בנפרד, פלטפורמת Forg365 (PhaaS) זוהתה על ידי חוקרי ZeroBEC (שדווח ב-9–13 ביולי 2026) כערכה מסחרית המופצת דרך טלגרם, שעולה 400 דולר לחודש (או 3,800 דולר לשנה). בניגוד לגרסאות ה-Evilginx המותאמות אישית שנמצאו בשרת החשוף, Forg365 מקבצת מספר שיטות התקפה וכלים ללוח בקרה אחד .
Forg365 משלבת שלוש יכולות ליבה:
הפלטפורמה כוללת גם התגוננות מפני בוטים (זיהוי סביבות ארגז חול וסורקי אבטחה), גישה לתיבת דואר לאחר הפריצה (מפעילים יכולים לדפדף ולחלץ דוא"ל מתוך הפאנל), רוטציית SMTP ותזמון קמפיינים .
שתי התגליות הללו מדגימות את ההבחנה הקריטית בין מתקפות AiTM proxy לבין ניצול לרעה של קוד מכשיר. הבנת ההבדל חיונית, משום שאותה הגנה לא עובדת בשני המקרים:
מתקפות פרוקסי AiTM (בסגנון Evilginx): התוקף מקים דף התחברות מזויף שמתעל תעבורה לדף ההתחברות האמיתי של מיקרוסופט. המשתמש מזין את הסיסמה ומשלים את אימות ה-MFA בפרוקסי של התוקף. לאחר אימות מוצלח, מיקרוסופט מנפיקה עוגיית הפעלה לדפדפן של המשתמש הלגיטימי – אבל העוגייה הזו נוחתת למעשה בפרוקסי של התוקף, לא בדפדפן של המשתמש. התוקף יכול לשחזר את העוגייה הזו כדי לגשת לחשבון Microsoft 365 של הקורבן .
פישינג קוד מכשיר: התוקף מייצר קוד מכשיר לגיטימי (קוד קצר המשמש לכניסה במכשירים ללא מקלדת, כמו טלוויזיות חכמות) ושולח אותו לקורבן במייל פישינג. הקורבן מבקר בדף ההתחברות האמיתי של מיקרוסופט, מזין את הקוד, משלים את אימות ה-MFA ומאשר את היישום של התוקף. שום דבר לא "עוקף" – הקורבן אישר גישה. המערכת האחורית של התוקף סורקת את מיקרוסופט לקבלת האסימון .
ההגנה היעילה ביותר נגד מתקפות AiTM היא MFA עמיד בפני פישינג, במיוחד FIDO2/WebAuthn ומפתחות גישה (passkeys). אלה קושרים את פרטי האימות לשם הדומיין הלגיטימי, כך שכאשר הדפדפן של המשתמש מתחבר לאתר הפרוקסי של התוקף (בעל דומיין שונה), פרוטוקול האימות מזהה את אי-ההתאמה וחוסם אוטומטית את החלפת פרטי האימות .
הגנות נוספות כוללות:
פישינג קוד מכשיר אינו דורש מהתוקף להערים על המשתמש להזין פרטים בדף מזויף – המשתמש מתקשר עם דף ההתחברות האמיתי של מיקרוסופט. משמעות הדבר היא ש-FIDO2/Passkeys לבדם אינם מגנים לחלוטין מפני התקפה זו, מכיוון שנעשה שימוש בזרימת OAuth לגיטימית .
ההגנה העיקרית היא לחסום את הרשאת קוד המכשיר עבור משתמשים שאינם זקוקים לה, באמצעות Microsoft Entra ID Conditional Access:
הגנות נוספות:
ההודעה הציבורית של ה-FBI ממאי 2026 על פלטפורמת Kali365 PhaaS המליצה במיוחד על חסימת זרימת קוד מכשיר כהגנה העיקרית . ככל שפלטפורמות פישינג כמו Forg365 ממשיכות להפוך טכניקות התקפה אלו לזמינות מסחרית, הדחיפות התפעולית עבור מגינים ברורה: פרוסו FIDO2/Passkeys עבור כל החשבונות המורשים כדי לעצור מתקפות AiTM, והשתמשו ב-Conditional Access כדי להשבית את הרשאת קוד המכשיר עבור משתמשים שאינם זקוקים לה. תיקייה אחת לא מאובטחת אולי חשפה שלושה קמפיינים – אבל הלקחים תקפים לכל דייר Microsoft 365.