Eine Welle von Phishing as a Service (PhaaS) Kits im Jahr 2026 – angeführt von Forg365, Jalisco und OmegaLord – umgeht die Multi Faktor Authentifizierung, indem sie den legitimen Anmeldevorgang selbst kapert, nicht du... Die Browser Erweiterung ForgCookie erneuert gestohlene Sitzungscookies automatisch und gewährt A...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is the latest wave of phishing threats targeting Microsoft 365 accounts, including the Forg3. Article summary: Here is a comprehensive, sourced analysis of the latest wave of Microsoft 365 phishing threats as of July 2026.. Topic tags: general, government, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it usefu
Sicherheitsforscher dokumentieren eine drastische Zunahme von Phishing-as-a-Service (PhaaS)-Plattformen und -Kits, die speziell darauf ausgelegt sind, die Multi-Faktor-Authentifizierung (MFA) bei Microsoft 365-Konten zu umgehen. Statt kryptografische MFA-Abläufe zu knacken, kapern diese Angriffe den legitimen Authentifizierungsprozess selbst – sie fangen Sitzungstoken ab, missbrauchen OAuth-Gerätecodeflüsse oder leiten echte Logins über Proxy-Server um, sodass die eigene MFA-Freigabe des Opfers im Interesse des Angreifers wirkt .
Erstmals am 9. Juli 2026 von ZeroBEC und BleepingComputer vorgestellt, ist Forg365 eine abonnementbasierte PhaaS-Plattform (400 $/Monat), die über Telegram vertrieben wird . Sie bündelt drei bahnbrechende Fähigkeiten:
microsoft.com/devicelogin einzugeben, was den Client des Angreifers autorisiert) Eine begleitende Browser-Erweiterung namens ForgCookie ist mit Chrome, Edge und Brave kompatibel . Sobald die Sitzungstoken oder Cookies des Opfers geerntet wurden, erneuert ForgCookie die gestohlenen Sitzungscookies automatisch, sodass der Angreifer ohne erneute Authentifizierung auf Microsoft 365-Dienste (Outlook, Teams, OneDrive, SharePoint) zugreifen kann – selbst wenn das Opfer sein Passwort ändert
. Dies verwandelt einen einmaligen Token-Diebstahl in einen dauerhaften, langfristigen Kompromiss.
Am 14. Juli 2026 von ReliaQuest und BleepingComputer enthüllt, ist Jalisco ein Gerätecode-Phishing-Kit, das aktiv gegen Microsoft 365-Konten eingesetzt wird . Es funktioniert wie folgt:
Das bedeutet, dass MFA nicht „geknackt“, sondern instrumentalisiert wird.
Ebenfalls am 14. Juli 2026 gemeldet, schlägt OmegaLord einen anderen Weg ein: Es tarnt sich als gefälschte PDF-Reader-Browserseite . Wenn Opfer auf der Seite landen:
Mehrere Quellen bestätigen einen breiteren Branchentrend:
Die entscheidende Erkenntnis bei all diesen Bedrohungen ist, dass MFA technisch nicht besiegt wird – sie wird vereinnahmt:
| Technik | Was passiert | Warum MFA es nicht verhindert |
|---|---|---|
| Device-Code-Phishing | Opfer gibt den Code des Angreifers auf der echten Microsoft-Anmeldeseite ein und führt seine eigene MFA durch | Der Token geht an die App des Angreifers. MFA hat den richtigen Benutzer freigegeben – für den falschen Client. |
| AiTM-Proxying | Opfer loggt sich über den Proxy des Angreifers ein, MFA wird normal durchgeführt | Der Angreifer erfasst das Sitzungscookie in Echtzeit und übernimmt die Sitzung. |
| Credential + OTP-Ernte | Gefälschtes Anmeldeformular erfasst Passwort und OTP gleichzeitig | OTP wird sofort vom Angreifer verwendet, bevor es abläuft. |
Aus diesem Grund reicht die traditionelle MFA allein nicht mehr als Sicherheitsmaßnahme aus .
Basierend auf mehreren Warnungen werden die folgenden Maßnahmen dringend empfohlen:
devicecode-Authentifizierung zu blockieren).offline_access, Mail.Read oder Files.ReadWrite.All-Berechtigungen anfordern.Diese Empfehlungen stammen aus der FBI-PSA , dem Microsoft Security Blog
, BleepingComputer
und der ReliaQuest-Bedrohungsanalyse
.
Die Welle von Microsoft 365-Phishing-Angriffen im Jahr 2026 – angeführt von Forg365 (mit seiner ForgCookie-Persistenz-Erweiterung), Jalisco, OmegaLord und dem breiteren Ökosystem von Device-Code- und AiTM-Kits – markiert einen Paradigmenwechsel. Angreifer müssen keine Passwörter mehr stehlen oder MFA knacken. Stattdessen missbrauchen sie das OAuth-Vertrauensmodell, um die eigene Authentifizierung des Opfers zu nutzen, um eine vom Angreifer kontrollierte Sitzung zu autorisieren. Der Konsens der Sicherheitsgemeinschaft ist eine Null-Vertrauens-Haltung: Deaktivieren Sie ungenutzte Authentifizierungsflüsse, setzen Sie Conditional Access durch, überwachen Sie Token-Berechtigungen und bewegen Sie sich in Richtung phishing-resistenter MFA .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Eine Welle von Phishing as a Service (PhaaS) Kits im Jahr 2026 – angeführt von Forg365, Jalisco und OmegaLord – umgeht die Multi Faktor Authentifizierung, indem sie den legitimen Anmeldevorgang selbst kapert, nicht du...
Eine Welle von Phishing as a Service (PhaaS) Kits im Jahr 2026 – angeführt von Forg365, Jalisco und OmegaLord – umgeht die Multi Faktor Authentifizierung, indem sie den legitimen Anmeldevorgang selbst kapert, nicht du... Die Browser Erweiterung ForgCookie erneuert gestohlene Sitzungscookies automatisch und gewährt Angreifern so dauerhaften Zugriff auf Outlook, Teams und OneDrive – selbst nach einer Passwortänderung.
Kits wie Kali365 und EvilTokens werden bereits für wenige hundert Euro im Monat auf Telegram vermietet und machen professionelle Angriffstechniken auch für technisch unerfahrene Kriminelle zugänglich.