microsoft.com/devicelogin, yang kemudian mengotorisasi aplikasi penyerang) Ekstensi browser pendamping bernama ForgCookie, kompatibel dengan Chrome, Edge, dan Brave . Setelah token atau cookie sesi korban dipanen, ForgCookie secara otomatis menyegarkan cookie sesi yang dicuri, memungkinkan penyerang mempertahankan akses ke layanan Microsoft 365 (Outlook, Teams, OneDrive, SharePoint) tanpa perlu autentikasi ulang — bahkan setelah korban mengganti kata sandi mereka
. Ini mengubah pencurian token satu kali menjadi kompromi persisten jangka panjang.
Diungkap oleh ReliaQuest dan BleepingComputer pada 14 Juli 2026, Jalisco adalah kit phishing device-code yang secara aktif digunakan untuk menyerang akun Microsoft 365 . Cara kerjanya:
Ini berarti MFA tidak "dipecahkan" — melainkan dipersenjatai.
Juga dilaporkan pada 14 Juli 2026, OmegaLord menggunakan pendekatan berbeda: ia menyamar sebagai halaman browser pembaca PDF palsu . Saat korban mendarat di halaman tersebut:
Banyak sumber mengonfirmasi tren industri yang lebih luas:
Wawasan kritis di semua ancaman ini adalah bahwa MFA tidak dikalahkan secara teknis — melainkan diambil alih:
| Teknik | Yang Terjadi | Mengapa MFA Tidak Menghentikannya |
|---|---|---|
| Phishing device-code | Korban memasukkan kode penyerang di halaman login asli Microsoft, menyelesaikan MFA mereka sendiri | Token masuk ke aplikasi penyerang. MFA menyetujui pengguna yang tepat — untuk aplikasi yang salah. |
| Proxy AiTM | Korban login melalui proxy penyerang, MFA selesai secara normal | Penyerang menangkap cookie sesi secara real-time dan membajak sesi. |
| Pengumpulan Kredensial + OTP | Formulir login palsu menangkap kata sandi dan OTP secara bersamaan | OTP digunakan segera oleh penyerang sebelum kedaluwarsa. |
Berdasarkan berbagai advisori, mitigasi berikut sangat direkomendasikan:
devicecode).offline_access, Mail.Read, atau Files.ReadWrite.All.Rekomendasi ini diambil dari PSA FBI , Blog Keamanan Microsoft
, BleepingComputer
, dan analisis ancaman ReliaQuest
.
Gelombang phishing Microsoft 365 tahun 2026 — dipimpin oleh Forg365 (dengan ekstensi persistensi ForgCookie), Jalisco, OmegaLord, dan ekosistem kit device-code dan AiTM yang lebih luas — mewakili pergeseran paradigma. Penyerang tidak lagi perlu mencuri kata sandi atau memecahkan MFA. Sebaliknya, mereka menyalahgunakan model kepercayaan OAuth untuk membuat autentikasi korban sendiri mengotorisasi sesi yang dikendalikan penyerang. Konsensus komunitas keamanan adalah postur zero-trust: nonaktifkan alur autentikasi yang tidak digunakan, terapkan Akses Bersyarat, pantau pemberian token, dan beralih ke MFA yang tahan phishing .