En våg av PhaaS verktyg under 2026 – ledda av Forg365, Jalisco och OmegaLord – kringgår multifaktorautentisering genom att kapa den legitima inloggningsprocessen, inte genom att knäcka kryptering. ForgCookie tillägget uppdaterar automatiskt stulna sessionscookies, vilket ger angripare beständig åtkomst till Outlook,...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is the latest wave of phishing threats targeting Microsoft 365 accounts, including the Forg3. Article summary: Here is a comprehensive, sourced analysis of the latest wave of Microsoft 365 phishing threats as of July 2026.. Topic tags: general, government, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it usefu
Säkerhetsforskare har dokumenterat en kraftig ökning av PhaaS-plattformar (Phishing-as-a-Service) och verktyg som är specialbyggda för att kringgå multifaktorautentisering (MFA) på Microsoft 365-konton. Istället för att bryta kryptografiska MFA-flöden kapar dessa attacker den legitima autentiseringsprocessen – de fångar upp sessionstokens, missbrukar OAuth-flöden för enhetskoder eller proxar riktiga inloggningar så att offrets egen MFA-godkännanning gynnar angriparen .
Först avslöjad den 9 juli 2026 av ZeroBEC och BleepingComputer, är Forg365 en prenumerationsbaserad PhaaS-plattform (400 USD/månad) som distribueras via Telegram . Den innehåller tre banbrytande funktioner:
microsoft.com/devicelogin, vilket auktoriserar angriparens klient) Ett medföljande webbläsartillägg, ForgCookie, är kompatibelt med Chrome, Edge och Brave . När offrets sessionstokens eller cookies har samlats in, uppdaterar ForgCookie automatiskt stulna sessionscookies, vilket gör att angriparen kan behålla åtkomsten till Microsoft 365-tjänster (Outlook, Teams, OneDrive, SharePoint) utan att autentisera på nytt – även efter att offret har bytt lösenord
. Detta förvandlar en engångsstöld av tokens till en beständig, långsiktig kompromettering.
Avslöjad av ReliaQuest och BleepingComputer den 14 juli 2026, Jalisco är ett verktyg för nätfiske med enhetskoder som aktivt används mot Microsoft 365-konton . Det fungerar genom att:
Detta innebär att MFA inte "knäcks" – den beväpnas.
Även rapporterad den 14 juli 2026, OmegaLord tar en annan approach: den utger sig för att vara en falsk PDF-läsarsida i webbläsaren . När offer landar på sidan:
Flera källor bekräftar en bredare branschtrend:
Den kritiska insikten i alla dessa hot är att MFA inte tekniskt besegras – den samarbetas med:
| Teknik | Vad som händer | Varför MFA inte stoppar det |
|---|---|---|
| Nätfiske med enhetskoder | Offret anger angriparens kod på Microsofts riktiga inloggningssida och slutför sin egen MFA | Token går till angriparens app. MFA godkände rätt användare – för fel klient. |
| AiTM-proxning | Offret loggar in via angriparens proxy, MFA slutförs normalt | Angriparen fångar sessionscookien i realtid och kapar sessionen. |
| Stöld av inloggningsuppgifter + OTP | Falskt inloggningsformulär fångar lösenord och OTP samtidigt | OTP används omedelbart av angriparen innan det löper ut. |
Detta är anledningen till att traditionell MFA ensam inte längre är ett tillräckligt försvar .
Baserat på flera rådgivande uttalanden rekommenderas följande åtgärder starkt:
devicecode autentisering).offline_access, Mail.Read eller Files.ReadWrite.All behörigheter.Dessa rekommendationer är hämtade från FBI:s PSA , Microsofts säkerhetsblogg
, BleepingComputer
och ReliaQuests hotanalys
.
Den våg av nätfiske mot Microsoft 365 under 2026 – ledd av Forg365 (med tillägget ForgCookie för uthållighet), Jalisco, OmegaLord och det bredare ekosystemet av enhetskods- och AiTM-verktyg – representerar ett paradigmskifte. Angripare behöver inte längre stjäla lösenord eller knäcka MFA. Istället missbrukar de OAuth-modellen för förtroende för att få offrets egen autentisering att auktorisera en sessionskontrollerad av angriparen. Säkerhetscommunityns samstämmiga rekommendation är en nollförtroendeposition: inaktivera oanvända autentiseringsflöden, tillämpa villkorlig åtkomst, övervaka tokenbeviljningar och gå mot nätfiskeresistent MFA .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
En våg av PhaaS verktyg under 2026 – ledda av Forg365, Jalisco och OmegaLord – kringgår multifaktorautentisering genom att kapa den legitima inloggningsprocessen, inte genom att knäcka kryptering.
En våg av PhaaS verktyg under 2026 – ledda av Forg365, Jalisco och OmegaLord – kringgår multifaktorautentisering genom att kapa den legitima inloggningsprocessen, inte genom att knäcka kryptering. ForgCookie tillägget uppdaterar automatiskt stulna sessionscookies, vilket ger angripare beständig åtkomst till Outlook, Teams och OneDrive även efter ett lösenordsbyte.