Các bộ kit lừa đảo PhaaS năm 2026 — đứng đầu là Forg365, Jalisco và OmegaLord — không phá vỡ mã xác thực đa yếu tố (MFA) mà chiếm quyền điều khiển chính quá trình đăng nhập hợp lệ của người dùng. Tiện ích mở rộng ForgCookie tự động làm mới cookie phiên bị đánh cắp, giúp tin tặc duy trì quyền truy cập vào Outlook, Te...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is the latest wave of phishing threats targeting Microsoft 365 accounts, including the Forg3. Article summary: Here is a comprehensive, sourced analysis of the latest wave of Microsoft 365 phishing threats as of July 2026.. Topic tags: general, government, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it usefu
Các nhà nghiên cứu bảo mật đã ghi nhận một sự leo thang mạnh mẽ của các nền tảng và bộ kit lừa đảo dưới dạng dịch vụ (PhaaS) được thiết kế đặc biệt để vượt qua xác thực đa yếu tố (MFA) trên tài khoản Microsoft 365. Thay vì phá vỡ các luồng mã hóa MFA, các cuộc tấn công này chiếm đoạt chính quy trình xác thực hợp pháp — đánh chặn token phiên, lạm dụng luồng mã thiết bị OAuth, hoặc làm cầu nối trung gian cho các lần đăng nhập thực tế, khiến cho việc chấp thuận MFA của chính nạn nhân lại có lợi cho kẻ tấn công .
Được ZeroBEC và BleepingComputer tiết lộ lần đầu vào ngày 9 tháng 7 năm 2026, Forg365 là một nền tảng PhaaS có thuê bao (400 đô la/tháng) được phân phối qua Telegram . Nó tích hợp ba khả năng đột phá:
microsoft.com/devicelogin, cho phép ứng dụng của kẻ tấn công được ủy quyền) Một tiện ích mở rộng trình duyệt đồng hành, ForgCookie, tương thích với Chrome, Edge và Brave . Sau khi token hoặc cookie phiên của nạn nhân bị thu thập, ForgCookie tự động làm mới cookie phiên bị đánh cắp, cho phép kẻ tấn công duy trì quyền truy cập vào các dịch vụ Microsoft 365 (Outlook, Teams, OneDrive, SharePoint) mà không cần xác thực lại — ngay cả khi nạn nhân đã thay đổi mật khẩu
. Điều này biến một lần đánh cắp token duy nhất thành một sự xâm phạm dai dẳng, lâu dài.
Được ReliaQuest và BleepingComputer tiết lộ vào ngày 14 tháng 7 năm 2026, Jalisco là một bộ kit lừa đảo mã thiết bị đang được sử dụng tích cực nhắm vào các tài khoản Microsoft 365 . Cách thức hoạt động:
Điều này có nghĩa là MFA không bị "phá vỡ" — nó bị vũ khí hóa.
Cũng được báo cáo vào ngày 14 tháng 7 năm 2026, OmegaLord áp dụng một cách tiếp cận khác: nó giả dạng một trang trình đọc PDF giả mạo . Khi nạn nhân truy cập trang:
Nhiều nguồn xác nhận một xu hướng công nghiệp rộng lớn hơn:
Hiểu biết quan trọng xuyên suốt tất cả các mối đe dọa này là MFA không bị đánh bại về mặt kỹ thuật — nó bị lợi dụng:
| Kỹ thuật | Điều gì xảy ra | Tại sao MFA không ngăn chặn được |
|---|---|---|
| Lừa đảo mã thiết bị (Device-code phishing) | Nạn nhân nhập mã của kẻ tấn công vào trang đăng nhập thực tế của Microsoft, hoàn thành MFA của chính họ | Token được cấp cho ứng dụng của kẻ tấn công. MFA đã phê duyệt đúng người dùng — nhưng cho ứng dụng sai. |
| Proxy trung gian (AiTM proxying) | Nạn nhân đăng nhập qua proxy của kẻ tấn công, MFA hoàn thành bình thường | Kẻ tấn công chiếm được cookie phiên trong thời gian thực và chiếm đoạt phiên đó. |
| Thu thập thông tin xác thực + OTP (Credential + OTP harvesting) | Biểu mẫu đăng nhập giả mạo thu thập mật khẩu và OTP đồng thời | OTP được kẻ tấn công sử dụng ngay lập tức trước khi nó hết hạn. |
Đây là lý do tại sao chỉ riêng MFA truyền thống không còn đủ để bảo vệ nữa .
Dựa trên nhiều khuyến cáo, các biện pháp giảm thiểu sau đây được khuyến nghị mạnh mẽ:
devicecode).offline_access, Mail.Read hoặc Files.ReadWrite.All.Những khuyến nghị này được rút ra từ PSA của FBI , Blog Bảo mật của Microsoft
, BleepingComputer
và phân tích mối đe dọa của ReliaQuest
.
Làn sóng lừa đảo Microsoft 365 năm 2026 — dẫn đầu bởi Forg365 (với tiện ích mở rộng ForgCookie duy trì kết nối), Jalisco, OmegaLord, và hệ sinh thái rộng lớn hơn của các bộ kit mã thiết bị và AiTM — đại diện cho một sự thay đổi mô hình. Kẻ tấn công không còn cần đánh cắp mật khẩu hay phá vỡ MFA. Thay vào đó, chúng lạm dụng mô hình tin cậy OAuth để khiến xác thực của chính nạn nhân ủy quyền cho một phiên do kẻ tấn công kiểm soát. Khuyến cáo chung của cộng đồng bảo mật là một tư thế zero-trust: tắt các luồng xác thực không sử dụng, thực thi Conditional Access, giám sát cấp token và chuyển sang MFA chống lừa đảo .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Các bộ kit lừa đảo PhaaS năm 2026 — đứng đầu là Forg365, Jalisco và OmegaLord — không phá vỡ mã xác thực đa yếu tố (MFA) mà chiếm quyền điều khiển chính quá trình đăng nhập hợp lệ của người dùng.
Các bộ kit lừa đảo PhaaS năm 2026 — đứng đầu là Forg365, Jalisco và OmegaLord — không phá vỡ mã xác thực đa yếu tố (MFA) mà chiếm quyền điều khiển chính quá trình đăng nhập hợp lệ của người dùng. Tiện ích mở rộng ForgCookie tự động làm mới cookie phiên bị đánh cắp, giúp tin tặc duy trì quyền truy cập vào Outlook, Teams và OneDrive ngay cả khi nạn nhân đã đổi mật khẩu.