13 липня 2026 року дослідники французької компанії Lexfo виявили три активні фішингові кампанії Evilginx через те, що хакер залишив вебсервер Python відкритим з увімкненим переглядом каталогів. Ключова відмінність у захисті: атаки типу AiTM зупиняються фішингостійкою MFA (FIDO2/passkeys), тоді як фішинг через код пр...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the details of the recent Microsoft 365 phishing campaigns exposed by a misconfigured se. Article summary: On **July 13, 2026**, researchers at the French security firm **Lexfo** uncovered three live Evilginx-based phishing operations targeting Microsoft 365 after an attacker left a Python web server exposed on a public port . Topic tags: general, government, education, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, wat
У липні 2026 року відбулися два паралельні відкриття, які виявили сплеск складних фішингових атак на Microsoft 365, що обходять багатофакторну автентифікацію (MFA) двома принципово різними методами: проксі-атаки «зловмисник посередині» (AiTM) та зловживання автентифікацією за допомогою коду пристрою. Перше відкриття стало можливим завдяки помилці одного хакера — неправильно налаштованому вебсерверу Python, який викрив три активні кампанії. Друге відкриття зробили дослідники, які відстежували нову комерційну фішингову платформу під назвою Forg365. Розуміння того, як працює кожна атака, є першим кроком до розгортання правильного захисту, адже спосіб захисту від однієї атаки не зупиняє іншу.
13 липня 2026 року дослідники французької компанії з кібербезпеки Lexfo виявили три активні фішингові операції Evilginx, спрямовані проти Microsoft 365, після того, як хакер залишив вебсервер Python відкритим на публічному порті з увімкненим переглядом каталогів. Команда python3 -m http.server 8080.bash_history сервера. З цього відкритого каталогу Lexfo отримала весь набір інструментів зловмисника, файли журналів, викрадені дані жертв і змогла ідентифікувати ще двох операторів, які проводили окремі кампанії .
Усі три операції були фішинговими кампаніями Evilginx на основі AiTM, які використовували проксі для сторінок входу Microsoft 365, щоб викрасти сесійні токени після того, як користувач завершував MFA . Одна з трьох кампаній зафіксувала 218 викрадених облікових записів у 12 країнах, з яких 94% були корпоративними поштовими скриньками
. Операції використовували два різні шляхи атаки: викрадення токенів сесії Evilginx (через проксі AiTM) та фішинг за допомогою коду пристрою — один із наборів інструментів надсилав жертв на реальну сторінку входу в пристрій Microsoft, де вони самостійно авторизували доступ, а сервер зловмисника опитував систему на предмет отримання токена
.
Окремо, платформа Forg365, що надає фішинг як послугу (PhaaS), була ідентифікована дослідниками ZeroBEC (повідомлення від 9–13 липня 2026 року) як комерційний набір інструментів, що поширюється через Telegram і коштує 400 доларів на місяць (або 3800 доларів на рік). На відміну від кастомізованих форків Evilginx, знайдених на відкритому сервері, Forg365 об'єднує кілька методів атак та інструментів в єдину панель управління .
Forg365 поєднує три основні можливості:
Платформа також включає захист від ботів (виявляє пісочниці та сканери безпеки), доступ до поштової скриньки після компрометації (оператори можуть переглядати та викрадати електронні листи з панелі управління), ротацію SMTP-серверів та планування кампаній .
Ці два відкриття ілюструють критичну відмінність між проксі-атаками AiTM та зловживанням кодом пристрою. Розуміння цієї різниці є важливим, оскільки один і той самий захист не працює для обох типів атак:
Проксі-атаки AiTM (стиль Evilginx): Зловмисник створює фальшиву сторінку входу, яка проксує трафік на реальну сторінку входу Microsoft. Користувач вводить свій пароль і завершує MFA на проксі-сервері зловмисника. Після успішної автентифікації Microsoft видає сесійний файл cookie тому, що вважає браузером легітимного користувача — але цей cookie насправді потрапляє на проксі-сервер зловмисника, а не в браузер користувача. Потім зловмисник може використати цей cookie для доступу до облікового запису Microsoft 365 жертви .
Фішинг через код пристрою: Зловмисник генерує легітимний код пристрою Microsoft (короткий код, який використовується для входу на пристроях без клавіатури, наприклад, на Smart TV) і надсилає його жертві у фішинговому листі. Жертва переходить на реальну сторінку входу Microsoft, вводить код, завершує MFA і авторизує додаток зловмисника. Нічого не "обходиться" — жертва сама авторизувала доступ. Потім сервер зловмисника опитує Microsoft на предмет отримання токена .
Найефективнішим захистом від проксі-атак AiTM є фішингостійка MFA, зокрема FIDO2/WebAuthn та passkeys. Вони прив'язують облікові дані до легітимного доменного імені, тому коли браузер користувача підключається до сайту-проксі зловмисника (який має інший домен), протокол автентифікації виявляє невідповідність домену та автоматично блокує обмін обліковими даними .
Інші засоби захисту включають:
Фішинг через код пристрою не вимагає від зловмисника обманом змусити користувача ввести облікові дані на фальшивій сторінці — користувач взаємодіє з реальною сторінкою входу Microsoft. Це означає, що лише FIDO2/passkeys не забезпечують повного захисту від цієї атаки, оскільки використовується легітимний потік OAuth .
Основним захистом є блокування OAuth-дозволу коду пристрою для користувачів, які його не потребують, за допомогою Microsoft Entra ID Conditional Access:
Додаткові засоби захисту:
У публічному попередженні ФБР від травня 2026 року щодо платформи Kali365 PhaaS блокування потоку коду пристрою було рекомендовано як основний засіб захисту . Оскільки фішингові платформи, такі як Forg365, продовжують комерціалізувати ці техніки атак, оперативна необхідність для фахівців із захисту очевидна: розгорніть FIDO2/passkeys для всіх привілейованих облікових записів, щоб зупинити проксі-атаки AiTM, та використовуйте Conditional Access для вимкнення надання коду пристрою для користувачів, які його не потребують. Один відкритий каталог міг викрити три кампанії, але уроки стосуються кожного клієнта Microsoft 365.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
13 липня 2026 року дослідники французької компанії Lexfo виявили три активні фішингові кампанії Evilginx через те, що хакер залишив вебсервер Python відкритим з увімкненим переглядом каталогів.
13 липня 2026 року дослідники французької компанії Lexfo виявили три активні фішингові кампанії Evilginx через те, що хакер залишив вебсервер Python відкритим з увімкненим переглядом каталогів. Ключова відмінність у захисті: атаки типу AiTM зупиняються фішингостійкою MFA (FIDO2/passkeys), тоді як фішинг через код пристрою найкраще блокувати вимкненням OAuth дозволу device code в Microsoft Entra ID Conditiona...