Исследователи в области кибербезопасности сообщают о резкой эскалации атак с использованием фишинга-как-услуги (PhaaS) и специализированных наборов, предназначенных для обхода многофакторной аутентификации (MFA) в учетных записях Microsoft 365. Вместо того чтобы ломать криптографические протоколы MFA, эти атаки перехватывают сам легитимный процесс аутентификации — крадут сессионные токены, злоупотребляют OAuth-потоком кодов устройств или подставляют прокси для реального входа, чтобы собственное подтверждение MFA жертвы работало на злоумышленника .
Впервые раскрытая 9 июля 2026 года компаниями ZeroBEC и BleepingComputer, Forg365 — это PhaaS-платформа, распространяемая через Telegram и продаваемая по подписке ($400/месяц) . Она объединяет три прорывные возможности:
microsoft.com/devicelogin, что авторизует клиент атакующего) Расширение-компаньон для браузера, ForgCookie, совместимо с Chrome, Edge и Brave . После кражи сессионных токенов или куки жертвы ForgCookie автоматически обновляет украденные сессионные куки, позволяя атакующему сохранять доступ к сервисам Microsoft 365 (Outlook, Teams, OneDrive, SharePoint) без повторной аутентификации — даже после того, как жертва сменит пароль
. Это превращает одноразовую кражу токена в постоянную, долгосрочную компрометацию.
Обнаруженный ReliaQuest и BleepingComputer 14 июля 2026 года, Jalisco — это набор для фишинга через код устройства, активно используемый против учетных записей Microsoft 365 . Он работает следующим образом:
Это означает, что MFA не "взламывается" — она превращается в оружие против самой жертвы.
OmegaLord, также впервые описанный 14 июля 2026 года, использует другой подход: он маскируется под поддельную страницу PDF-ридера в браузере . Когда жертва попадает на страницу:
Множество источников подтверждают общую тенденцию в индустрии:
Ключевой вывод, объединяющий все эти угрозы: MFA не побеждена технически — она используется в своих интересах:
| Техника | Что происходит | Почему MFA не останавливает это |
|---|---|---|
| Фишинг через код устройства | Жертва вводит код атакующего на реальной странице входа Microsoft и проходит свою собственную MFA | Токен уходит к приложению злоумышленника. MFA подтвердила личность правильного пользователя — но для неверного клиента. |
| Проксирование AiTM | Жертва входит через прокси атакующего, MFA завершается нормально | Атакующий перехватывает сессионный куки в реальном времени и захватывает сессию. |
| Кража учетных данных + OTP | Поддельная форма входа перехватывает пароль и OTP одновременно | OTP используется атакующим немедленно, до истечения срока действия. |
Вот почему традиционной MFA больше недостаточно для защиты .
Основываясь на многочисленных консультациях, настоятельно рекомендуется следующее:
devicecode).offline_access, Mail.Read или Files.ReadWrite.All.Эти рекомендации основаны на предупреждении ФБР , блоге безопасности Microsoft
, BleepingComputer
и анализе угроз ReliaQuest
.
Волна фишинговых атак на Microsoft 365 в 2026 году — в первую очередь с использованием Forg365 (и его расширения ForgCookie для постоянного доступа), Jalisco, OmegaLord и более широкой экосистемы наборов для кражи кодов устройств и AiTM — представляет собой смену парадигмы. Злоумышленникам больше не нужно воровать пароли или взламывать MFA. Вместо этого они злоупотребляют моделью доверия OAuth, заставляя саму жертву своей аутентификацией авторизовать сессию, контролируемую атакующим. Консенсус сообщества специалистов по безопасности заключается в необходимости модели нулевого доверия: отключение неиспользуемых потоков аутентификации, внедрение условного доступа, мониторинг выдачи токенов и переход на устойчивую к фишингу MFA .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
В 2026 году эксперты зафиксировали резкий рост фишинговых платформ (PhaaS), которые обходят многофакторную аутентификацию (MFA) не взломом, а перехватом легитимного процесса входа в Microsoft 365.
В 2026 году эксперты зафиксировали резкий рост фишинговых платформ (PhaaS), которые обходят многофакторную аутентификацию (MFA) не взломом, а перехватом легитимного процесса входа в Microsoft 365. Инструменты вроде Forg365, Jalisco и OmegaLord используют разные методы: от проксирования сессии до кражи одноразовых кодов, делая классическую MFA бесполезной.
Расширение ForgCookie для Chrome, Edge и Brave автоматически обновляет украденные сессионные куки, позволяя злоумышленникам сохранять доступ к почте, Teams и OneDrive даже после смены пароля жертвой.