与此同时,Forg365 钓鱼即服务平台被 ZeroBEC 研究人员发现(2026年7月9日至13日报道),这是一个通过 Telegram 分发的商业化工具包,价格为 每月400美元(或每年3,800美元)。与暴露服务器上发现的定制 Evilginx 分支不同,Forg365 将多种攻击方法和工具整合到一个操作者控制面板中 。
Forg365 结合了三大核心功能:
这两个发现阐释了 AiTM 代理攻击与设备代码滥用之间的关键区别。理解这种区别至关重要,因为 同一种防御措施无法同时应对两者:
AiTM 代理攻击(Evilginx 式):攻击者设置一个虚假登录页面,该页面将流量代理到真实的 Microsoft 登录页面。用户在攻击者的代理上输入密码并完成 MFA。成功认证后,Microsoft 会向它认为是合法用户的浏览器颁发一个会话 cookie——但这个 cookie 实际落入了攻击者的代理而非用户的浏览器。攻击者随后可以重放这个 cookie 来访问受害者的 Microsoft 365 账户 。
设备代码钓鱼:攻击者生成一个合法的 Microsoft 设备代码(一种用于在无键盘设备如智能电视上登录的短代码),并通过钓鱼邮件将其发送给受害者。受害者访问真实的 Microsoft 登录页面,输入该代码,完成 MFA,并授权攻击者的应用程序。这里没有任何东西被“绕过”——是受害者自己授权了访问。攻击者的后端随后轮询 Microsoft 以获取令牌 。
针对 AiTM 代理攻击最有效的单一防御是 防钓鱼的 MFA,特别是 FIDO2/WebAuthn 和通行密钥。这些措施将凭据绑定到合法的域名,因此当用户的浏览器连接到攻击者的代理站点(其域名不同)时,认证协议会检测到域名不匹配并自动阻止凭据交换 。
其他防御措施包括:
设备代码钓鱼不需要攻击者诱骗用户在虚假页面上输入凭据——用户与真实的 Microsoft 登录页面交互。这意味着仅仅依靠 FIDO2/通行密钥无法完全防御此类攻击,因为合法的 OAuth 流程正在被使用 。
首要防御措施是 为不需要设备代码 OAuth 授权的用户阻止该授权,使用 Microsoft Entra ID 条件访问:
其他防御措施: