microsoft.com/devicelogin, waarmee de client van de aanvaller wordt geautoriseerd) Een bijbehorende browserextensie, ForgCookie, is compatibel met Chrome, Edge en Brave . Zodra de sessietokens of cookies van het slachtoffer zijn buitgemaakt, kan ForgCookie ze automatisch vernieuwen. Zo krijgt de aanvaller toegang tot Microsoft 365-diensten (Outlook, Teams, OneDrive, SharePoint) zonder opnieuw in te loggen — zelfs nadat het slachtoffer het wachtwoord heeft gewijzigd
. Van een eenmalige tokenroof wordt het zo een langdurige, persistente compromis.
Op 14 juli 2026 meldden ReliaQuest en BleepingComputer Jalisco, een device-code-phishingkit die actief wordt ingezet tegen Microsoft 365-accounts . De werkwijze:
MFA wordt dus niet "gekraakt", maar bewapend.
Ook op 14 juli 2026 gemeld: OmegaLord gebruikt een andere aanpak. Het vermomt zich als een nep-pdf-lezer in de browser . Wanneer slachtoffers op de pagina belanden:
Meerdere bronnen bevestigen een bredere trend in de sector:
Het cruciale inzicht bij al deze dreigingen is dat MFA niet technisch wordt verslagen — het wordt gekaapt:
| Techniek | Wat er gebeurt | Waarom MFA het niet stopt |
|---|---|---|
| Device-code-phishing | Slachtoffer voert de code van de aanvaller in op de echte Microsoft-inlogpagina en voltooit de eigen MFA | De token gaat naar de app van de aanvaller. MFA keurde de juiste gebruiker goed — maar voor de verkeerde client. |
| AiTM-proxying | Slachtoffer logt in via de proxy van de aanvaller; MFA wordt normaal voltooid | Aanvaller onderschept de sessiecookie in realtime en kaapt de sessie. |
| Inloggegevens + OTP stelen | Nep-inlogformulier vangt wachtwoord en OTP tegelijk op | OTP wordt onmiddellijk door de aanvaller gebruikt, voordat deze verloopt. |
Op basis van meerdere adviezen worden de volgende maatregelen sterk aanbevolen:
devicecode-authenticatie te blokkeren).offline_access, Mail.Read of Files.ReadWrite.All-machtigingen aanvragen.Deze aanbevelingen zijn afkomstig van de FBI-PSA , Microsoft Security Blog
, BleepingComputer
en ReliaQuest
.
De golf van Microsoft 365-phishing in 2026 — aangevoerd door Forg365 (met de ForgCookie-persistentie-extensie), Jalisco, OmegaLord en het bredere ecosysteem van device-code- en AiTM-kits — markeert een paradigmaverschuiving. Aanvallers hoeven geen wachtwoorden meer te stelen of MFA te kraken. In plaats daarvan misbruiken ze het OAuth-vertrouwensmodel om de eigen authenticatie van het slachtoffer een sessie te laten autoriseren die door de aanvaller wordt beheerst. De consensus in de beveiligingswereld is een zero-trust-houding: schakel ongebruikte authenticatiestromen uit, pas Conditional Access toe, monitor tokentoekenningen en schakel over op phishing-resistente MFA .