Francouzští výzkumníci z Lexfo objevili 13. července 2026 tři aktivní phishingové kampaně založené na Evilginx poté, co útočník nechal veřejně přístupný Python webový server s povoleným výpisem adresáře.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the details of the recent Microsoft 365 phishing campaigns exposed by a misconfigured se. Article summary: On **July 13, 2026**, researchers at the French security firm **Lexfo** uncovered three live Evilginx-based phishing operations targeting Microsoft 365 after an attacker left a Python web server exposed on a public port . Topic tags: general, government, education, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, wat
V červenci 2026 došlo ke dvěma paralelním objevům, které odhalily prudký nárůst sofistikovaných phishingových útoků na Microsoft 365. Tyto útoky obcházejí multi-faktorovou autentizaci (MFA) dvěma zásadně odlišnými metodami: proxy útoky typu adversary-in-the-middle (AiTM) a zneužitím autentizace pomocí device code. První objev přišel díky chybě samotného útočníka – chybně nakonfigurovanému Python webovému serveru, který odhalil tři probíhající kampaně. Druhý objev vzešel od výzkumníků, kteří sledovali novou komerční phishingovou platformu s názvem Forg365. Pochopení toho, jak každý útok funguje, je prvním krokem k nasazení správné obrany, protože řešení pro jeden typ nezastaví ten druhý.
13. července 2026 odhalili výzkumníci z francouzské bezpečnostní firmy Lexfo tři živé phishingové operace založené na Evilginx, které cílily na Microsoft 365. Útočník nechal Python webový server veřejně přístupný na portu 8080 s povoleným výpisem adresáře. V .bash_history serveru byl stále viditelný příkaz python3 -m http.server 8080.
Všechny tři operace byly AiTM phishingové kampaně založené na Evilginx, které proxyovaly přihlašovací stránky Microsoft 365 a kradly session tokeny poté, co uživatel dokončil MFA . Jedna ze tří kampaní zaznamenala 218 ukradených účtů z 12 zemí, z nichž 94 % tvořily firemní schránky
. Operace používaly dvě odlišné útočné cesty: krádež session tokenů Evilginx (pomocí AiTM proxy) a device code phishing – jedna sada nástrojů posílala oběti na skutečnou přihlašovací stránku Microsoftu pro zařízení, kde si samy autorizovaly přístup, a útočníkův backend token následně vyzvedl
.
Samostatně byla identifikována platforma Forg365 poskytující phishing jako službu (PhaaS). Výzkumníci z ZeroBEC ji nahlásili 9.–13. července 2026 jako komerční sadu nástrojů distribuovanou přes Telegram za 400 dolarů měsíčně (nebo 3 800 dolarů ročně). Na rozdíl od vlastních forků Evilginx nalezených na odhaleném serveru Forg365 spojuje několik útočných metod a nástrojů do jediného ovládacího panelu .
Forg365 kombinuje tři klíčové schopnosti:
Platforma dále zahrnuje obcházení antibot ochran (detekce sandboxů a bezpečnostních crawlerů), přístup do schránky po kompromitaci (operátoři mohou z panelu prohlížet a stahovat e-maily), rotaci SMTP serverů a plánování kampaní .
Tyto dva objevy ilustrují zásadní rozdíl mezi AiTM proxy útoky a zneužitím device code. Pochopení rozdílu je klíčové, protože stejná obrana nefunguje pro oba typy:
AiTM proxy útoky (styl Evilginx): Útočník vytvoří falešnou přihlašovací stránku, která proxyuje provoz na skutečnou přihlašovací stránku Microsoftu. Uživatel zadá své heslo a dokončí MFA na útočníkově proxy. Po úspěšné autentizaci Microsoft vydá session cookie prohlížeči, o kterém se domnívá, že je legitimní – ale tato cookie ve skutečnosti skončí u útočníkovy proxy, nikoli v prohlížeči uživatele. Útočník pak může tuto cookie znovu použít k přístupu k účtu oběti v Microsoft 365 .
Device code phishing: Útočník vygeneruje legitimní device code Microsoftu (krátký kód používaný k přihlášení na zařízeních bez klávesnice, jako jsou chytré televize) a pošle ho oběti v phishingovém e-mailu. Oběť navštíví skutečnou přihlašovací stránku Microsoftu, zadá kód, dokončí MFA a autorizuje útočníkovu aplikaci. Nic není „obcházeno“ – oběť sama přístup autorizovala. Útočníkův backend pak u Microsoftu vyzvedne token .
Nejúčinnější obranou proti AiTM proxy útokům je phishing-resistant MFA, konkrétně FIDO2/WebAuthn a passkeys. Ty vážou přihlašovací údaje k legitimnímu názvu domény, takže když se prohlížeč uživatele připojí k útočníkově proxy stránce (která má jinou doménu), autentizační protokol detekuje neshodu domén a automaticky zablokuje výměnu přihlašovacích údajů .
Další obrana zahrnuje:
Device code phishing nevyžaduje, aby útočník přiměl oběť zadat přihlašovací údaje na falešné stránce – oběť komunikuje se skutečnou přihlašovací stránkou Microsoftu. To znamená, že samotné FIDO2/passkeys proti tomuto útoku plně nechrání, protože je používán legitimní OAuth tok .
Primární obranou je zablokovat OAuth device code grant pro uživatele, kteří ho nepotřebují, pomocí Microsoft Entra ID Conditional Access:
Další obrana:
FBI ve svém veřejném oznámení z května 2026 o PhaaS platformě Kali365 konkrétně doporučila blokování device code toku jako primární obranu . Jak phishingové platformy jako Forg365 nadále komercializují tyto útočné techniky, je operační naléhavost pro obránce jasná: nasaďte FIDO2/passkeys pro všechny privilegované účty k zastavení AiTM proxy útoků a pomocí Conditional Access zakažte device code grant uživatelům, kteří ho nepotřebují. Jeden otevřený adresář možná odhalil tři kampaně – ale ponaučení platí pro všechny tenanty Microsoft 365.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Francouzští výzkumníci z Lexfo objevili 13. července 2026 tři aktivní phishingové kampaně založené na Evilginx poté, co útočník nechal veřejně přístupný Python webový server s povoleným výpisem adresáře.
Francouzští výzkumníci z Lexfo objevili 13. července 2026 tři aktivní phishingové kampaně založené na Evilginx poté, co útočník nechal veřejně přístupný Python webový server s povoleným výpisem adresáře. Základní rozdíl v obraně: proti AiTM proxy útokům pomáhá phishing resistant MFA (FIDO2/passkeys), zatímco device code phishing nejlépe zastavíte blokováním OAuth device code grantu v Microsoft Entra ID Conditional Acc...