2026年,以Forg365、Jalisco和OmegaLord为代表的钓鱼即服务(PhaaS)工具包掀起新一波攻击浪潮——它们不破解加密,而是劫持合法的登录流程来绕过多因素认证(MFA)。 配套的ForgCookie浏览器扩展能自动刷新被盗的会话Cookie,即使受害者修改密码,攻击者仍能持续访问Outlook、Teams和OneDrive。

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is the latest wave of phishing threats targeting Microsoft 365 accounts, including the Forg3. Article summary: Here is a comprehensive, sourced analysis of the latest wave of Microsoft 365 phishing threats as of July 2026.. Topic tags: general, government, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it usefu
安全研究人员记录到一场针对 Microsoft 365 账户的钓鱼即服务(PhaaS)平台与工具包的急剧升级。这些攻击并非破解加密的 MFA 流程,而是劫持合法的认证过程本身——拦截会话令牌、滥用 OAuth 设备代码流程,或代理真实登录,使受害者自己的 MFA 批准为攻击者所用 。
由 ZeroBEC 和 BleepingComputer 于2026年7月9日首次披露,Forg365 是一个基于订阅制(每月400美元)、通过 Telegram 分发的 PhaaS 平台 。它集成了三项突破性能力:
microsoft.com/devicelogin 输入攻击者提供的代码,从而授权攻击者的客户端)ForgCookie 是一款配套浏览器扩展,兼容 Chrome、Edge 和 Brave 。一旦受害者的会话令牌或 Cookie 被窃取,ForgCookie 会自动刷新被盗的会话 Cookie,使攻击者无需重新认证即可持续访问 Microsoft 365 服务(Outlook、Teams、OneDrive、SharePoint)——即使受害者更改密码后也不例外
。这使一次性的令牌窃取演变为持久、长期的账户沦陷。
由 ReliaQuest 和 BleepingComputer 于2026年7月14日披露,Jalisco 是一个活跃针对 Microsoft 365 账户的设备代码钓鱼工具包 。其工作原理如下:
这意味着 MFA 并非被“破解”,而是被“武器化”了。
同样于2026年7月14日报道,OmegaLord 采用不同手法:它伪装成一个虚假的 PDF 阅读器浏览器页面 。当受害者访问该页面时:
多个来源证实了更广泛的行业趋势:
所有这些威胁的关键洞察在于,MFA 并未被技术性地击败,而是被同化利用了:
| 手法 | 发生了什么 | MFA 为何无效 |
|---|---|---|
| 设备代码钓鱼 | 受害者在微软真实登录页面输入攻击者的代码,完成自己的 MFA | 令牌发给了攻击者的应用。MFA 批准了正确的用户——但对象是错误的客户端。 |
| AiTM 代理 | 受害者通过攻击者的代理登录,MFA 正常完成 | 攻击者实时捕获会话 Cookie 并劫持会话。 |
| 凭证+OTP 窃取 | 虚假登录表单同时捕获密码和 OTP | OTP 在过期前立即被攻击者使用。 |
基于多项安全公告,强烈建议采取以下缓解措施:
devicecode 认证。offline_access、Mail.Read 或 Files.ReadWrite.All 权限的应用。以上建议源自 FBI 公告 、微软安全博客
、BleepingComputer
以及 ReliaQuest 威胁分析
。
2026年针对 Microsoft 365 的钓鱼攻击浪潮——以 Forg365(及其 ForgCookie 持久化扩展)、Jalisco、OmegaLord 以及更广泛的设备代码和 AiTM 工具包生态系统为代表——标志着一场范式转变。攻击者不再需要窃取密码或破解 MFA。相反,他们滥用 OAuth 信任模型,让受害者自己的认证行为授权了一个攻击者控制的会话。安全社区的共识建议是采取零信任姿态:禁用未使用的认证流、强制执行条件访问、监控令牌授权,并向抗钓鱼 MFA 迁移 。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
2026年,以Forg365、Jalisco和OmegaLord为代表的钓鱼即服务(PhaaS)工具包掀起新一波攻击浪潮——它们不破解加密,而是劫持合法的登录流程来绕过多因素认证(MFA)。
2026年,以Forg365、Jalisco和OmegaLord为代表的钓鱼即服务(PhaaS)工具包掀起新一波攻击浪潮——它们不破解加密,而是劫持合法的登录流程来绕过多因素认证(MFA)。 配套的ForgCookie浏览器扩展能自动刷新被盗的会话Cookie,即使受害者修改密码,攻击者仍能持续访问Outlook、Teams和OneDrive。
安全社区的一致建议是采取零信任策略:禁用未使用的认证流、强制执行条件访问、监控令牌授权,并部署抗钓鱼MFA(如FIDO2密钥)。