Separadamente, a plataforma de phishing como serviço (PhaaS) Forg365 foi identificada por pesquisadores da ZeroBEC (relatado entre 9 e 13 de julho de 2026) como um kit comercial distribuído via Telegram que custa US$ 400 por mês (ou US$ 3.800 por ano). Diferente dos forks personalizados do Evilginx encontrados no servidor exposto, o Forg365 reúne múltiplos métodos e ferramentas de ataque em um único painel de controle para o operador .
O Forg365 combina três capacidades principais:
A plataforma também inclui evasão antibot (detecta sandboxes e rastreadores de segurança), acesso a caixas postais pós-comprometimento (operadores podem navegar e exfiltrar e-mails de dentro do painel), rodízio de servidores SMTP e agendamento de campanhas .
Essas duas descobertas ilustram a distinção crítica entre ataques de proxy AiTM e abuso de código de dispositivo. Entender a diferença é essencial porque a mesma defesa não funciona para ambos:
Ataques de proxy AiTM (estilo Evilginx): O atacante configura uma página de login falsa que faz proxy do tráfego para a página de login real da Microsoft. O usuário digita sua senha e conclui a MFA no proxy do atacante. Após a autenticação bem-sucedida, a Microsoft emite um cookie de sessão para o que ela acredita ser o navegador legítimo do usuário — mas esse cookie na verdade cai no proxy do atacante, não no navegador do usuário. O atacante pode então reutilizar esse cookie para acessar a conta Microsoft 365 da vítima .
Phishing por código de dispositivo: O atacante gera um código de dispositivo legítimo da Microsoft (um código curto usado para fazer login em dispositivos sem teclado, como smart TVs) e o envia para a vítima em um e-mail de phishing. A vítima visita a página de login real da Microsoft, insere o código, conclui a MFA e autoriza o aplicativo do atacante. Nada é "bur lado" — a vítima autorizou o acesso. O backend do atacante então consulta a Microsoft pelo token .
A defesa mais eficaz contra ataques AiTM é a MFA resistente a phishing, especificamente FIDO2/WebAuthn e chaves de acesso (passkeys). Eles vinculam as credenciais ao nome de domínio legítimo. Quando o navegador do usuário se conecta ao site de proxy do atacante (que tem um domínio diferente), o protocolo de autenticação detecta a incompatibilidade de domínio e bloqueia automaticamente a troca de credenciais .
Outras defesas incluem:
O phishing por código de dispositivo não exige que o atacante engane a vítima para inserir credenciais em uma página falsa — o usuário interage com a página de login real da Microsoft. Isso significa que o FIDO2/chaves de acesso sozinhos não protegem completamente contra esse ataque, porque o fluxo OAuth legítimo está sendo usado .
A defesa principal é bloquear a concessão OAuth de código de dispositivo para usuários que não precisam dela, usando o Conditional Access do Microsoft Entra ID:
Defesas adicionais:
O comunicado público do FBI de maio de 2026 sobre a plataforma PhaaS Kali365 recomendou especificamente bloquear o fluxo de código de dispositivo como defesa principal . À medida que plataformas de phishing como o Forg365 continuam a comercializar essas técnicas de ataque, a urgência operacional para os defensores é clara: implante FIDO2/chaves de acesso para todas as contas privilegiadas para interromper ataques de proxy AiTM, e use o Conditional Access para desabilitar a concessão de código de dispositivo para usuários que não precisam dela. Um diretório aberto pode ter exposto três campanhas — mas as lições se aplicam a todos os locatários do Microsoft 365.