microsoft.com/devicelogin, що авторизує клієнта атакуючого) Супутнє браузерне розширення ForgCookie, сумісне з Chrome, Edge та Brave . Після викрадення сесійних токенів або файлів cookie жертви, ForgCookie автоматично оновлює вкрадені сесійні cookies, дозволяючи зловмиснику зберігати доступ до сервісів Microsoft 365 (Outlook, Teams, OneDrive, SharePoint) без повторної автентифікації — навіть після того, як жертва змінить свій пароль
. Це перетворює одноразове викрадення токена на постійний, довгостроковий компрометацію.
Розкритий ReliaQuest та BleepingComputer 14 липня 2026 року, Jalisco — це набір для фішингу через код пристрою, який активно використовується проти облікових записів Microsoft 365 . Він працює так:
Це означає, що MFA не «зламана» — вона використана як зброя.
Також повідомлено 14 липня 2026 року, OmegaLord використовує інший підхід: він маскується під фальшиву сторінку браузерного PDF-рідера . Коли жертва потрапляє на сторінку:
Чисельні джерела підтверджують ширшу галузеву тенденцію:
Ключове розуміння всіх цих загроз полягає в тому, що MFA технічно не перемагається — вона використовується:
| Техніка | Що відбувається | Чому MFA не зупиняє |
|---|---|---|
| Фішинг через код пристрою | Жертва вводить код зловмисника на реальній сторінці входу Microsoft, проходить власну MFA | Токен потрапляє до застосунку атакуючого. MFA підтвердила справжнього користувача — для чужого клієнта. |
| Проксування AiTM | Жертва входить через проксі зловмисника, MFA проходить нормально | Атакуючий перехоплює сесійний cookie в реальному часі та викрадає сесію. |
| Викрадення облікових даних + OTP | Фальшива форма входу фіксує пароль та OTP одночасно | OTP негайно використовується атакуючим до закінчення терміну дії. |
На основі численних рекомендацій наполегливо пропонуються такі заходи захисту:
offline_access, Mail.Read або Files.ReadWrite.All.Ці рекомендації взято з попередження ФБР , блогу безпеки Microsoft
, BleepingComputer
та аналізу загроз ReliaQuest
.
Хвиля фішингу на Microsoft 365 у 2026 році — на чолі з Forg365 (та його розширенням ForgCookie), Jalisco, OmegaLord та ширшою екосистемою наборів для фішингу через код пристрою та AiTM — являє собою зміну парадигми. Зловмисникам більше не потрібно красти паролі чи зламувати MFA. Натомість вони зловживають моделлю довіри OAuth, щоб автентифікація самої жертви авторизувала сесію, контрольовану атакуючим. Консенсус спільноти кібербезпеки полягає у впровадженні моделі нульової довіри: вимкнення невикористовуваних потоків, застосування умовного доступу, моніторинг надання токенів та перехід до стійкої до фішингу MFA .