En bølge af phishing as a service kits (PhaaS) i 2026 – anført af Forg365, Jalisco og OmegaLord – omgår multifaktorgodkendelse ved at kapre selve login processen, ikke ved at bryde krypteringen. ForgCookie browserudvidelsen fornyer automatisk stjålne session cookies, så angribere får vedvarende adgang til Outlook, T...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is the latest wave of phishing threats targeting Microsoft 365 accounts, including the Forg3. Article summary: Here is a comprehensive, sourced analysis of the latest wave of Microsoft 365 phishing threats as of July 2026.. Topic tags: general, government, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it usefu
Sikkerhedsforskere har dokumenteret en markant optrapning af phishing-as-a-service-platforme (PhaaS) og kits, der er specifikt designet til at omgå multifaktorgodkendelse (MFA) på Microsoft 365-konti. I stedet for at bryde kryptografiske MFA-flow kaprer disse angreb selve den legitime godkendelsesproces – de opsnapper session-tokens, misbruger OAuth-enhedskodeflow eller proxierer ægte logins, så offerets egen MFA-godkendelse arbejder i angriberens favør .
Først offentliggjort den 9. juli 2026 af ZeroBEC og BleepingComputer er Forg365 en abonnementsbaseret ($400/måned) PhaaS-platform distribueret via Telegram . Den samler tre banebrydende egenskaber:
microsoft.com/devicelogin, som godkender angriberens klient) En tilhørende browserudvidelse, ForgCookie, er kompatibel med Chrome, Edge og Brave . Når offerets session-tokens eller cookies er høstet, fornyer ForgCookie automatisk stjålne session-cookies, hvilket giver angriberen mulighed for at bevare adgangen til Microsoft 365-tjenester (Outlook, Teams, OneDrive, SharePoint) uden gennemgodkendelse – selv efter offeret ændrer deres adgangskode
. Dette forvandler et engangstokengreb til en vedvarende, langvarig kompromittering.
Offentliggjort af ReliaQuest og BleepingComputer den 14. juli 2026 er Jalisco et enhedskode-phishing-kit, der aktivt bruges mod Microsoft 365-konti . Det virker ved at:
Det betyder, at MFA ikke er "knækket" – den er blevet bevæbnet.
Også rapporteret den 14. juli 2026 tager OmegaLord en anden tilgang: den maskerer sig som en falsk PDF-læser-browserside . Når ofre lander på siden:
Flere kilder bekræfter en bredere industritrend:
Den kritiske indsigt på tværs af alle disse trusler er, at MFA ikke teknisk besejres – den kapres:
| Teknik | Hvad sker der | Hvorfor MFA ikke stopper det |
|---|---|---|
| Enhedskode-phishing | Offeret indtaster angriberens kode på Microsofts rigtige login-side, gennemfører deres egen MFA | Tokenet går til angriberens app. MFA godkendte den rigtige bruger – for den forkerte klient. |
| AiTM-proxying | Offeret logger ind via angriberens proxy, MFA gennemføres normalt | Angriberen opsnapper session-cookien i realtid og kaprer sessionen. |
| Legitimationsoplysning + OTP-høst | Falsk login-formular fanger adgangskode og OTP samtidigt | OTP bruges straks af angriberen, før den udløber. |
Dette er grunden til, at traditionel MFA alene ikke længere er et tilstrækkeligt forsvar .
Baseret på flere advisories anbefales følgende afbødningsforanstaltninger kraftigt:
devicecode-godkendelse).offline_access, Mail.Read eller Files.ReadWrite.All-tilladelser.Disse anbefalinger er hentet fra FBI PSA , Microsoft Security Blog
, BleepingComputer
og ReliaQuest trusselsanalyse
.
2026-bølgen af Microsoft 365-phishing – ledet af Forg365 (med dens ForgCookie-persistensudvidelse), Jalisco, OmegaLord og det bredere økosystem af enhedskode- og AiTM-kits – repræsenterer et paradigmeskifte. Angribere behøver ikke længere at stjæle adgangskoder eller bryde MFA. I stedet misbruger de OAuth-tillidsmodellen til at få offerets egen godkendelse til at autorisere en angriberkontrolleret session. Sikkerhedssamfundets konsensusanbefaling er en nul-tillidsposition: deaktiver ubrugte godkendelsesflow, håndhæv Conditional Access, overvåg tokentildelinger, og bevæg dig mod phishing-resistent MFA .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
En bølge af phishing as a service kits (PhaaS) i 2026 – anført af Forg365, Jalisco og OmegaLord – omgår multifaktorgodkendelse ved at kapre selve login processen, ikke ved at bryde krypteringen.
En bølge af phishing as a service kits (PhaaS) i 2026 – anført af Forg365, Jalisco og OmegaLord – omgår multifaktorgodkendelse ved at kapre selve login processen, ikke ved at bryde krypteringen. ForgCookie browserudvidelsen fornyer automatisk stjålne session cookies, så angribere får vedvarende adgang til Outlook, Teams og OneDrive, selv efter en adgangskodeændring.