microsoft.com/devicelogin, מה שמאשר את הלקוח של התוקף) תוסף דפדפן נלווה בשם ForgCookie תואם לכרום, אדג' וברייב . לאחר שאסימוני ההפעלה או העוגיות של הקורבן נאספו, ForgCookie מרענן אוטומטית עוגיות הפעלה גנובות, מה שמאפשר לתוקף לשמור על גישה לשירותי Microsoft 365 (Outlook, Teams, OneDrive, SharePoint) ללא צורך באימות חוזר — אפילו לאחר שהקורבן משנה את סיסמתו
. זה הופך חטיפת אסימון חד-פעמית לפריצה מתמשכת וארוכת טווח.
ערכת הכלים Jalisco נחשפה על ידי ReliaQuest ו-BleepingComputer ב-14 ביולי 2026, והיא נמצאת בשימוש פעיל נגד חשבונות Microsoft 365 . היא פועלת כך:
משמעות הדבר היא ש-MFA לא "נפרץ" — הוא מנוצל כנשק.
גם היא דווחה ב-14 ביולי 2026, OmegaLord נוקטת בגישה שונה: היא מתחזה לעמוד דפדפן מזויף של קורא PDF . כאשר קורבנות נוחתים על העמוד:
מקורות רבים מאשרים מגמה תעשייתית רחבה יותר:
התובנה הקריטית בכל האיומים האלה היא שMFA לא מובס טכנית — הוא מגויס לצד התוקף:
| טכניקה | מה קורה | למה MFA לא עוצר את זה |
|---|---|---|
| דיוג קוד התקן | הקורבן מזין את קוד התוקף בעמוד הכניסה הרשמי של מיקרוסופט ומבצע MFA משלו | האסימון הולך לאפליקציה של התוקף. MFA אישר את המשתמש הנכון — עבור הלקוח הלא נכון. |
| תיווך בתור היריב (AiTM) | הקורבן מתחבר דרך שרת התיווך של התוקף, MFA מושלם כרגיל | התוקף לוכד את עוגיית ההפעלה בזמן אמת וחוטף את הסשן. |
| איסוף פרטי כניסה + OTP | טופס כניסה מזויף לוכד סיסמה ו-OTP בו-זמנית | ה-OTP מנוצל מיד על ידי התוקף לפני שפג תוקפו. |
בהתבסס על אזהרות רבות, ההמלצות הבאות להפחתת סיכון מומלצות בחום:
devicecode).offline_access, Mail.Read או Files.ReadWrite.All.המלצות אלו נלקחות מה-FBI PSA , Microsoft Security Blog
, BleepingComputer
ו-ReliaQuest threat analysis
.
גל הדיוג של Microsoft 365 בשנת 2026 — בהובלת Forg365 (עם תוסף ההתמדה ForgCookie), Jalisco, OmegaLord והמערכת האקולוגית הרחבה יותר של ערכות קוד התקן ו-AiTM — מייצג שינוי פרדיגמה. תוקפים כבר לא צריכים לגנוב סיסמאות או לפרוץ MFA. במקום זאת, הם מנצלים לרעה את מודל האמון של OAuth כדי לגרום לאימות של הקורבן עצמו לאשר הפעלה הנשלטת על ידי התוקף. הקונצנזוס של קהילת האבטחה הוא לנקוט בעמדת אפס אמון (Zero Trust): להשבית תזרימי אימות שאינם בשימוש, לאכוף Conditional Access, לפקח על אישורי אסימונים ולעבור ל-MFA עמיד בפני דיוג .