Samtidig ble Forg365-plattformen identifisert av ZeroBEC-forskere (rapportert 9.–13. juli 2026) som en kommersiell Telegram-distribuert PhaaS-plattform som koster 400 dollar per måned (eller 3 800 dollar per år). I motsetning til de tilpassede Evilginx-forgingene som ble funnet på den eksponerte serveren, samler Forg365 flere angrepsmetoder og verktøy i ett enkelt operatørpanel .
Forg365 kombinerer tre kjernefunksjoner:
Plattformen inkluderer også antibot-omgåelse (oppdager sandkasser og sikkerhetssøkere), tilgang til offerets e-post etter kompromittering (operatører kan bla i og eksfiltrere e-post fra panelet), SMTP-rotasjon og kampanjeplanlegging .
Disse to oppdagelsene illustrerer det avgjørende skillet mellom AiTM-proxyangrep og enhetskode-misbruk. Det er essensielt å forstå forskjellen fordi samme forsvar ikke virker for begge:
AiTM-proxyangrep (Evilginx-stil): Angriperen setter opp en falsk innloggingsside som videresender trafikk til den virkelige Microsoft-innloggingssiden. Brukeren skriver inn passordet og fullfører MFA på angriperens proxy. Etter vellykket autentisering utsteder Microsoft en sesjonskapsel til det den tror er brukerens nettleser – men kapselen havner faktisk hos angriperens proxy, ikke brukerens nettleser. Angriperen kan deretter spille av kapselen for å få tilgang til offerets Microsoft 365-konto .
Enhetskode-phishing: Angriperen genererer en legitim Microsoft-enhetskode (en kort kode som brukes til å logge inn på enheter uten tastatur, som smart-TV-er) og sender den til offeret i en phishing-e-post. Offeret går til den virkelige Microsoft-innloggingssiden, skriver inn koden, fullfører MFA og godkjenner angriperens applikasjon. Ingenting blir "omgått" – offeret har selv godkjent tilgangen. Angriperens backend venter deretter på tokenet fra Microsoft .
Det mest effektive forsvaret mot AiTM-proxyangrep er phishingbestandig MFA, spesielt FIDO2/WebAuthn og passnøkler. Disse binder legitimasjonen til det legitime domenenavnet, slik at når brukerens nettleser kobler seg til angriperens proxy-side (som har et annet domene), oppdager autentiseringsprotokollen domeneavviket og blokkerer legitimasjonsutvekslingen automatisk .
Andre forsvar inkluderer:
Enhetskode-phishing krever ikke at angriperen lurer brukeren til å skrive inn legitimasjon på en falsk side – brukeren samhandler med den virkelige Microsoft-innloggingssiden. Det betyr at FIDO2/passnøkler alene ikke fullt ut beskytter mot dette angrepet, fordi den legitime OAuth-flyten blir brukt .
Hovedforsvaret er å blokkere enhetskode-OAuth-granten for brukere som ikke trenger den, ved hjelp av Microsoft Entra ID Betinget tilgang:
Ytterligere forsvar:
FBIs offentlige kunngjøring fra mai 2026 om Kali365 PhaaS-plattformen anbefalte spesifikt å blokkere enhetskodeflyt som det primære forsvaret . Ettersom phishing-plattformer som Forg365 fortsetter å kommersialisere disse angrepsteknikkene, er det operative hastverket for forsvarere tydelig: ta i bruk FIDO2/passnøkler for alle privilegerte kontoer for å stoppe AiTM-proxyangrep, og bruk Betinget tilgang til å deaktivere enhetskode-granten for brukere som ikke trenger den. Én åpen katalog avslørte kanskje tre kampanjer – men lærdommene gjelder for alle Microsoft 365-leietakere.