microsoft.com/devicelogin-sivulle, jolloin uhrin oma MFA hyväksyy hyökkääjän sovelluksen) ForgCookie on Chromeen, Edgeen ja Braveen yhteensopiva selainlaajennus . Kun uhrin istuntotunnukset tai -keksit on kerätty, ForgCookie päivittää varastetut istuntokeksit automaattisesti, jolloin hyökkääjä voi käyttää Microsoft 365 -palveluita (Outlook, Teams, OneDrive, SharePoint) ilman uudelleentunnistautumista – jopa sen jälkeen, kun uhri on vaihtanut salasanansa
. Tämä muuttaa kertaluonteisen tunnuksenkaappauksen pysyväksi, pitkäaikaiseksi tietomurroksi.
ReliaQuestin ja BleepingComputerin 14. heinäkuuta 2026 raportoima Jalisco on laitekooditietojenkalastelutyökalu, joka on aktiivisessa käytössä Microsoft 365 -tilejä vastaan . Se toimii seuraavasti:
Tämä tarkoittaa, että MFA:ta ei murreta – se aseistetaan.
Myös 14. heinäkuuta 2026 raportoitu OmegaLord lähestyy asiaa eri tavalla: se esiintyy väärennettynä PDF-lukijasivuna . Kun uhri saapuu sivulle:
Useat lähteet vahvistavat laajemman toimialatrendin:
Kriittinen oivallus kaikkien näiden uhkien taustalla on, että MFA:ta ei teknisesti voiteta – se valjastetaan hyökkääjän käyttöön:
| Tekniikka | Mitä tapahtuu | Miksi MFA ei pysäytä sitä |
|---|---|---|
| Laitekooditietojenkalastelu | Uhri syöttää hyökkääjän koodin Microsoftin oikealle kirjautumissivulle ja suorittaa oman MFA:nsa | Tunnus menee hyökkääjän sovellukselle. MFA hyväksyi oikean käyttäjän – väärälle asiakkaalle. |
| AiTM-välitys | Uhri kirjautuu hyökkääjän välityspalvelimen kautta, MFA suoritetaan normaalisti | Hyökkääjä sieppaa istuntokeksin reaaliajassa ja kaappaa istunnon. |
| Tunnistetiedot + OTP-keruu | Väärennetty kirjautumislomake tallentaa salasanan ja OTP:n samanaikaisesti | Hyökkääjä käyttää OTP:tä välittömästi ennen sen vanhenemista. |
Useiden tiedotteiden perusteella suositellaan seuraavia lievennystoimia:
devicecode-tunnistautumisen estämiseksi).offline_access-, Mail.Read- tai Files.ReadWrite.All-oikeuksia.Nämä suositukset on koottu FBI:n PSA:sta , Microsoft Security Blogista
, BleepingComputerista
ja ReliaQuestin uhka-analyysista
.
Vuoden 2026 Microsoft 365 -tietojenkalasteluaaltoa – jota johtavat Forg365 (laajennuksineen ForgCookie), Jalisco, OmegaLord ja laajempi laitekoodi- ja AiTM-työkalujen ekosysteemi – edustaa paradigman muutosta. Hyökkääjät eivät enää tarvitse salasanoja tai MFA:n murtamista. Sen sijaan he käyttävät väärin OAuth-luottamusmallia saadakseen uhrin oman tunnistautumisen valtuuttamaan hyökkääjän hallinnoiman istunnon. Tietoturvayhteisön yksimielinen suositus on nollaluottamusmalli: poista käyttämättömät tunnistusvirrat, ota käyttöön ehdollinen pääsy, valvo tunnusvaltuuksia ja siirry kohti tietojenkalastelua kestävää MFA:ta .