Tamamlayıcı bir tarayıcı eklentisi olan ForgCookie; Chrome, Edge ve Brave tarayıcılarıyla uyumludur . Kurbanın oturum belirteçleri veya çerezleri ele geçirildiğinde, ForgCookie otomatik olarak çalınan oturum çerezlerini yeniler. Bu, saldırganın Outlook, Teams, OneDrive ve SharePoint gibi Microsoft 365 hizmetlerine yeniden kimlik doğrulamaya gerek kalmadan, hatta kurban şifresini değiştirdikten sonra bile erişmesini sağlar
.
ReliaQuest ve BleepingComputer tarafından 14 Temmuz 2026'da duyurulan Jalisco, Microsoft 365 hesaplarına karşı aktif olarak kullanılan bir cihaz kodu phishing kitidir . Şu şekilde çalışır:
Yine 14 Temmuz 2026'da bildirilen OmegaLord, sahte bir PDF okuyucu tarayıcı sayfası kılığına girer . Kurban sayfaya geldiğinde:
Birçok kaynak daha geniş bir endüstri trendini doğrulamaktadır:
Tüm bu tehditlerdeki kritik nokta, MFA'nın teknik olarak yenilmediği, aksine saldırganın lehine kullanıldığıdır:
| Teknik | Ne Olur? | MFA Neden Durdurmaz? |
|---|---|---|
| Cihaz Kodu Phishing | Kurban, saldırganın kodunu Microsoft'un gerçek giriş sayfasına girer ve kendi MFA'sını tamamlar. | Belirteç saldırganın uygulamasına gider. MFA, doğru kullanıcıyı — ancak yanlış istemci için — onaylamıştır. |
| AiTM Vekil Sunucu | Kurban, saldırganın vekil sunucusu üzerinden giriş yapar, MFA normal şekilde tamamlanır. | Saldırgan, oturum çerezini gerçek zamanlı olarak yakalar ve oturumu ele geçirir. |
| Kimlik Bilgisi + OTP Avcılığı | Sahte giriş formu parolayı ve OTP'yi aynı anda yakalar. | OTP, süresi dolmadan saldırgan tarafından hemen kullanılır. |
Çeşitli uyarılara dayanarak aşağıdaki önlemler şiddetle tavsiye edilmektedir:
devicecode kimlik doğrulamasını engelleyin).offline_access, Mail.Read veya Files.ReadWrite.All izinleri isteyen uygulamalara dikkat edin.Bu öneriler FBI PSA , Microsoft Güvenlik Blogu
, BleepingComputer
ve ReliaQuest tehdit analizinden
derlenmiştir.
2026 yılındaki Microsoft 365 phishing dalgası — başını Forg365 (beraberindeki ForgCookie kalıcılık eklentisiyle), Jalisco, OmegaLord ve daha geniş cihaz kodu ve AiTM kitleri ekosistemi çekmektedir — bir paradigma değişimini temsil etmektedir. Saldırganların artık şifre çalmaya veya MFA'yı kırmaya ihtiyacı yok. Bunun yerine, kurbanın kendi kimlik doğrulamasının saldırgan kontrolündeki bir oturumu yetkilendirmesi için OAuth güven modelini kötüye kullanıyorlar. Güvenlik topluluğunun ortak önerisi, sıfır güven (zero-trust) yaklaşımıdır: kullanılmayan kimlik doğrulama akışlarını devre dışı bırakmak, Koşullu Erişimi zorlamak, belirteç izinlerini izlemek ve phishing'e dayanıklı MFA'ya geçmek .