13 Temmuz 2026'da Fransız güvenlik firması Lexfo, bir saldırganın Python web sunucusunu açık unutması sayesinde üç farklı Evilginx tabanlı dolandırıcılık kampanyasını tespit etti. Aynı dönemde ZeroBEC araştırmacıları, Telegram üzerinden dağıtılan ve aylık 400 dolar (yıllık 3.800 dolar) olan Forg365 dolandırıcılık pl...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the details of the recent Microsoft 365 phishing campaigns exposed by a misconfigured se. Article summary: On **July 13, 2026**, researchers at the French security firm **Lexfo** uncovered three live Evilginx-based phishing operations targeting Microsoft 365 after an attacker left a Python web server exposed on a public port . Topic tags: general, government, education, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, wat
Temmuz 2026'da gerçekleşen iki paralel keşif, Microsoft 365 hedefli ve çok faktörlü kimlik doğrulamayı (MFA) aşan dolandırıcılık saldırılarında ciddi bir artış olduğunu ortaya koydu. Bu saldırılar iki temelde farklı yöntem kullanıyor: aradaki düşman (AiTM) vekil sunucu saldırıları ve cihaz kodu kimlik doğrulama istismarı. İlk keşif, bir saldırganın yanlış yapılandırılmış bir Python web sunucusunu açık unutmasıyla başladı. İkinci keşif ise araştırmacıların Forg365 adlı yeni bir ticari dolandırıcılık platformunu takip etmesiyle geldi. Her saldırının nasıl çalıştığını anlamak, doğru savunmayı uygulamanın ilk adımıdır; çünkü birini durduran çözüm diğerini durdurmayabilir.
13 Temmuz 2026'da, Fransız güvenlik firması Lexfo, üç farklı Evilginx tabanlı dolandırıcılık operasyonunu keşfetti. Keşif, bir saldırganın Python web sunucusunu genel bir portta ve dizin listelemesi açık şekilde çalışır durumda bırakmasıyla mümkün oldu. Sunucunun .bash_history dosyasında python3 -m http.server 8080.
Lexfo, bu açık dizinden saldırganın tüm araç setine, kayıt defterlerine ve ele geçirilen kurban verilerine ulaştı. Ayrıca bu bilgileri kullanarak iki farklı saldırganın daha ayrı kampanyalar yürüttüğünü tespit etti .
Her üç operasyon da Evilginx tabanlı AiTM dolandırıcılık kampanyalarıydı. Bu kampanyalar, kullanıcı MFA'yı tamamladıktan sonra oturum belirteçlerini çalmak için Microsoft 365 giriş sayfalarını vekil sunucu olarak kullanıyordu .
Üç kampanyadan birinin kayıtlarına göre, 12 ülkede 218 hesap ele geçirilmişti ve bunların %94'ü kurumsal posta kutularıydı . Operasyonlarda iki farklı saldırı yolu kullanılmıştı: Evilginx oturum belirteci hırsızlığı (AiTM vekil sunucu aracılığıyla) ve cihaz kodu dolandırıcılığı. Bir saldırı seti, kurbanları gerçek Microsoft cihaz giriş sayfasına yönlendiriyor, kullanıcı burada kendisi yetkilendirme yapıyor ve saldırganın arka ucu belirteci almak için sorgulama yapıyordu
.
Bununla bağlantılı olarak, Forg365 dolandırıcılık-hizmet-olarak (PhaaS) platformu ZeroBEC araştırmacıları tarafından tespit edildi (9-13 Temmuz 2026 tarihleri arasında raporlandı). Bu platform, Telegram üzerinden dağıtılan ve aylık 400 dolar (veya yıllık 3.800 dolar) maliyeti olan ticari bir settir .
Forg365, üç temel yeteneği bir operatör panelinde birleştiriyor:
Platform ayrıca anti-bot kaçınma (güvenlik kum havuzlarını ve tarayıcılarını tespit eder), ele geçirme sonrası posta kutusu erişimi (operatörler panelden e-postaları görüntüleyip dışarı aktarabilir), SMTP rotasyonu ve kampanya planlaması gibi özellikler de sunuyor .
Bu iki keşif, AiTM vekil sunucu saldırıları ile cihaz kodu istismarı arasındaki kritik farkı gözler önüne seriyor. Farkı anlamak çok önemli çünkü aynı savunma her iki saldırı için de işe yaramıyor:
AiTM vekil sunucu saldırıları (Evilginx tarzı): Saldırgan, trafiği gerçek Microsoft giriş sayfasına yönlendiren sahte bir giriş sayfası kurar. Kullanıcı, şifresini girer ve MFA'yı saldırganın vekil sunucusunda tamamlar. Başarılı kimlik doğrulamanın ardından Microsoft, meşru kullanıcının tarayıcısı olduğunu düşündüğü yere bir oturum çerezi gönderir. Ancak bu çerez aslında kullanıcının tarayıcısına değil, saldırganın vekil sunucusuna gider. Saldırgan daha sonra bu çerezi tekrar kullanarak kurbanın Microsoft 365 hesabına erişebilir .
Cihaz kodu dolandırıcılığı: Saldırgan, meşru bir Microsoft cihaz kodu (akıllı TV'ler gibi klavyesi olmayan cihazlarda oturum açmak için kullanılan kısa bir kod) oluşturur ve bunu bir dolandırıcılık e-postasıyla kurbana gönderir. Kurban gerçek Microsoft giriş sayfasına gider, kodu girer, MFA'yı tamamlar ve saldırganın uygulamasını yetkilendirir. Burada "atlatma" yoktur; kurban erişimi kendisi yetkilendirmiştir. Saldırganın arka ucu daha sonra Microsoft'tan belirteci almak için sorgulama yapar .
AiTM vekil sunucu saldırılarına karşı en etkili savunma, dolandırıcılığa dayanıklı MFA, yani FIDO2/WebAuthn ve geçiş anahtarlarıdır (passkeys). Bunlar kimlik bilgilerini meşru alan adına bağlar. Kullanıcının tarayıcısı saldırganın vekil sunucu sitesine (farklı bir alan adına sahip) bağlandığında, kimlik doğrulama protokolü alan adı uyuşmazlığını tespit eder ve kimlik bilgisi alışverişini otomatik olarak engeller .
Diğer savunmalar:
Cihaz kodu dolandırıcılığı, saldırganın kullanıcıyı sahte bir sayfada kimlik bilgilerini girmesi için kandırmasını gerektirmez; kullanıcı gerçek Microsoft giriş sayfasıyla etkileşime girer. Bu, FIDO2/geçiş anahtarlarının tek başına bu saldırıya karşı tam koruma sağlayamayacağı anlamına gelir çünkü meşru OAuth akışı kullanılmaktadır .
Birincil savunma, ihtiyacı olmayan kullanıcılar için cihaz kodu OAuth iznini engellemektir. Bunun için Microsoft Entra ID Koşullu Erişim kullanılır:
Ek savunmalar:
FBI'ın Mayıs 2026'da Kali365 PhaaS platformu hakkında yayınladığı Kamu Hizmeti Duyurusu, birincil savunma olarak cihaz kodu akışının engellenmesini özellikle önermiştir . Forg365 gibi dolandırıcılık platformları bu saldırı tekniklerini ticarileştirmeye devam ederken, savunmacılar için operasyonel aciliyet açıktır: AiTM vekil sunucu saldırılarını durdurmak için tüm ayrıcalıklı hesaplara FIDO2/geçiş anahtarları dağıtın ve ihtiyacı olmayan kullanıcılar için cihaz kodu iznini devre dışı bırakmak üzere Koşullu Erişim kullanın. Açık bir dizin üç kampanyayı ortaya çıkarmış olabilir — ancak alınan dersler her Microsoft 365 kiracısı için geçerlidir.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
13 Temmuz 2026'da Fransız güvenlik firması Lexfo, bir saldırganın Python web sunucusunu açık unutması sayesinde üç farklı Evilginx tabanlı dolandırıcılık kampanyasını tespit etti.
13 Temmuz 2026'da Fransız güvenlik firması Lexfo, bir saldırganın Python web sunucusunu açık unutması sayesinde üç farklı Evilginx tabanlı dolandırıcılık kampanyasını tespit etti. Aynı dönemde ZeroBEC araştırmacıları, Telegram üzerinden dağıtılan ve aylık 400 dolar (yıllık 3.800 dolar) olan Forg365 dolandırıcılık platformunun (PhaaS) Microsoft 365 hesaplarını hedef aldığını bildirdi [19].
Saldırılar iki farklı yöntem kullanıyor: AiTM vekil sunucu saldırıları (Evilginx tarzı) ve cihaz kodu kimlik doğrulama istismarı.