Aanvallers bestoken Microsoft 365: Forg365 PhaaS, nep-passkey-enrollment en AiTM
Los van de gepatchte CVE’s is er een golf actieve phishing tegen Microsoft 365. Dit gaat niet om een softwarefout maar om misbruik van legitieme M365-/Entra-flows — juist daarom lastig te stoppen met alleen technische patches.
De campagnes
- Forg365 (Phishing-as-a-Service): een nieuwe PhaaS-operatie (via Telegram, ~$400/maand) combineert device-code phishing, adversary-in-the-middle (AiTM) sessiediefstal, antibot-evasie, AI-gegenereerde lures en post-compromise mailbox-operaties — specifiek gericht op M365-accounts.
- Nep-Entra-passkey-enrollment: een actor (door Okta gevolgd als O-UNC-066) gebruikt voice-based social engineering om M365-gebruikers een nieuwe Entra-passkey te laten registreren die de aanvaller controleert — gevolgd door data-afpersing.
- Ter lering: Varonis’ gratis “Breach at the Beach” Entra ID CTF laat defenders Entra ID-aanvalstechnieken onderzoeken in realistische scenario’s.
Waarom dit relevant is
Device-code phishing en AiTM omzeilen klassieke MFA door de sessie (token) te stelen in plaats van het wachtwoord. Nep-passkey-enrollment nestelt een blijvende, “sterke” factor onder controle van de aanvaller. Beide raken de identity-laag van M365 direct.
Advies
- Beperk of blokkeer de device-code authentication flow waar die niet nodig is (Entra conditional access).
- Dwing phishing-resistant MFA af en monitor op nieuwe passkey-/authenticator-enrollments.
- Train gebruikers op voice-phishing rond “beveiligingsverzoeken” en review token-/sessie-events in de Entra sign-in-logs.