フィッシング詐欺サービス「Forg365」、Microsoftデバイスコード認証を悪用しM365セッションを乗っ取り
新たに確認されたフィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「Forg365」が、Microsoftのデバイスコード認証フローを悪用し、大規模にMicrosoft 365セッションを乗っ取っていることが分かりました。 ZeroBECの研究者たちは、ビジネス文書を装ったフィッシングメールの出所を追跡し
新たに確認されたフィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「Forg365」が、Microsoftのデバイスコード認証フローを悪用し、大規模にMicrosoft 365セッションを乗っ取っていることが分かりました。 ZeroBECの研究者たちは、ビジネス文書を装ったフィッシングメールの出所を追跡し
サイバーセキュリティ研究者らは、OAuth 2.0デバイス認可グラント(Device Authorization Grant)フローを悪用し、企業向けMicrosoft 365ユーザーを狙うフィッシングキャンペーンが現在も活発に行われていることを突き止めました。 この高度な攻撃は、偽のログインページで認証情報を詐取す
現在のキャンペーンでは、初心者の攻撃者でも認証トークンを頻繁に取得でき、かつてフールプルーフとされていた保護を回避されている。 サイバーセキュリティ専門家は、多要素認証ログイン保護を回避するためにMicrosoft 365(M365)アクセストーク
FBIは、OAuthデバイスコード認証を悪用してセッショントークンを盗み、多要素認証(MFA)をバイパスすることでMicrosoft 365アカウントをハイジャックするために使用されるKali365フィッシング・アズ・ア・サービス・プラットフォーム(PhaaS)について警告しています。 この認証方法は、スマートTV
自動化と動的コード生成により標準的な15分の有効期限をバイパスし、OAuth デバイスコード認証フローを活用して組織アカウントを大規模に侵害するフィッシングキャンペーンが、Microsoft Defender Security Research チームによって観察されました。このキャンペーンはAI支援
数百の組織が、ほぼ攻撃チェーンのあらゆる段階でAIと自動化を使用するマイクロソフトのデバイスコードフィッシングキャンペーンによって、毎日侵害されています。最終的には企業のメールボックスを盗聴し、財務データを盗むことを目的としています。 「2026年3月15日以来、我々は24時間ごとに10~15の異なるキャンペーンが立
フィッシング・アズ・ア・サービスツールキットは、正当な認証を悪用してトークンをキャプチャし、Microsoft 365サービスにアクセスします。 新しいフィッシング・アズ・ア・サービス(PhaaS)キャンペーンが、Microsoftの
セキュリティ企業Proofpointは、ハッカーが多要素認証(MFA)を巧妙に回...
Proofpointは、攻撃者が偽のログインページではなく、完全に正当なOAut...