2026 年新一波針對 Microsoft 365 嘅釣魚即服務(PhaaS)攻擊工具——包括 Forg365、Jalisco、OmegaLord——唔係硬破解密碼或雙重認證(MFA),而係騎劫成個合法登入程序,藉住 OAuth 裝置代碼攻擊、中間人代理(AiTM)等技術偷取 session token。 ForgCookie 瀏覽器擴充功能會自動更新偷返嚟嘅 session cookie,令黑客可以長期佔用 Outlook、Teams、OneDrive 等服務,就算受害者改咗密碼都冇用。

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is the latest wave of phishing threats targeting Microsoft 365 accounts, including the Forg3. Article summary: Here is a comprehensive, sourced analysis of the latest wave of Microsoft 365 phishing threats as of July 2026.. Topic tags: general, government, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it usefu
網絡安全研究人員發現,針對 Microsoft 365 帳戶嘅釣魚攻擊手法喺 2026 年明顯升級,湧現咗一批專為繞過多重因素認證(MFA)而設計嘅釣魚即服務(PhaaS)平台同工具。呢啲攻擊唔係破解加密 MFA 流程,而係騎劫個合法認證過程本身——截取 session token、濫用 OAuth 裝置代碼流程、或者代理真實登入程序,令受害者嘅 MFA 認證反過來幫黑客完成攻擊 。
喺 2026 年 7 月 9 日由 ZeroBEC 同 BleepingComputer 首次揭露,Forg365 係一個透過 Telegram 分銷嘅訂閱制(每月 $400 美金)PhaaS 平台 。佢包含三大突破性功能:
microsoft.com/devicelogin 輸入攻擊者提供嘅代碼,從而授權攻擊者嘅客戶端)一個名為 ForgCookie 嘅配套瀏覽器擴充功能,兼容 Chrome、Edge 同 Brave 。一旦受害者嘅 session token 或 cookie 被竊取,ForgCookie 會自動更新被盜嘅 session cookie,令攻擊者可以唔使重新認證就持續存取 Microsoft 365 服務(Outlook、Teams、OneDrive、SharePoint)——就算受害者改咗密碼都冇用
。呢個做法將一次性嘅 token 竊取變成持續嘅長期入侵。
喺 2026 年 7 月 14 日由 ReliaQuest 同 BleepingComputer 揭露,Jalisco 係一個針對 Microsoft 365 帳戶嘅裝置代碼釣魚工具包 。佢嘅運作方式係:
換句話講,MFA 唔係「被破解」,而係「被武器化」。
同樣喺 2026 年 7 月 14 日被報導,OmegaLord 採用另一種手法:佢偽裝成一個虛假嘅 PDF 閱讀器瀏覽器頁面 。受害者一登陸頁面:
多個消息來源確認呢個係業界大趨勢:
呢啲威脅入面最關鍵嘅 insight 係:MFA 唔係被技術上擊敗,而係被騎劫:
| 手法 | 發生咩事 | 點解 MFA 攔唔住 |
|---|---|---|
| 裝置代碼釣魚 | 受害者喺 Microsoft 真實登入頁面輸入攻擊者嘅代碼,完成自己嘅 MFA | Token 去咗攻擊者嘅 App。MFA 認證咗正確嘅用戶——但係畀咗錯誤嘅客戶端。 |
| 中間人代理 | 受害者透過攻擊者嘅代理登入,MFA 正常完成 | 攻擊者即時截取 session cookie 並騎劫會話。 |
| 憑證 + OTP 竊取 | 虛假登入表格同時捕捉密碼同 OTP | OTP 被攻擊者即時使用,喺過期前完成入侵。 |
綜合多份建議,強烈建議執行以下緩解措施:
devicecode 認證。offline_access、Mail.Read 或 Files.ReadWrite.All 權限嘅 App。呢啲建議來自 FBI 公告 、微軟安全博客
、BleepingComputer
同 ReliaQuest 嘅威脅分析
。
2026 年呢一波 Microsoft 365 釣魚——由 Forg365(連同佢嘅 ForgCookie 持續存取擴充功能)、Jalisco、OmegaLord 同更大範圍嘅 裝置代碼同中間人攻擊工具包帶頭——代表一個範式轉移。攻擊者唔再需要偷密碼或破解 MFA。相反,佢哋濫用 OAuth 信任模型,令受害者嘅認證程序反過來授權攻擊者控制嘅會話。網絡安全社群嘅共識係採取零信任姿態:停用未使用嘅認證流程、執行 Conditional Access、監控 token 授權、並逐步轉向抗釣魚 MFA 。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
2026 年新一波針對 Microsoft 365 嘅釣魚即服務(PhaaS)攻擊工具——包括 Forg365、Jalisco、OmegaLord——唔係硬破解密碼或雙重認證(MFA),而係騎劫成個合法登入程序,藉住 OAuth 裝置代碼攻擊、中間人代理(AiTM)等技術偷取 session token。
2026 年新一波針對 Microsoft 365 嘅釣魚即服務(PhaaS)攻擊工具——包括 Forg365、Jalisco、OmegaLord——唔係硬破解密碼或雙重認證(MFA),而係騎劫成個合法登入程序,藉住 OAuth 裝置代碼攻擊、中間人代理(AiTM)等技術偷取 session token。 ForgCookie 瀏覽器擴充功能會自動更新偷返嚟嘅 session cookie,令黑客可以長期佔用 Outlook、Teams、OneDrive 等服務,就算受害者改咗密碼都冇用。