Pada 13 Julai 2026, penyelidik dari firma keselamatan Perancis Lexfo menemui tiga kempen phishing berasaskan Evilginx secara langsung yang menyasarkan Microsoft 365 selepas seorang penggodam meninggalkan pelayan Pytho... Perbezaan pertahanan utama: Serangan proksi AiTM dapat dikalahkan dengan MFA kalis phishing (FID...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the details of the recent Microsoft 365 phishing campaigns exposed by a misconfigured se. Article summary: On **July 13, 2026**, researchers at the French security firm **Lexfo** uncovered three live Evilginx-based phishing operations targeting Microsoft 365 after an attacker left a Python web server exposed on a public port . Topic tags: general, government, education, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, wat
Pada Julai 2026, dua penemuan selari mendedahkan peningkatan serangan phishing Microsoft 365 yang canggih yang berjaya memintas pengesahan berbilang faktor (MFA) menggunakan dua kaedah yang berbeza secara asas: serangan proksi lawan-di-tengah (AiTM) dan penyalahgunaan pengesahan kod peranti. Penemuan pertama datang daripada satu kesilapan penggodam — pelayan web Python yang salah konfigurasi mendedahkan tiga kempen yang sedang berjalan. Penemuan kedua datang daripada penyelidik yang mengesan platform phishing komersial baharu bernama Forg365. Memahami cara setiap serangan berfungsi adalah langkah pertama untuk menggunakan pertahanan yang betul, kerana langkah untuk satu serangan tidak akan menghentikan serangan yang lain.
Pada 13 Julai 2026, penyelidik di firma keselamatan Perancis Lexfo menemui tiga operasi phishing berasaskan Evilginx secara langsung yang menyasarkan Microsoft 365 selepas seorang penggodam meninggalkan pelayan web Python terdedah pada port awam dengan penyenaraian direktori diaktifkan. Perintah python3 -m http.server 8080.bash_history pelayan. Dari direktori terbuka itu, Lexfo mendapatkan keseluruhan kit alat pengendali, log, data mangsa yang ditangkap, dan beralih untuk mengenal pasti dua pengendali phishing tambahan yang menjalankan kempen berasingan .
Ketiga-tiga operasi adalah kempen phishing AiTM berasaskan Evilginx yang memproksi halaman log masuk Microsoft 365 untuk mencuri token sesi selepas pengguna melengkapkan MFA . Salah satu daripada tiga kempen telah mencatatkan 218 akaun yang ditangkap merentasi 12 negara, di mana 94% adalah peti mel korporat
. Operasi ini menggunakan dua laluan serangan yang berbeza: kecurian token sesi Evilginx (melalui proksi AiTM) dan phishing kod peranti — satu kit menghantar mangsa ke halaman log masuk peranti Microsoft yang sebenar, di mana mereka membenarkan akses sendiri, dan bahagian belakang penggodam menunggu token tersebut
.
Secara berasingan, platform phishing-sebagai-perkhidmatan (PhaaS) Forg365 dikenal pasti oleh penyelidik ZeroBEC (dilaporkan pada 9–13 Julai 2026) sebagai kit komersial yang diedarkan melalui Telegram berharga $400 sebulan (atau $3,800 setahun). Tidak seperti garpu Evilginx tersuai yang ditemui pada pelayan terdedah, Forg365 menggabungkan pelbagai kaedah serangan dan alat ke dalam satu papan pemuka pengendali .
Forg365 menggabungkan tiga keupayaan teras:
Platform ini juga termasuk pengelakan antibot (mengesan kotak pasir dan perangkak keselamatan), akses peti mel selepas kompromi (pengendali boleh melayari dan mengeksfiltrasi e-mel dari dalam panel), putaran SMTP, dan penjadualan kempen .
Kedua-dua penemuan ini menggambarkan perbezaan kritikal antara serangan proksi AiTM dan penyalahgunaan kod peranti. Memahami perbezaan ini adalah penting kerana pertahanan yang sama tidak berfungsi untuk kedua-duanya:
Serangan proksi AiTM (gaya-Evilginx): Penggodam menyediakan halaman log masuk palsu yang memproksi trafik ke halaman log masuk Microsoft yang sebenar. Pengguna memasukkan kata laluan mereka dan melengkapkan MFA pada proksi penggodam. Selepas pengesahan berjaya, Microsoft mengeluarkan kuki sesi kepada apa yang dipercayai sebagai penyemak imbas pengguna yang sah — tetapi kuki itu sebenarnya mendarat dalam proksi penggodam, bukan penyemak imbas pengguna. Penggodam kemudiannya boleh memainkan semula kuki tersebut untuk mengakses akaun Microsoft 365 mangsa .
Phishing kod peranti: Penggodam menjana kod peranti Microsoft yang sah (kod pendek yang digunakan untuk log masuk pada peranti tanpa papan kekunci, seperti TV pintar) dan menghantarnya kepada mangsa dalam e-mel phishing. Mangsa melawat halaman log masuk Microsoft yang sebenar, memasukkan kod, melengkapkan MFA, dan membenarkan aplikasi penggodam. Tiada apa-apa yang "dilangkau" — mangsa telah memberikan kebenaran akses. Bahagian belakang penggodam kemudiannya menunggu Microsoft untuk token .
Pertahanan paling berkesan terhadap serangan proksi AiTM ialah MFA kalis phishing, khususnya FIDO2/WebAuthn dan passkeys. Ini mengikat kelayakan kepada nama domain yang sah, jadi apabila penyemak imbas pengguna menyambung ke tapak proksi penggodam (yang mempunyai domain berbeza), protokol pengesahan mengesan ketidakpadanan domain dan menyekat pertukaran kelayakan secara automatik .
Pertahanan lain termasuk:
Phishing kod peranti tidak memerlukan penggodam untuk menipu pengguna memasukkan kelayakan pada halaman palsu — pengguna berinteraksi dengan halaman log masuk Microsoft yang sebenar. Ini bermakna FIDO2/passkeys sahaja tidak melindungi sepenuhnya daripada serangan ini kerana aliran OAuth yang sah sedang digunakan .
Pertahanan utama adalah untuk menyekat pemberian OAuth kod-peranti untuk pengguna yang tidak memerlukannya, menggunakan Dasar Akses Bersyarat Microsoft Entra ID:
Pertahanan tambahan:
Pekeliling Perkhidmatan Awam FBI Mei 2026 mengenai platform PhaaS Kali365 secara khusus mengesyorkan menyekat aliran kod peranti sebagai pertahanan utama . Memandangkan platform phishing seperti Forg365 terus mengkomersialkan teknik serangan ini, keperluan operasi untuk pembela adalah jelas: gunakan FIDO2/passkeys untuk semua akaun istimewa untuk menghentikan serangan proksi AiTM, dan gunakan Dasar Akses Bersyarat untuk melumpuhkan pemberian kod-peranti untuk pengguna yang tidak memerlukannya. Satu direktori terbuka mungkin telah mendedahkan tiga kempen — tetapi pengajarannya terpakai kepada setiap penyewa Microsoft 365.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Pada 13 Julai 2026, penyelidik dari firma keselamatan Perancis Lexfo menemui tiga kempen phishing berasaskan Evilginx secara langsung yang menyasarkan Microsoft 365 selepas seorang penggodam meninggalkan pelayan Pytho...
Pada 13 Julai 2026, penyelidik dari firma keselamatan Perancis Lexfo menemui tiga kempen phishing berasaskan Evilginx secara langsung yang menyasarkan Microsoft 365 selepas seorang penggodam meninggalkan pelayan Pytho... Perbezaan pertahanan utama: Serangan proksi AiTM dapat dikalahkan dengan MFA kalis phishing (FIDO2/passkeys), manakala phishing kod peranti paling baik dihalang dengan menyekat pemberian OAuth kod peranti dalam Dasar...
Platform Forg365 PhaaS menggabungkan proksi AiTM, penyalahgunaan kod peranti, dan penjanaan umpan AI, dijual pada harga $400 sebulan melalui Telegram.