ในอีกทางหนึ่ง แพลตฟอร์ม Forg365 Phishing-as-a-service (PhaaS) ถูกระบุโดยนักวิจัย ZeroBEC (รายงานระหว่างวันที่ 9-13 กรกฎาคม 2026) ว่าเป็นชุดเครื่องมือเชิงพาณิชย์ที่จำหน่ายผ่าน Telegram ในราคา $400 ต่อเดือน (หรือ $3,800 ต่อปี) ซึ่งแตกต่างจาก Evilginx forks แบบกำหนดเองที่พบบนเซิร์ฟเวอร์ที่ถูกเปิดโปง Forg365 ได้รวมวิธีการและเครื่องมือโจมตีหลายแบบเข้าไว้ในแผงควบคุมเดียว
Forg365 ผสานความสามารถหลักสามประการ:
แพลตฟอร์มนี้ยังมีความสามารถในการหลบเลี่ยงระบบรักษาความปลอดภัย (Antibot evasion) การเข้าถึงกล่องจดหมายหลังการประนีประนอม (ผู้ปฏิบัติการสามารถเรียกดูและขโมยอีเมลจากภายในแผงควบคุม) การหมุนเวียน SMTP และการจัดตารางแคมเปญ
การค้นพบทั้งสองนี้ชี้ให้เห็นถึงความแตกต่างที่สำคัญระหว่างการโจมตีแบบ AiTM proxy และ Device Code Abuse การทำความเข้าใจความแตกต่างนี้เป็นสิ่งสำคัญ เพราะ มาตรการป้องกันแบบเดียวกันใช้ไม่ได้ผลกับทั้งสองแบบ:
การโจมตีแบบ AiTM proxy (สไตล์ Evilginx): ผู้โจมตีสร้างหน้าเข้าสู่ระบบปลอมที่ทำหน้าที่เป็นพร็อกซีส่งต่อไปยังหน้าเข้าสู่ระบบจริงของ Microsoft ผู้ใช้ป้อนรหัสผ่านและยืนยันตัวตน MFA บนพร็อกซีของผู้โจมตี หลังจากการยืนยันตัวตนสำเร็จ Microsoft จะออกคุกกี้เซสชันให้กับเบราว์เซอร์ที่เชื่อว่าเป็นผู้ใช้ที่ถูกต้อง — แต่คุกกี้นั้นตกไปอยู่ในพร็อกซีของผู้โจมตี ไม่ใช่เบราว์เซอร์ของผู้ใช้ ผู้โจมตีสามารถนำคุกกี้นั้นไปใช้เพื่อเข้าถึงบัญชี Microsoft 365 ของเหยื่อ
Device code phishing: ผู้โจมตีสร้าง Device Code ที่ถูกต้องของ Microsoft (รหัสสั้นๆ ที่ใช้ในการเข้าสู่ระบบบนอุปกรณ์ที่ไม่มีคีย์บอร์ด เช่น สมาร์ททีวี) และส่งไปยังเหยื่อในอีเมลฟิชชิ่ง เหยื่อเข้าไปที่หน้าเข้าสู่ระบบจริงของ Microsoft ป้อนรหัส ยืนยันตัวตน MFA และอนุญาตให้แอปพลิเคชันของผู้โจมตีเข้าถึง ไม่มีอะไรถูก "หลบเลี่ยง" — เหยื่อเป็นผู้อนุญาตการเข้าถึงด้วยตนเอง จากนั้นแบ็กเอนด์ของผู้โจมตีจะสอบถาม Microsoft เพื่อขอโทเค็น
มาตรการป้องกันที่มีประสิทธิภาพสูงสุดต่อการโจมตีแบบ AiTM proxy คือ Phishing-resistant MFA โดยเฉพาะ FIDO2/WebAuthn และ Passkeys กลไกเหล่านี้ผูกมัดข้อมูลประจำตัวเข้ากับชื่อโดเมนที่ถูกต้อง ดังนั้นเมื่อเบราว์เซอร์ของผู้ใช้เชื่อมต่อกับไซต์พร็อกซีของผู้โจมตี (ซึ่งมีโดเมนต่างกัน) โปรโตคอลการยืนยันตัวตนจะตรวจพบความไม่ตรงกันของโดเมนและปฏิเสธการแลกเปลี่ยนข้อมูลประจำตัวโดยอัตโนมัติ
มาตรการป้องกันอื่นๆ ได้แก่:
Device Code Phishing ไม่จำเป็นต้องให้ผู้โจมตีหลอกให้ผู้ใช้ป้อนข้อมูลรับรองบนหน้าเว็บปลอม — ผู้ใช้โต้ตอบกับหน้าเข้าสู่ระบบจริงของ Microsoft ซึ่งหมายความว่า FIDO2/passkeys เพียงอย่างเดียวไม่สามารถป้องกันการโจมตีนี้ได้อย่างสมบูรณ์ เนื่องจากเป็นการใช้ OAuth flow ที่ถูกต้องตามกฎหมาย
มาตรการป้องกันหลักคือการ บล็อก Device-code OAuth grant สำหรับผู้ใช้ที่ไม่จำเป็นต้องใช้ โดยใช้ Microsoft Entra ID Conditional Access:
มาตรการป้องกันเพิ่มเติม:
คำแนะนำต่อสาธารณะของ FBI ในเดือนพฤษภาคม 2026 เกี่ยวกับแพลตฟอร์ม Kali365 PhaaS แนะนำให้บล็อก Device Code Flow เป็นมาตรการป้องกันหลักโดยเฉพาะ ในขณะที่แพลตฟอร์มฟิชชิ่งอย่าง Forg365 ยังคงทำให้เทคนิคการโจมตีเหล่านี้กลายเป็นเชิงพาณิชย์มากขึ้น ความเร่งด่วนในการปฏิบัติการสำหรับฝ่ายป้องกันนั้นชัดเจน: ปรับใช้ FIDO2/passkeys สำหรับบัญชีที่มีสิทธิ์ทั้งหมดเพื่อหยุดการโจมตีแบบ AiTM proxy และใช้ Conditional Access เพื่อปิดการใช้งาน Device-code grant สำหรับผู้ใช้ที่ไม่ต้องการ ไดเรกทอรีที่เปิดเผยเพียงแห่งเดียวอาจเปิดโปงสามแคมเปญ — แต่บทเรียนนี้ใช้ได้กับทุก Microsoft 365 tenant