I juli 2026 avslöjades två parallella upptäckter som visar på en ökning av sofistikerade Microsoft 365-phishingattacker som kringgår multifaktorautentisering (MFA) med två helt olika metoder: adversary-in-the-middle (AiTM)-proxyattacker och missbruk av enhetskodsautentisering (device code authentication). Den första upptäckten kom från ett enda misstag av en angripare – en felkonfigurerad Python-webbserver som exponerade tre pågående kampanjer. Den andra upptäckten kom från forskare som spårade en ny kommersiell phishing-plattform som kallas Forg365. Att förstå hur varje attack fungerar är det första steget för att kunna sätta in rätt försvar, eftersom lösningen för den ena inte stoppar den andra.
Den 13 juli 2026 upptäckte forskare på det franska säkerhetsföretaget Lexfo tre aktiva Evilginx-baserade phishingoperationer riktade mot Microsoft 365. Detta efter att en angripare lämnat en Python-webbserver exponerad på en publik port med kataloglistning aktiverad. Kommandot python3 -m http.server 8080.bash_history. Från den öppna katalogen kunde Lexfo hämta hela operatörens verktygslåda, loggar och insamlade offerdata, och därifrån identifiera ytterligare två phishingoperatörer som körde separata kampanjer .
Alla tre operationerna var Evilginx-baserade AiTM-phishingkampanjer som proxade Microsoft 365-inloggningssidor för att stjäla sessionstokens efter att användaren slutfört MFA . En av de tre kampanjerna hade loggat 218 kapade konton från 12 länder, varav 94% var företagsmejlboxar
. Operationerna använde två distinkta attackvägar: Evilginx-sessionstokensitöld (via en AiTM-proxy) och enhetskodsphishing – ett kit skickade offren till den riktiga Microsoft-enhetsinloggningssidan, där de själva auktoriserade åtkomsten, medan angriparens backend pollade efter token
.
Separat identifierades Forg365-plattformen för phishing-as-a-service (PhaaS) av ZeroBEC-forskare (rapporterad 9–13 juli 2026) som ett kommersiellt Telegram-distribuerat kit som kostar 400 USD per månad (eller 3 800 USD per år). Till skillnad från de anpassade Evilginx-forks som hittades på den exponerade servern, paketerar Forg365 flera attackmetoder och verktyg i en enda operatörspanel .
Forg365 kombinerar tre centrala funktioner:
Plattformen inkluderar också antibot-evasionsmekanismer (upptäcker sandlådor och säkerhetscrawlers), åtkomst till komprometterade brevlådor (operatörer kan bläddra och exfiltrera e-post inifrån panelen), SMTP-rotation och kampanjplanering .
Dessa två upptäckter illustrerar den kritiska skillnaden mellan AiTM-proxyattacker och enhetskodsphishing. Att förstå skillnaden är väsentlig eftersom samma försvar inte fungerar för båda:
AiTM-proxyattacker (Evilginx-stil): Angriparen sätter upp en falsk inloggningssida som proxar trafik till den riktiga Microsoft-inloggningssidan. Användaren anger sitt lösenord och slutför MFA på angriparens proxy. Efter lyckad autentisering utfärdar Microsoft en sessionskaka till vad det tror är användarens webbläsare – men kakan hamnar faktiskt i angriparens proxy, inte i användarens webbläsare. Angriparen kan sedan återspela kakan för att få åtkomst till offrets Microsoft 365-konto .
Enhetskodsphishing: Angriparen genererar en legitim Microsoft-enhetskod (en kort kod som används för att logga in på enheter utan tangentbord, som smarta TV-apparater) och skickar den till offret i ett phishingmejl. Offret besöker den riktiga Microsoft-inloggningssidan, anger koden, slutför MFA och auktoriserar angriparens applikation. Ingenting "kringgås" – offret har själv auktoriserat åtkomsten. Angriparens backend pollar sedan Microsoft efter token .
Det enskilt mest effektiva försvaret mot AiTM-proxyattacker är phishingresistent MFA, specifikt FIDO2/WebAuthn och passkeys (lösenordsnycklar). Dessa binder autentiseringsuppgifterna till det legitima domännamnet, så när användarens webbläsare ansluter till angriparens proxysajt (som har en annan domän) upptäcker autentiseringsprotokollet domänmatchningsfelet och blockerar automatiskt utbytet av autentiseringsuppgifter .
Andra försvar inkluderar:
Enhetskodsphishing kräver inte att angriparen lurar användaren att ange autentiseringsuppgifter på en falsk sida – användaren interagerar med den riktiga Microsoft-inloggningssidan. Detta innebär att FIDO2/passkeys ensamma inte fullt ut skyddar mot denna attack, eftersom det legitima OAuth-flödet används .
Det primära försvaret är att blockera OAuth-behorigheten för enhetskod för användare som inte behöver den, med hjälp av Microsoft Entra ID:s Conditional Access:
Ytterligare försvar:
FBI:s rapport från maj 2026 om Kali365 PhaaS-plattformen rekommenderade specifikt blockering av enhetskodflödet som det primära försvaret . I takt med att phishingplattformar som Forg365 fortsätter att kommersialisera dessa attacktekniker, är den operativa brådskan för försvarare tydlig: distribuera FIDO2/passkeys för alla privilegierade konton för att stoppa AiTM-proxyattacker, och använd Conditional Access för att inaktivera enhetskodsbehörigheten för användare som inte behöver den. En öppen katalog avslöjade tre kampanjer – men lärdomarna gäller för alla Microsoft 365-klientorganisationer.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Den 13 juli 2026 avslöjade franska säkerhetsföretaget Lexfo tre aktiva Evilginx baserade phishingkampanjer mot Microsoft 365, efter att en angripare lämnat en Python webbserver med kataloglistning aktiverad.
Den 13 juli 2026 avslöjade franska säkerhetsföretaget Lexfo tre aktiva Evilginx baserade phishingkampanjer mot Microsoft 365, efter att en angripare lämnat en Python webbserver med kataloglistning aktiverad. En av kampanjerna hade loggat 218 kapade konton från 12 länder, varav 94% var företagsmejlboxar.
Forg365, en ny PhaaS plattform (Phishing as a Service) på Telegram, kombinerar AiTM proxning, enhetskodsphishing och AI genererade lockbeten – till en kostnad av 400 USD per månad.