microsoft.com/devicelogin, som autoriserer angriperens klient) En tilhørende nettleserutvidelse, ForgCookie, er kompatibel med Chrome, Edge og Brave . Når offerets sesjonstokener eller -kapsler er høstet, oppdaterer ForgCookie automatisk stjålne sesjonskapsler, slik at angriperen kan opprettholde tilgang til Microsoft 365-tjenester (Outlook, Teams, OneDrive, SharePoint) uten ny autentisering – selv etter at offeret endrer passordet sitt
. Dette gjør et engangstokentyveri om til en vedvarende, langsiktig kompromittering.
Offentliggjort av ReliaQuest og BleepingComputer 14. juli 2026, er Jalisco et enhetskode-phishing-verktøy som aktivt brukes mot Microsoft 365-kontoer . Det fungerer ved å:
Dette betyr at MFA ikke blir "brutt" – det blir væpnet.
Også rapportert 14. juli 2026, bruker OmegaLord en annen tilnærming: det forkler seg som en falsk PDF-lesernettside . Når ofre havner på siden:
Flere kilder bekrefter en bredere bransjetrend:
Den kritiske innsikten på tvers av alle disse truslene er at MFA er ikke teknisk beseiret – det er kooptert:
| Teknikk | Hva skjer | Hvorfor MFA ikke stopper det |
|---|---|---|
| Enhetskode-phishing | Offeret skriver inn angriperens kode på Microsofts ekte påloggingsside, fullfører sin egen MFA | Tokenet går til angriperens app. MFA godkjente riktig bruker – for feil klient. |
| AiTM-proxying | Offeret logger på via angriperens proxy, MFA fullføres normalt | Angriperen fanger opp sesjonskapselen i sanntid og kaprer sesjonen. |
| Legitimasjon + OTP-høsting | Falsk påloggingsside fanger opp passord og OTP samtidig | OTP brukes umiddelbart av angriperen før den utløper. |
Basert på flere rådgivninger er følgende tiltak sterkt anbefalt:
devicecode-autentisering).offline_access, Mail.Read eller Files.ReadWrite.All-tillatelser.Disse anbefalingene er hentet fra FBIs PSA , Microsoft Security Blog
, BleepingComputer
og ReliaQuests trusselanalyse
.
2026-bølgen av phishing mot Microsoft 365 – ledet av Forg365 (med ForgCookie-utholdenhetsutvidelsen), Jalisco, OmegaLord og det bredere økosystemet av enhetskode- og AiTM-verktøy – representerer et paradigmeskifte. Angripere trenger ikke lenger å stjele passord eller bryte MFA. I stedet misbruker de OAuth-tillitsmodellen for å få offerets egen autentisering til å autorisere en angriper-kontrollert sesjon. Sikkerhetsmiljøets konsensusanbefaling er en nulltillit-holdning: deaktiver ubrukte autentiseringsflyter, håndhev Conditional Access, overvåk tokentilgang, og gå mot phishing-resistent MFA .