Heinäkuussa 2026 Lexfo hakkerit paljastivat kolme Evilginx pohjaista Microsoft 365 hyökkäystä, kun hyökkääjän avoimelle portille jäänyt Python palvelin paljasti työkalut. Toinen löydös oli Forg365, Telegramissa myyty tietokalastelualusta, joka maksaa 400 dollaria kuussa ja yhdistää AiTM välityspalvelimen, laitekoodi...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the details of the recent Microsoft 365 phishing campaigns exposed by a misconfigured se. Article summary: On **July 13, 2026**, researchers at the French security firm **Lexfo** uncovered three live Evilginx-based phishing operations targeting Microsoft 365 after an attacker left a Python web server exposed on a public port . Topic tags: general, government, education, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, wat
Heinäkuussa 2026 kaksi rinnakkaista löytöä paljasti, että Microsoft 365 -tietokalasteluhyökkäykset ovat lisääntyneet ja ohittavat monivaiheisen tunnistautumisen (MFA) kahdella täysin eri menetelmällä: välityspalvelinhyökkäyksillä (adversary-in-the-middle, AiTM) ja laitekooditunnistautumisen väärinkäytöllä. Ensimmäinen löydös syntyi, kun hyökkääjä teki virheen – jätti Python-verkkopalvelimen väärin konfiguroituna. Toinen tuli, kun tutkijat seurasivat uutta kaupallista tietokalastelualustaa nimeltä Forg365. On tärkeää ymmärtää, miten kumpikin hyökkäys toimii, jotta voi ottaa käyttöön oikeat puolustuskeinot – yksi ratkaisu ei tepsi molempiin.
Heinäkuun 13. päivänä 2026 ranskalainen tietoturvayritys Lexfo löysi kolme aktiivista Evilginx-pohjaista tietokalasteluoperaatiota, jotka kohdistuivat Microsoft 365:een. Hyökkääjä oli jättänyt Python-verkkopalvelimen avoimeen porttiin hakemistolistauksen kera – komento python3 -m http.server 8080.bash_history-tiedostossa . Tästä avoimesta hakemistosta Lexfo sai hyökkääjän koko työkalupakin, lokit ja kerätyt uhritiedot. Lisäksi he pystyivät jäljittämään kaksi muuta hyökkääjää, jotka pyörittivät omia kampanjoitaan
.
Kaikki kolme operaatiota olivat Evilginx-pohjaisia AiTM-tietokalastelukampanjoita, jotka välittivät Microsoft 365 -kirjautumissivuja varastaakseen istuntotokenit sen jälkeen, kun käyttäjä oli suorittanut MFA:n . Yksi kampanjoista oli kirjannut 218 varastettua tiliä 12 maassa, joista 94 prosenttia oli yrityssähköposteja
. Operaatiot käyttivät kahta eri hyökkäysreittiä: Evilginx-istuntotokenin varastamista (AiTM-välityspalvelimen kautta) ja laitekoodihuijausta – toinen työkalu ohjasi uhrit oikealle Microsoftin laitteen kirjautumissivulle, jossa he itse valtuuttivat, ja hyökkääjän taustajärjestelmä haki tokenin
.
Forg365-tietokalastelualusta (PhaaS) tunnistettiin ZeroBEC-tutkijoiden toimesta (raportoitu 9.–13. heinäkuuta 2026). Se on kaupallinen, Telegramin kautta jaettu työkalupakki, joka maksaa 400 dollaria kuussa (tai 3 800 dollaria vuodessa). Toisin kuin paljastetun palvelimen mukautetut Evilginx-haarat, Forg365 yhdistää useita hyökkäysmenetelmiä ja työkaluja yhteen kojelautaan .
Forg365 yhdistää kolme ydinkykvykkyyttä:
Alustaan kuuluu myös antibottien kierto (tunnistaa hiekkalaatikot ja turvallisuusohjelmat), postiosoitteen haltuunoton jälkeinen pääsy (operaattorit voivat selata ja viedä sähköpostia kojelaudasta), SMTP-kierto ja kampanjoiden ajoitus .
Nämä kaksi löytöä havainnollistavat keskeisen eron AiTM-välityspalvelinhyökkäysten ja laitekoodiväärinkäytön välillä. Ero on tärkeä ymmärtää, koska sama puolustuskeino ei tepsi molempiin:
AiTM-välityspalvelinhyökkäykset (Evilginx-tyyli): Hyökkääjä luo väärennetyn kirjautumissivun, joka välittää liikennettä oikealle Microsoftin kirjautumissivulle. Käyttäjä syöttää salasanansa ja suorittaa MFA:n hyökkääjän välityspalvelimella. Onnistuneen tunnistautumisen jälkeen Microsoft lähettää istuntotokenin selaimelle, jonka se luulee olevan oikea – mutta token päätyy hyökkääjän välityspalvelimeen. Hyökkääjä voi toistaa tokenin päästäkseen uhrin Microsoft 365 -tilille .
Laitekoodihuijaus: Hyökkääjä luo oikean Microsoft-laitteen koodin (lyhyt koodi, jota käytetään kirjautumiseen laitteissa ilman näppäimistöä, kuten älytelevisioissa) ja lähettää sen uhrille tietokalasteluviestissä. Uhrin menee oikealle Microsoftin kirjautumissivulle, syöttää koodin, suorittaa MFA:n ja valtuuttaa hyökkääjän sovelluksen. Mitään ei kierretä – uhri on itse valtuuttanut pääsyn. Hyökkääjän taustajärjestelmä hakee tokenin Microsoftilta .
Tehokkain puolustus AiTM-välityspalvelinhyökkäyksiä vastaan on tietokalastelunkestävä MFA, erityisesti FIDO2/WebAuthn ja passkeyt. Ne sitovat tunnistetiedot oikeaan verkkotunnukseen. Kun käyttäjän selain yhdistää hyökkääjän välityspalvelinsivulle (jolla on eri verkkotunnus), tunnistautumisprotokolla havaitsee verkkotunnuksen ristiriidan ja estää tunnistetietojen vaihdon automaattisesti .
Muita puolustuskeinoja:
Laitekoodihuijaus ei vaadi hyökkääjää huijaamaan uhria syöttämään tunnistetietoja väärennettyyn sivuun – uhri käyttää oikeaa Microsoftin kirjautumissivua. Tämä tarkoittaa, etteivät FIDO2/avaimet yksin riitä täysin tähän hyökkäykseen, koska oikeaa OAuth-virtaa käytetään .
Tärkein puolustus on estää laitekoodi-OAuth-oikeus niiltä käyttäjiltä, jotka eivät sitä tarvitse, Microsoft Entra ID:n ehdollisella käyttöoikeudella:
Muita puolustuskeinoja:
FBI:n toukokuussa 2026 antamassa julkisessa palveluohjeistuksessa Kali365 PhaaS-alustasta suositeltiin nimenomaan laitekoodivirran estämistä ensisijaisena puolustuskeinona . Kun tietokalastelualustat kuten Forg365 kaupallistavat näitä hyökkäystekniikoita, puolustajien operatiivinen kiire on selvä: ota käyttöön FIDO2/avaimet kaikille etuoikeutetuille tileille AiTM-välityspalvelinhyökkäysten estämiseksi ja poista laitekoodioikeus ehdollisen käyttöoikeuden avulla käyttäjiltä, jotka eivät sitä tarvitse. Yksi avoin hakemisto paljasti kolme kampanjaa – mutta opit koskevat jokaista Microsoft 365 -vuokralaista.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Heinäkuussa 2026 Lexfo hakkerit paljastivat kolme Evilginx pohjaista Microsoft 365 hyökkäystä, kun hyökkääjän avoimelle portille jäänyt Python palvelin paljasti työkalut.
Heinäkuussa 2026 Lexfo hakkerit paljastivat kolme Evilginx pohjaista Microsoft 365 hyökkäystä, kun hyökkääjän avoimelle portille jäänyt Python palvelin paljasti työkalut. Toinen löydös oli Forg365, Telegramissa myyty tietokalastelualusta, joka maksaa 400 dollaria kuussa ja yhdistää AiTM välityspalvelimen, laitekoodihuijauksen ja tekoälyllä tuotetut houkutusviestit.
Tärkein puolustusero: AiTM välityspalvelinhyökkäykset torjutaan tietokalastelunkestävällä MFA:lla (FIDO2/avaimet), kun taas laitekoodihuijaukset estetään parhaiten estämällä laitekoodi OAuth oikeus Microsoft Entra ID...