Am 13. Juli 2026 entdeckten Forscher der französischen Sicherheitsfirma Lexfo drei aktive Evilginx Phishing Kampagnen gegen Microsoft 365, nachdem ein Angreifer einen Python Webserver mit aktiviertem Directory Listing...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the details of the recent Microsoft 365 phishing campaigns exposed by a misconfigured se. Article summary: On **July 13, 2026**, researchers at the French security firm **Lexfo** uncovered three live Evilginx-based phishing operations targeting Microsoft 365 after an attacker left a Python web server exposed on a public port . Topic tags: general, government, education, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, wat
Im Juli 2026 führten zwei parallele Entdeckungen zu einem alarmierenden Befund: Eine Welle hochprofessioneller Phishing-Angriffe auf Microsoft 365 umgeht die Multi-Faktor-Authentifizierung (MFA) auf zwei grundlegend verschiedene Weisen: Adversary-in-the-Middle (AiTM)-Proxy-Angriffe und der Missbrauch der Device-Code-Authentifizierung. Der erste Durchbruch gelang durch einen fatalen Fehler eines Angreifers – einen falsch konfigurierten Python-Webserver, der drei aktive Kampagnen offenlegte. Die zweite Entdeckung führte zu einer neuen kommerziellen Phishing-Plattform namens Forg365. Wer versteht, wie jeder dieser Angriffe funktioniert, kann die richtigen Abwehrmaßnahmen ergreifen – denn der Schutz gegen die eine Methode stoppt die andere nicht.
Am 13. Juli 2026 deckten Forscher der französischen Sicherheitsfirma Lexfo drei aktive, auf Evilginx basierende Phishing-Operationen gegen Microsoft 365 auf. Ein Angreifer hatte einen Python-Webserver auf einem öffentlichen Port mit aktiviertem Directory-Listing laufen lassen. Der Befehl python3 -m http.server 8080.bash_history des Servers sichtbar. Über dieses offene Verzeichnis erbeutete Lexfo das gesamte Toolkit, die Protokolle, gestohlene Opferdaten und identifizierte zwei weitere Betreiber separater Kampagnen .
Alle drei Operationen waren Evilginx-basierte AiTM-Phishing-Kampagnen, die Microsoft-365-Anmeldeseiten über einen Reverse-Proxy leiteten, um Sitzungstoken zu stehlen, nachdem der Benutzer die MFA abgeschlossen hatte . Eine der drei Kampagnen hatte 218 erbeutete Konten aus 12 Ländern protokolliert, von denen 94 % Unternehmenspostfächer waren
. Die Operationen nutzten zwei verschiedene Angriffspfade: Evilginx-Sitzungstoken-Diebstahl (über einen AiTM-Proxy) und Device-Code-Phishing – ein Kit leitete die Opfer direkt zur echten Microsoft-Geräte-Anmeldeseite, wo sie den Zugriff selbst autorisierten, während das Backend des Angreifers auf das Token wartete
.
Unabhängig davon wurde die Forg365-Phishing-as-a-Service (PhaaS)-Plattform von ZeroBEC-Forschern (gemeldet vom 9. bis 13. Juli 2026) identifiziert. Es handelt sich um ein kommerzielles, über Telegram vertriebenes Kit, das 400 US-Dollar pro Monat (oder 3.800 US-Dollar pro Jahr) kostet. Anders als die benutzerdefinierten Evilginx-Forks auf dem offengelegten Server bündelt Forg365 mehrere Angriffsmethoden und -werkzeuge in einem einzigen Bedienfeld .
Forg365 kombiniert drei Kernfähigkeiten:
Die Plattform umfasst auch Antibot-Umgehung (erkennt Sandboxen und Sicherheits-Crawler), Post-Kompromittierungs-Postfachzugriff (Betreiber können E-Mails aus dem Panel heraus durchsuchen und exfiltrieren), SMTP-Rotation und Kampagnenplanung .
Diese beiden Entdeckungen verdeutlichen den entscheidenden Unterschied zwischen AiTM-Proxy-Angriffen und Device-Code-Missbrauch. Das Verständnis des Unterschieds ist essenziell, denn derselbe Schutz wirkt nicht gegen beide:
AiTM-Proxy-Angriffe (Evilginx-Stil): Der Angreifer richtet eine gefälschte Anmeldeseite ein, die den Datenverkehr zur echten Microsoft-Anmeldeseite weiterleitet. Der Benutzer gibt sein Passwort ein und schließt die MFA auf dem Proxy des Angreifers ab. Nach erfolgreicher Authentifizierung stellt Microsoft ein Sitzungscookie aus, von dem es glaubt, dass es zum Browser des legitimen Benutzers gehört – aber dieses Cookie landet tatsächlich im Proxy des Angreifers, nicht im Browser des Benutzers. Der Angreifer kann dieses Cookie dann wiederverwenden, um auf das Microsoft-365-Konto des Opfers zuzugreifen .
Device-Code-Phishing: Der Angreifer generiert einen legitimen Microsoft-Gerätecode (einen kurzen Code, der für die Anmeldung auf geräten ohne Tastatur wie Smart-TVs verwendet wird) und sendet ihn dem Opfer in einer Phishing-E-Mail. Das Opfer besucht die echte Microsoft-Anmeldeseite, gibt den Code ein, schließt die MFA ab und autorisiert die Anwendung des Angreifers. Es wird nichts „umgangen“ – das Opfer hat den Zugriff autorisiert. Das Backend des Angreifers fragt dann bei Microsoft nach dem Token .
Der wirksamste Einzelschutz gegen AiTM-Proxy-Angriffe ist phishing-resistente MFA, insbesondere FIDO2/WebAuthn und Passkeys. Diese binden die Anmeldedaten an den legitimen Domainnamen. Wenn der Browser des Benutzers eine Verbindung zur Proxy-Seite des Angreifers (mit einer anderen Domain) herstellt, erkennt das Authentifizierungsprotokoll die Domain-Diskrepanz und blockiert den Austausch der Anmeldedaten automatisch .
Weitere Abwehrmaßnahmen umfassen:
Device-Code-Phishing erfordert nicht, dass der Angreifer das Opfer dazu bringt, Anmeldedaten auf einer gefälschten Seite einzugeben – der Benutzer interagiert mit der echten Microsoft-Anmeldeseite. Das bedeutet, dass FIDO2/Passkeys allein nicht vollständig vor diesem Angriff schützen, da der legitime OAuth-Fluss verwendet wird .
Die primäre Abwehrmaßnahme besteht darin, den Device-Code-OAuth-Grant für Benutzer zu blockieren, die ihn nicht benötigen, und zwar mit Microsoft Entra ID Conditional Access:
Zusätzliche Abwehrmaßnahmen:
Die öffentliche Bekanntmachung des FBI vom Mai 2026 zur Kali365-PhaaS-Plattform empfahl ausdrücklich die Blockierung des Geräte-Code-Flusses als primäre Abwehrmaßnahme . Da Phishing-Plattformen wie Forg365 diese Angriffstechniken weiter kommerzialisieren, ist die operative Dringlichkeit für Verteidiger klar: Setzen Sie FIDO2/Passkeys für alle privilegierten Konten ein, um AiTM-Proxy-Angriffe zu stoppen, und verwenden Sie Conditional Access, um den Geräte-Code-Grant für Benutzer zu deaktivieren, die ihn nicht benötigen. Ein offenes Verzeichnis hat vielleicht drei Kampagnen offengelegt – aber die Lehren gelten für jeden Microsoft-365-Mandanten.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Am 13. Juli 2026 entdeckten Forscher der französischen Sicherheitsfirma Lexfo drei aktive Evilginx Phishing Kampagnen gegen Microsoft 365, nachdem ein Angreifer einen Python Webserver mit aktiviertem Directory Listing...
Am 13. Juli 2026 entdeckten Forscher der französischen Sicherheitsfirma Lexfo drei aktive Evilginx Phishing Kampagnen gegen Microsoft 365, nachdem ein Angreifer einen Python Webserver mit aktiviertem Directory Listing... Der entscheidende Unterschied: AiTM Proxy Angriffe werden durch phishing resistente MFA (FIDO2/Passkeys) gestoppt, während Device Code Phishing am besten durch die Deaktivierung des Device Code OAuth Grants in Microso...