2026 年新一波網路釣魚即服務(PhaaS)工具,包括 Forg365、Jalisco 和 OmegaLord,並非破解密碼或打破 MFA,而是「劫持」合法的驗證過程。 ForgCookie 瀏覽器擴充套件能在受害者更換密碼後,自動刷新竊取的 Session Cookie,讓攻擊者持續存取 Outlook、Teams 與 OneDrive。

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is the latest wave of phishing threats targeting Microsoft 365 accounts, including the Forg3. Article summary: Here is a comprehensive, sourced analysis of the latest wave of Microsoft 365 phishing threats as of July 2026.. Topic tags: general, government, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it usefu
安全研究人員已記錄到一波專門針對 Microsoft 365 帳戶、繞過多因素驗證(MFA)的網路釣魚即服務(PhaaS)平台與工具套件急遽增加。這些攻擊並未破解加密的 MFA 流程,而是劫持合法的驗證過程本身——攔截 Session Token、濫用 OAuth 裝置代碼流程,或代理真實登入,讓受害者自身完成的 MFA 授權反而幫助了攻擊者 。
Forg365 於 2026 年 7 月 9 日由 ZeroBEC 與 BleepingComputer 首次揭露,是一個基於 Telegram 分發、月費 400 美元的 PhaaS 平台 。它整合了三項突破性能力:
microsoft.com/devicelogin 輸入攻擊者提供的代碼,從而授權攻擊者的客戶端)名為 ForgCookie 的配套瀏覽器擴充套件相容於 Chrome、Edge 與 Brave 。一旦受害者的 Session Token 或 Cookie 被竊取,ForgCookie 會自動刷新遭竊的 Session Cookie,讓攻擊者無需重新驗證即可持續存取 Microsoft 365 服務(Outlook、Teams、OneDrive、SharePoint)——即使受害者變更密碼也無效
。這將一次性 Token 竊取轉變為長期的持續危害。
Jalisco 由 ReliaQuest 與 BleepingComputer 於 2026 年 7 月 14 日揭露,是一個針對 Microsoft 365 帳戶的裝置代碼釣魚套件 。其運作方式如下:
這意味著 MFA 並未被「破解」,而是被「武器化」。
同樣於 2026 年 7 月 14 日被報導的 OmegaLord 採取不同手法:它偽裝成一個假的 PDF 閱讀器瀏覽器頁面 。當受害者進入該頁面時:
多個消息來源證實了更廣泛的產業趨勢:
所有這些威脅的關鍵洞見在於:MFA 並非在技術上被擊敗——而是被利用:
| 技術 | 發生過程 | MFA 為何無法阻止 |
|---|---|---|
| 裝置代碼釣魚 | 受害者在 Microsoft 真實登入頁面輸入攻擊者的代碼,完成自己的 MFA | Token 流向攻擊者的應用程式。MFA 批准了正確的使用者——但卻是針對錯誤的客戶端。 |
| AiTM 代理 | 受害者透過攻擊者的代理登入,MFA 正常完成 | 攻擊者即時擷取 Session Cookie 並劫持工作階段。 |
| 憑證+OTP 竊取 | 假登入表單同時擷取密碼和 OTP | OTP 在到期前立即被攻擊者使用。 |
根據多項安全公告,強烈建議採取以下緩解措施:
devicecode 驗證。offline_access、Mail.Read 或 Files.ReadWrite.All 權限的應用程式。這些建議來自 FBI PSA 、Microsoft 安全部落格
、BleepingComputer
與 ReliaQuest 威脅分析
。
2026 年 Microsoft 365 的釣魚浪潮——以 Forg365(及其 ForgCookie 持續性擴充套件)、Jalisco、OmegaLord 以及更廣泛的裝置代碼與 AiTM 套件生態系統為主——代表了一種典範轉移。攻擊者不再需要竊取密碼或破解 MFA。相反地,他們濫用 OAuth 信任模型,讓受害者自己的驗證行為授權了一個攻擊者控制的工作階段。安全社群的一致建議是採取零信任姿態:停用未使用的驗證流程、強制執行條件存取、監控 Token 授權,並朝向抗網路釣魚的 MFA 邁進 。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
2026 年新一波網路釣魚即服務(PhaaS)工具,包括 Forg365、Jalisco 和 OmegaLord,並非破解密碼或打破 MFA,而是「劫持」合法的驗證過程。
2026 年新一波網路釣魚即服務(PhaaS)工具,包括 Forg365、Jalisco 和 OmegaLord,並非破解密碼或打破 MFA,而是「劫持」合法的驗證過程。 ForgCookie 瀏覽器擴充套件能在受害者更換密碼後,自動刷新竊取的 Session Cookie,讓攻擊者持續存取 Outlook、Teams 與 OneDrive。
專家建議立即停用 OAuth 裝置代碼流程、部署強制裝置合規的條件存取政策,並朝向抗網路釣魚的 MFA(如 FIDO2)遷移。