Ngày 13/7/2026, các nhà nghiên cứu tại hãng bảo mật Pháp Lexfo đã phát hiện ba chiến dịch lừa đảo Evilginx đang hoạt động nhắm vào Microsoft 365 sau khi một tin tặc để lộ máy chủ Python với tính năng liệt kê thư mục đ... Sự khác biệt chính trong phòng thủ: Tấn công proxy AiTM bị vô hiệu hóa bởi MFA chống lừa đảo (FI...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the details of the recent Microsoft 365 phishing campaigns exposed by a misconfigured se. Article summary: On **July 13, 2026**, researchers at the French security firm **Lexfo** uncovered three live Evilginx-based phishing operations targeting Microsoft 365 after an attacker left a Python web server exposed on a public port . Topic tags: general, government, education, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, wat
Vào tháng 7 năm 2026, hai khám phá song song đã hé lộ một làn sóng tấn công lừa đảo Microsoft 365 tinh vi, vượt qua xác thực đa yếu tố (MFA) bằng hai phương pháp hoàn toàn khác nhau: tấn công proxy trung gian (AiTM) và lạm dụng xác thực mã thiết bị (device code). Khám phá đầu tiên đến từ một sai lầm của tin tặc - một máy chủ web Python bị cấu hình sai, để lộ ba chiến dịch đang hoạt động. Khám phá thứ hai đến từ các nhà nghiên cứu theo dõi một nền tảng lừa đảo thương mại mới có tên Forg365. Hiểu cách mỗi cuộc tấn công hoạt động là bước đầu tiên để triển khai các biện pháp phòng thủ phù hợp, bởi vì giải pháp cho một loại không thể ngăn chặn loại kia.
Vào ngày 13 tháng 7 năm 2026, các nhà nghiên cứu tại công ty bảo mật Pháp Lexfo đã phát hiện ba chiến dịch lừa đảo dựa trên Evilginx đang nhắm mục tiêu vào Microsoft 365 sau khi một tin tặc để lộ máy chủ web Python trên một cổng công cộng với tính năng liệt kê thư mục được bật. Lệnh python3 -m http.server 8080.bash_history của máy chủ. Từ thư mục mở đó, Lexfo đã lấy được toàn bộ bộ công cụ, nhật ký, dữ liệu nạn nhân bị đánh cắp của kẻ điều hành và xoay trục để xác định thêm hai kẻ điều hành lừa đảo khác đang chạy các chiến dịch riêng biệt .
Cả ba chiến dịch đều là các chiến dịch lừa đảo AiTM dựa trên Evilginx đã ủy quyền các trang đăng nhập Microsoft 365 để đánh cắp token phiên sau khi người dùng hoàn tất MFA . Một trong ba chiến dịch đã ghi nhận 218 tài khoản bị đánh cắp trên 12 quốc gia, trong đó 94% là hộp thư công ty
. Các chiến dịch sử dụng hai con đường tấn công riêng biệt: đánh cắp token phiên Evilginx (thông qua proxy AiTM) và lừa đảo mã thiết bị - một bộ công cụ đã gửi nạn nhân đến trang đăng nhập thiết bị thực của Microsoft, nơi họ tự ủy quyền quyền truy cập và hệ thống backend của kẻ tấn công đã thăm dò để lấy token
.
Một cách riêng biệt, nền tảng lừa đảo dưới dạng dịch vụ (PhaaS) Forg365 đã được xác định bởi các nhà nghiên cứu ZeroBEC (báo cáo ngày 9–13 tháng 7 năm 2026) như một bộ công cụ thương mại được phân phối qua Telegram với giá 400 đô la mỗi tháng (hoặc 3.800 đô la mỗi năm). Không giống như các bản fork Evilginx tùy chỉnh được tìm thấy trên máy chủ bị lộ, Forg365 kết hợp nhiều phương pháp và công cụ tấn công vào một bảng điều khiển duy nhất cho người điều hành .
Forg365 kết hợp ba khả năng cốt lõi:
Nền tảng này cũng bao gồm tính năng tránh antibot (phát hiện hộp cát và trình thu thập dữ liệu bảo mật), quyền truy cập hộp thư sau khi xâm phạm (người điều hành có thể duyệt và trích xuất email từ trong bảng điều khiển), xoay vòng SMTP và lên lịch chiến dịch .
Hai khám phá này minh họa sự khác biệt quan trọng giữa tấn công proxy AiTM và lạm dụng mã thiết bị. Hiểu được sự khác biệt là điều cần thiết vì cùng một biện pháp phòng thủ không có tác dụng cho cả hai:
Tấn công proxy AiTM (kiểu Evilginx): Kẻ tấn công thiết lập một trang đăng nhập giả để chuyển tiếp lưu lượng truy cập đến trang đăng nhập Microsoft thực. Người dùng nhập mật khẩu và hoàn tất MFA trên proxy của kẻ tấn công. Sau khi xác thực thành công, Microsoft cấp một cookie phiên cho những gì nó tin là trình duyệt của người dùng hợp pháp - nhưng cookie đó thực sự nằm trong proxy của kẻ tấn công, không phải trình duyệt của người dùng. Kẻ tấn công sau đó có thể phát lại cookie đó để truy cập tài khoản Microsoft 365 của nạn nhân .
Lừa đảo mã thiết bị: Kẻ tấn công tạo một mã thiết bị Microsoft hợp pháp (một mã ngắn được sử dụng để đăng nhập trên các thiết bị không có bàn phím, như TV thông minh) và gửi nó cho nạn nhân trong một email lừa đảo. Nạn nhân truy cập trang đăng nhập Microsoft thực, nhập mã, hoàn tất MFA và ủy quyền cho ứng dụng của kẻ tấn công. Không có gì bị "vượt qua" - nạn nhân đã tự ủy quyền quyền truy cập. Hệ thống backend của kẻ tấn công sau đó thăm dò Microsoft để lấy token .
Biện pháp phòng thủ hiệu quả nhất duy nhất chống lại tấn công proxy AiTM là MFA chống lừa đảo, cụ thể là FIDO2/WebAuthn và passkeys. Các phương pháp này liên kết thông tin đăng nhập với tên miền hợp pháp, vì vậy khi trình duyệt của người dùng kết nối với trang web proxy của kẻ tấn công (có tên miền khác), giao thức xác thực phát hiện sự không khớp tên miền và tự động chặn việc trao đổi thông tin đăng nhập .
Các biện pháp phòng thủ khác bao gồm:
Lừa đảo mã thiết bị không yêu cầu kẻ tấn công lừa nạn nhân nhập thông tin đăng nhập trên một trang giả - nạn nhân tương tác với trang đăng nhập Microsoft thực. Điều này có nghĩa là chỉ riêng FIDO2/passkeys không thể bảo vệ hoàn toàn chống lại cuộc tấn công này vì luồng OAuth hợp pháp đang được sử dụng .
Biện pháp phòng thủ chính là chặn luồng cấp phép OAuth mã thiết bị cho những người dùng không cần nó, sử dụng Conditional Access của Microsoft Entra ID:
Các biện pháp phòng thủ bổ sung:
Thông báo Dịch vụ Công cộng của FBI vào tháng 5 năm 2026 về nền tảng Kali365 PhaaS đã đặc biệt khuyến nghị chặn luồng mã thiết bị như một biện pháp phòng thủ chính . Khi các nền tảng lừa đảo như Forg365 tiếp tục thương mại hóa các kỹ thuật tấn công này, tính cấp bách hoạt động cho những người phòng thủ là rõ ràng: triển khai FIDO2/passkeys cho tất cả các tài khoản đặc quyền để ngăn chặn tấn công proxy AiTM, và sử dụng Conditional Access để vô hiệu hóa cấp phép mã thiết bị cho những người dùng không cần nó. Một thư mục mở có thể đã phơi bày ba chiến dịch - nhưng những bài học này áp dụng cho mọi đối tượng thuê Microsoft 365.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Ngày 13/7/2026, các nhà nghiên cứu tại hãng bảo mật Pháp Lexfo đã phát hiện ba chiến dịch lừa đảo Evilginx đang hoạt động nhắm vào Microsoft 365 sau khi một tin tặc để lộ máy chủ Python với tính năng liệt kê thư mục đ...
Ngày 13/7/2026, các nhà nghiên cứu tại hãng bảo mật Pháp Lexfo đã phát hiện ba chiến dịch lừa đảo Evilginx đang hoạt động nhắm vào Microsoft 365 sau khi một tin tặc để lộ máy chủ Python với tính năng liệt kê thư mục đ... Sự khác biệt chính trong phòng thủ: Tấn công proxy AiTM bị vô hiệu hóa bởi MFA chống lừa đảo (FIDO2/passkeys), trong khi lừa đảo mã thiết bị bị chặn tốt nhất bằng cách vô hiệu hóa luồng cấp phép OAuth mã thiết bị tron...