnliche Aktivitäten nicht nur im Microsoft Konto, sondern auch auf dem Computer selbst festgestellt wurden. Dazu zählen verdächtige Browser Erweiterungen, unbekannte Programme oder unerklärliche Systemänderungen.
Outlook im Web auf Manipulationen kontrollieren
Nach einer Kontoübernahme sollten Nutzer Outlook im Web besonders gründlich prüfen. In den Einstellungen unter Mail befinden sich mehrere Bereiche, die von Angreifern häufig manipuliert werden.
Im Bereich Regeln sollten alle unbekannten Regeln gelöscht werden. Angreifer nutzen solche Regeln häufig, um Sicherheitsmeldungen, Antworten von Kontakten oder Hinweise auf verdächtige Aktivitäten automatisch zu verschieben oder zu löschen.
Auch die bedingte Formatierung sollte überprüft werden. Unbekannte Formatierungsregeln können dazu dienen, bestimmte Nachrichten optisch unauffälliger erscheinen zu lassen. Im Bereich Weiterleitung und IMAP sollte geprüft werden, ob eine automatische Weiterleitung aktiviert wurde. Ist dies der Fall und wurde sie nicht vom Nutzer selbst eingerichtet, muss sie deaktiviert werden.
Zusätzlich sollten POP und IMAP deaktiviert werden, wenn diese Zugriffsarten nicht benötigt werden. Dadurch lässt sich verhindern, dass Angreifer über ältere oder weniger kontrollierte Zugriffswege weiterhin E Mails abrufen.
Junk E Mail Listen und Microsoft To Do prüfen
Auch die Listen für sichere Absender und blockierte Absender sollten überprüft werden. Unbekannte Einträge können Hinweise auf Manipulationen sein. Angreifer könnten sichere Absender hinzufügen, um betrügerische Nachrichten leichter durch Filter zu bringen, oder legitime Absender blockieren, um Warnungen zu unterdrücken.
Zusätzlich sollte Microsoft To Do kontrolliert werden. In Outlook im Web lässt sich der To Do Bereich über das blaue Häkchen Symbol öffnen. Dort sollten alle Einträge gelöscht werden, die nicht vom Nutzer selbst erstellt wurden. Auch Aufgaben können im Rahmen einer Kontoübernahme missbraucht werden, etwa zur Vorbereitung weiterer Angriffe oder zur internen Organisation gestohlener Informationen.
Vorbeugende Schutzmaßnahmen
Die Absicherung eines Kontos ist vor einem Angriff deutlich einfacher als nach einer erfolgreichen Kompromittierung. Nutzer sollten für ihr Microsoft Konto und andere wichtige Konten eine Mehrfaktor Authentifizierung aktivieren. Trotz der beschriebenen Angriffsmethode bleibt MFA eine zentrale Schutzmaßnahme gegen viele andere Formen der Kontoübernahme.
Gleichzeitig sollten Nutzer bei E Mails mit Links, Anhängen oder Anmeldeaufforderungen besonders aufmerksam sein. Nachrichten von unbekannten Absendern oder unerwartete Freigabeanfragen sollten nicht ungeprüft geöffnet werden.
Bei angeblichen Anfragen eines Unternehmens empfiehlt es sich, die Echtheit über einen bekannten und unabhängigen Kontaktweg zu überprüfen. Dazu sollte nicht die Telefonnummer oder der Link aus der verdächtigen Nachricht verwendet werden, sondern eine bereits bekannte offizielle Kontaktmöglichkeit.
Ebenso wichtig ist die regelmäßige Aktualisierung von Betriebssystemen, Browsern, Office Anwendungen und Sicherheitssoftware. Sicherheitsupdates schließen bekannte Schwachstellen und reduzieren das Risiko erfolgreicher Angriffe.
Nutzer sollten außerdem regelmäßig die Kontoaktivität prüfen. Ungewöhnliche Anmeldungen, unbekannte Geräte oder nicht nachvollziehbare Änderungen an Sicherheitseinstellungen können frühe Hinweise auf eine Kompromittierung sein.
Fazit
Kali365 zeigt, dass moderne Phishing Angriffe zunehmend auf legitime Anmeldeprozesse und Autorisierungsmechanismen setzen. Der Diebstahl eines Passworts ist nicht mehr zwingend erforderlich, um Zugriff auf Microsoft 365 Dienste zu erhalten. Besonders OAuth Berechtigungen, aktive Sitzungen und manipulierte Kontoeinstellungen spielen bei solchen Angriffen eine zentrale Rolle.
Für Nutzer von Outlook.com und Microsoft 365 bedeutet dies, dass Sicherheitsmaßnahmen breiter gedacht werden müssen. Neben starken Passwörtern und Mehrfaktor Authentifizierung sind regelmäßige Prüfungen von Geräten, App Berechtigungen, Weiterleitungen, Outlook Regeln und Wiederherstellungsinformationen entscheidend. Nur durch diese Kombination lässt sich das Risiko einer unbemerkten Kontoübernahme deutlich reduzieren.
