microsoft.com/devicelogin, yang memberi kuasa kepada klien penyerang) Sambungan penyemak imbas rakan, ForgCookie, serasi dengan Chrome, Edge dan Brave . Sebaik token sesi atau kuki mangsa dituai, ForgCookie secara automatik menyegarkan semula kuki sesi yang dicuri, membolehkan penyerang mengekalkan akses kepada perkhidmatan Microsoft 365 (Outlook, Teams, OneDrive, SharePoint) tanpa pengesahan semula — walaupun selepas mangsa menukar kata laluan mereka
. Ini menjadikan rampasan token sekali sahaja kepada kompromi berterusan jangka panjang.
Didedahkan oleh ReliaQuest dan BleepingComputer pada 14 Julai 2026, Jalisco ialah kit pancingan data kod peranti yang digunakan secara aktif terhadap akaun Microsoft 365 . Ia berfungsi dengan:
Ini bermakna MFA tidak "dipecahkan" — ia dipersenjatai.
Juga dilaporkan pada 14 Julai 2026, OmegaLord mengambil pendekatan berbeza: ia menyamar sebagai halaman penyemak imbas pembaca PDF palsu . Apabila mangsa mendarat di halaman:
Pelbagai sumber mengesahkan trend industri yang lebih luas:
Pandangan kritikal merentas semua ancaman ini ialah MFA tidak dikalahkan secara teknikal — ia diambil alih:
| Teknik | Apa Yang Berlaku | Mengapa MFA Tidak Menghalangnya |
|---|---|---|
| Pancingan data kod peranti | Mangsa memasukkan kod penyerang di halaman log masuk sebenar Microsoft, melengkapkan MFA mereka sendiri | Token pergi ke aplikasi penyerang. MFA meluluskan pengguna yang betul — untuk klien yang salah. |
| Proksi AiTM | Mangsa log masuk melalui proksi penyerang, MFA selesai seperti biasa | Penyerang menangkap kuki sesi dalam masa nyata dan merampas sesi. |
| Penuaian kredensial + OTP | Borang log masuk palsu menangkap kata laluan dan OTP serentak | OTP digunakan serta-merta oleh penyerang sebelum ia tamat tempoh. |
Berdasarkan pelbagai nasihat, langkah mitigasi berikut amat disyorkan:
devicecode).offline_access, Mail.Read atau Files.ReadWrite.All.Syor ini diambil daripada FBI PSA , Blog Keselamatan Microsoft
, BleepingComputer
, dan analisis ancaman ReliaQuest
.
Gelombang pancingan data Microsoft 365 2026 — diketuai oleh Forg365 (dengan sambungan kegigihan ForgCookie), Jalisco, OmegaLord, dan ekosistem kit kod peranti dan AiTM yang lebih luas — mewakili peralihan paradigma. Penyerang tidak lagi perlu mencuri kata laluan atau memecahkan MFA. Sebaliknya, mereka menyalahgunakan model kepercayaan OAuth untuk membuatkan pengesahan mangsa sendiri memberi kuasa kepada sesi yang dikawal penyerang. Konsensus komuniti keselamatan adalah postur sifar percaya: lumpuhkan aliran auth yang tidak digunakan, kuatkuasakan Akses Bersyarat, pantau pemberian token dan beralih ke arah MFA tahan pancingan data .