Forg365钓鱼服务被曝利用AI生成诱饵,重点窃取Microsoft 365账号
据BleepingComputer于2026年7月9日报道,一个名为Forg365的新型钓鱼即服务(PhaaS)平台正在针对Microsoft 365账号发起攻击。来源显示,该平台将对手中间人(AiTM)技术、设备代码登录方式与AI辅助诱饵生成结合,用于提升钓鱼邮件或登录引导内容的迷惑性。对于依赖Microsoft 365进行跨境办公、邮件收发、文件协作和身份验证的用户而言,这类攻击的风险不仅停留在邮箱被盗,还可能进一步影响企业云盘、Teams沟通、支付通知和第三方平台登录安全。
Forg365的关键风险:不只是“假登录页”
传统钓鱼常见方式是伪造登录页面,诱导用户输入账号和密码。但来源摘要提到,Forg365结合了AiTM和设备代码方法,这意味着攻击者可能并不满足于获取静态密码,而是试图绕过或滥用正常认证流程。AiTM攻击通常会在用户与真实服务之间插入一个中转环节,用户以为自己在访问正规Microsoft 365页面,实际会话信息可能被攻击者截获;设备代码方式则可能诱导用户在真实页面输入某个代码,从而把授权交给攻击者控制的设备或会话。
更值得关注的是,Forg365还使用AI辅助生成诱饵内容。AI生成文本可以让钓鱼邮件更贴近收件人的语气、业务场景或本地语言环境,降低用户通过“语法错误、措辞生硬”识别欺诈的概率。对跨境团队来说,日常邮件本就涉及多语言沟通、合同附件、共享文档、付款确认等内容,一旦诱饵与真实工作流相似,误点风险会明显上升。
- 目标账号:主要指向Microsoft 365账号,可能涉及Outlook、OneDrive、SharePoint、Teams等服务。
- 攻击组合:来源显示其结合AiTM、设备代码方法以及AI辅助诱饵生成。
- 潜在后果:账号会话、邮件内容、云端文件、组织通讯录及后续横向钓鱼均可能受到影响。
- 识别难点:诱饵内容可能更自然,且部分流程可能借用真实Microsoft登录页面增加可信度。
对跨境账号、支付通知和远程办公的影响
Microsoft 365在跨境业务中常被用作核心身份入口。许多企业会把邮箱作为银行通知、SaaS订阅、广告账户、云服务账单、域名注册商和电商平台的联系邮箱。一旦该邮箱被接管,攻击者可能通过重置密码、拦截验证码、查看历史往来邮件等方式,进一步触碰支付和平台账号安全。因此,Forg365这类PhaaS的出现,对海外业务用户的影响并不局限于“邮件丢失”,而是可能扩大到账号链路和资金通知链路。
远程办公团队还需要关注登录环境变化带来的误判。跨境成员经常在不同国家或地区、不同网络环境下登录办公系统,安全系统可能产生额外验证;用户也更容易把异常登录提示、设备授权请求误认为是正常的跨境访问校验。如果攻击诱饵把“重新验证账号”“恢复邮件访问”“批准设备登录”等包装成工作需要,员工可能在匆忙中完成授权。
建议:把防护重点从密码扩展到会话和授权
面对这类攻击,仅提醒“不要输入密码”已经不够。企业和个人用户应同时关注设备代码授权、异常会话、邮箱转发规则和第三方应用授权。管理员可定期检查Microsoft 365登录日志、异常国家或地区登录、可疑收件箱规则,以及是否存在非本人创建的应用授权。对普通用户来说,遇到要求输入设备代码、批准登录或重新验证邮箱的页面,应先从官方入口手动打开服务,而不是直接点击邮件或聊天中的链接。
跨境办公场景下,稳定、可信的访问环境也有助于减少误判:尽量避免在陌生公共网络上处理管理后台、支付账户和企业邮箱;如需远程访问,应配合企业的零信任、单点登录和多因素认证策略。VPN可以作为网络连接工具之一,但不能替代账号侧的安全控制。真正关键的是启用强认证、限制高风险登录、审核授权行为,并让团队理解:真实登录页面也可能被攻击链路利用。
总体来看,Forg365反映出钓鱼服务正在向自动化、场景化和身份链路攻击演进。对跨境用户而言,Microsoft 365账号已不只是一个邮箱,而是连接办公、平台、支付通知和协作资料的中心入口。越是依赖云端协作的团队,越需要把账号安全管理前移到日常流程中。