Secara terpisah, platform Forg365 phishing-as-a-service (PhaaS) diidentifikasi oleh peneliti ZeroBEC (dilaporkan 9–13 Juli 2026) sebagai kit komersial yang didistribusikan melalui Telegram seharga $400 per bulan (atau $3.800 per tahun). Berbeda dengan fork Evilginx kustom yang ditemukan di server yang terbuka, Forg365 menggabungkan berbagai metode dan alat serangan ke dalam satu dasbor operator .
Forg365 menggabungkan tiga kemampuan inti:
Platform ini juga mencakup penghindaran antibot (mendeteksi sandbox dan perayap keamanan), akses kotak surat pasca-kompromi (operator dapat menjelajahi dan mengeksfiltrasi email dari dalam panel), rotasi SMTP, dan penjadwalan kampanye .
Kedua penemuan ini menggambarkan perbedaan kritis antara serangan proxy AiTM dan penyalahgunaan device code. Memahami perbedaan ini sangat penting karena pertahanan yang sama tidak berlaku untuk keduanya:
Serangan proxy AiTM (gaya Evilginx): Peretas menyiapkan halaman login palsu yang memproksi lalu lintas ke halaman login Microsoft yang asli. Pengguna memasukkan kata sandi dan menyelesaikan MFA di proxy peretas. Setelah autentikasi berhasil, Microsoft mengeluarkan cookie sesi ke apa yang dianggapnya sebagai browser pengguna yang sah — tetapi cookie itu sebenarnya jatuh ke proxy peretas, bukan ke browser pengguna. Peretas kemudian dapat menggunakan kembali cookie tersebut untuk mengakses akun Microsoft 365 korban .
Phishing device code: Peretas menghasilkan device code Microsoft yang sah (kode pendek yang digunakan untuk masuk di perangkat tanpa keyboard, seperti TV pintar) dan mengirimkannya ke korban dalam email phishing. Korban mengunjungi halaman login Microsoft yang asli, memasukkan kode, menyelesaikan MFA, dan memberikan otorisasi aplikasi peretas. Tidak ada yang "dilewati" — korban sendiri yang memberikan akses. Backend peretas kemudian meminta token ke Microsoft .
Pertahanan paling efektif melawan serangan proxy AiTM adalah MFA tahan phishing, khususnya FIDO2/WebAuthn dan passkeys. Metode ini mengikat kredensial ke nama domain yang sah, sehingga ketika browser pengguna terhubung ke situs proxy peretas (yang memiliki domain berbeda), protokol autentikasi mendeteksi ketidakcocokan domain dan secara otomatis memblokir pertukaran kredensial .
Pertahanan lainnya meliputi:
Phishing device code tidak memerlukan peretas untuk mengelabui korban agar memasukkan kredensial di halaman palsu — pengguna berinteraksi dengan halaman login Microsoft yang asli. Ini berarti FIDO2/passkeys saja tidak sepenuhnya melindungi dari serangan ini karena aliran OAuth yang sah yang digunakan .
Pertahanan utamanya adalah memblokir OAuth grant device-code untuk pengguna yang tidak membutuhkannya, menggunakan Microsoft Entra ID Conditional Access:
Pertahanan tambahan:
Pengumuman Layanan Publik FBI pada Mei 2026 tentang platform PhaaS Kali365 secara khusus merekomendasikan pemblokiran aliran device code sebagai pertahanan utama . Ketika platform phishing seperti Forg365 terus mengkomersialkan teknik serangan ini, urgensi operasional bagi para pembela sudah jelas: terapkan FIDO2/passkeys untuk semua akun istimewa guna menghentikan serangan proxy AiTM, dan gunakan Conditional Access untuk menonaktifkan grant device code bagi pengguna yang tidak membutuhkannya. Satu direktori terbuka mungkin telah mengekspos tiga kampanye — tetapi pelajarannya berlaku untuk setiap penyewa Microsoft 365.