13 июля 2026 года французская компания Lexfo обнаружила три активные фишинговые кампании на базе Evilginx против Microsoft 365 после того, как злоумышленник оставил Python сервер открытым с включенным листингом директ... Параллельно была выявлена платформа Forg365 — фишинг как услуга (PhaaS), которая объединяет AiTM...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the details of the recent Microsoft 365 phishing campaigns exposed by a misconfigured se. Article summary: On **July 13, 2026**, researchers at the French security firm **Lexfo** uncovered three live Evilginx-based phishing operations targeting Microsoft 365 after an attacker left a Python web server exposed on a public port . Topic tags: general, government, education, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, wat
В июле 2026 года два параллельных открытия вскрыли волну изощренных фишинговых атак на Microsoft 365, обходящих многофакторную аутентификацию (MFA) двумя принципиально разными методами: прокси-атаками «злоумышленник посередине» (adversary-in-the-middle, AiTM) и злоупотреблением аутентификацией через код устройства (device code). Первое открытие произошло из-за ошибки самого злоумышленника — неправильно настроенного Python-сервера, который раскрыл три активные кампании. Второе — благодаря исследователям, отследившим новую коммерческую фишинговую платформу Forg365. Понимание того, как работает каждая атака, — первый шаг к правильной защите, потому что решение для одного типа атак не останавливает другой.
13 июля 2026 года исследователи французской компании Lexfo обнаружили три активные фишинговые операции на базе Evilginx, нацеленные на Microsoft 365. Поводом послужила ошибка злоумышленника, оставившего Python-сервер открытым на общедоступном порту с включенным листингом директорий. Команда python3 -m http.server 8080.bash_history сервера. Из этой открытой директории Lexfo извлекла полный инструментарий оператора, логи и данные перехваченных жертв, а также выявила двух других операторов, запускавших отдельные кампании .
Все три операции были фишинговыми кампаниями Evilginx на основе AiTM, которые проксировали страницы входа в Microsoft 365 для кражи сессионных токенов после того, как пользователь проходил MFA . Одна из трех кампаний зафиксировала 218 захваченных учетных записей из 12 стран, из которых 94% были корпоративными почтовыми ящиками
. Операции использовали два различных пути атаки: кражу сессионных токенов Evilginx (через AiTM-прокси) и фишинг через код устройства — один из наборов отправлял жертв на настоящую страницу входа Microsoft, где они самостоятельно авторизовывали доступ, а бэкенд злоумышленника опрашивал сервер на предмет получения токена
.
Отдельно платформа Forg365 (фишинг-как-услуга, PhaaS) была выявлена исследователями ZeroBEC (сообщено 9–13 июля 2026 года) как коммерческий набор, распространяемый через Telegram. Его стоимость составляет $400 в месяц (или $3800 в год). В отличие от кастомных форков Evilginx, найденных на открытом сервере, Forg365 объединяет несколько методов атак и инструментов в единую панель управления оператора .
Forg365 сочетает три ключевые возможности:
Платформа также включает обход антибот-систем (обнаруживает песочницы и средства безопасности), доступ к почтовому ящику после взлома (операторы могут просматривать и извлекать электронную почту прямо из панели), ротацию SMTP-серверов и планирование кампаний .
Эти два открытия иллюстрируют ключевое различие между AiTM-прокси-атаками и злоупотреблением кодом устройства. Понимание разницы крайне важно, потому что одна и та же защита не работает против обеих атак:
AiTM-прокси-атаки (стиль Evilginx): Злоумышленник создает поддельную страницу входа, которая проксирует трафик на настоящую страницу входа Microsoft. Пользователь вводит свой пароль и проходит MFA на прокси-сервере злоумышленника. После успешной аутентификации Microsoft отправляет сессионный cookie браузеру, который, как считается, принадлежит легитимному пользователю, — но этот cookie попадает в прокси злоумышленника, а не в браузер пользователя. Злоумышленник может затем использовать этот cookie для доступа к учетной записи Microsoft 365 жертвы .
Фишинг через код устройства: Злоумышленник генерирует легитимный код устройства Microsoft (короткий код, используемый для входа на устройствах без клавиатуры, например, на Smart TV) и отправляет его жертве в фишинговом письме. Жертва переходит на настоящую страницу входа Microsoft, вводит код, проходит MFA и авторизует приложение злоумышленника. Ничего не «обходится» — жертва сама авторизовала доступ. Бэкенд злоумышленника затем опрашивает Microsoft на предмет получения токена .
Самой эффективной защитой от AiTM-прокси-атак является устойчивый к фишингу MFA, а именно FIDO2/WebAuthn и passkeys. Они привязывают учетные данные к легитимному доменному имени, поэтому, когда браузер пользователя подключается к сайту-прокси злоумышленника (у которого другой домен), протокол аутентификации обнаруживает несоответствие домена и автоматически блокирует обмен учетными данными .
Другие меры защиты включают:
Фишинг через код устройства не требует от злоумышленника обманом заставить пользователя ввести учетные данные на поддельной странице — пользователь взаимодействует с настоящей страницей входа Microsoft. Это означает, что FIDO2/passkeys сами по себе не полностью защищают от этой атаки, потому что используется легитимный OAuth-поток .
Основная защита — заблокировать OAuth-грант кода устройства для пользователей, которым он не нужен, с помощью Microsoft Entra ID Conditional Access:
Дополнительные меры защиты:
В мае 2026 года в публичном заявлении ФБР о платформе Kali365 PhaaS блокировка потока кода устройства рекомендовалась как основная защита . Поскольку фишинговые платформы вроде Forg365 продолжают коммерциализировать эти методы атак, оперативная необходимость для защитников ясна: внедрить FIDO2/passkeys для всех привилегированных учетных записей, чтобы остановить AiTM-прокси-атаки, и использовать Conditional Access для отключения гранта кода устройства для тех пользователей, которым он не нужен. Одна открытая директория раскрыла три кампании — но уроки применимы к каждому клиенту Microsoft 365.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
13 июля 2026 года французская компания Lexfo обнаружила три активные фишинговые кампании на базе Evilginx против Microsoft 365 после того, как злоумышленник оставил Python сервер открытым с включенным листингом директ...
13 июля 2026 года французская компания Lexfo обнаружила три активные фишинговые кампании на базе Evilginx против Microsoft 365 после того, как злоумышленник оставил Python сервер открытым с включенным листингом директ... Параллельно была выявлена платформа Forg365 — фишинг как услуга (PhaaS), которая объединяет AiTM проксирование, фишинг с использованием кода устройства и ИИ генерацию приманок.
Ключевое различие в защите: AiTM атаки останавливает устойчивый к фишингу MFA (FIDO2/passkeys), тогда как фишинг с кодом устройства блокируется отключением OAuth потока кода устройства в Microsoft Entra ID Conditional...