microsoft.com/devicelogin, che autorizza il client dell'attaccante) Un'estensione browser complementare, ForgCookie, è compatibile con Chrome, Edge e Brave . Una volta rubati i token di sessione o i cookie della vittima, ForgCookie aggiorna automaticamente i cookie di sessione rubati, consentendo all'attaccante di mantenere l'accesso ai servizi Microsoft 365 (Outlook, Teams, OneDrive, SharePoint) senza dover eseguire una nuova autenticazione — anche dopo che la vittima ha cambiato la password
. Questo trasforma un furto di token una tantum in un compromesso persistente e a lungo termine.
Divulgato da ReliaQuest e BleepingComputer il 14 luglio 2026, Jalisco è un kit per phishing tramite codice dispositivo attivamente utilizzato contro account Microsoft 365 . Funziona:
Ciò significa che l'MFA non viene "violato", ma viene armato.
Anch'esso segnalato il 14 luglio 2026, OmegaLord adotta un approccio diverso: si maschera da pagina browser falsa di un lettore PDF . Quando le vittime atterrano sulla pagina:
Numerose fonti confermano una tendenza industriale più ampia:
L'intuizione critica alla base di tutte queste minacce è che l'MFA non viene tecnicamente sconfitto — viene cooptato:
| Tecnica | Cosa succede | Perché l'MFA non lo ferma |
|---|---|---|
| Phishing tramite codice dispositivo | La vittima inserisce il codice dell'attaccante nella vera pagina di login Microsoft e completa la propria MFA | Il token va all'app dell'attaccante. L'MFA ha approvato l'utente giusto — per il client sbagliato. |
| Proxy AiTM | La vittima accede tramite il proxy dell'attaccante, l'MFA viene completato normalmente | L'attaccante cattura il cookie di sessione in tempo reale e dirotta la sessione. |
| Raccolta di credenziali + OTP | Un modulo di login falso cattura password e OTP contemporaneamente | L'OTP viene utilizzato immediatamente dall'attaccante prima che scada. |
Sulla base di numerosi avvisi, sono fortemente raccomandate le seguenti mitigazioni:
devicecode).offline_access, Mail.Read o Files.ReadWrite.All.Queste raccomandazioni sono tratte dall'avviso dell'FBI , dal blog sulla sicurezza di Microsoft
, da BleepingComputer
e dall'analisi delle minacce di ReliaQuest
.
L'ondata di phishing del 2026 contro Microsoft 365 — guidata da Forg365 (con la sua estensione di persistenza ForgCookie), Jalisco, OmegaLord e dal più ampio ecosistema di kit per codice dispositivo e AiTM — rappresenta un cambio di paradigma. Gli aggressori non hanno più bisogno di rubare password o violare l'MFA. Invece, abusano del modello di fiducia OAuth per far sì che l'autenticazione della vittima stessa autorizzi una sessione controllata dall'attaccante. La raccomandazione unanime della comunità della sicurezza è un approccio zero-trust: disabilitare i flussi di autenticazione inutilizzati, applicare l'accesso condizionato, monitorare le concessioni di token e passare a un MFA resistente al phishing .