søndag den 12. juli 2026UAFHÆNGIG DANSK MEDIE
Winterberg Media
Teknologi

Forg365: AI-hackerværktøj stjæler din Microsoft 365-konto

Forg365 er et nyt phishing-as-a-service-værktøj, der bruger AI til at generere troværdige angrebsmails mod Microsoft 365-konti. Abonnementet koster 400 dollar.

11. juli 2026·4 min læsning·af Winterberg Media

Forg365 er et professionelt hackerværktøj, der gør det nemmere end nogensinde at stjæle Microsoft 365-konti — og det hele drives af kunstig intelligens. Platformen blev opdaget af sikkerhedsforskere fra ZeroBEC og dokumenteret af BleepingComputer den 9. juli 2026. Forg365 er et såkaldt PhaaS-system — phishing-as-a-service — og sælges via Telegram til enhver, der betaler abonnementsgebyret.

Hvad er Forg365, og hvem bruger det?

Forg365 er designet til kriminelle, der ønsker at overtage Microsoft 365-konti og email-indbakker — typisk i virksomhedsregi. Systemet kombinerer to avancerede angrebsmetoder med AI-genererede phishing-emails i et samlet dashboard, der er så brugervenligt, at det sænker den tekniske barriere drastisk.

Prisen: 5-dages gratis prøveperiode, derefter 400 dollar om måneden (ca. 2.700 kr.) eller 3.800 dollar om året (ca. 26.000 kr.). Abonnementet inkluderer adgang til selve platformen, opdateringer og support — alt koordineret direkte via Telegram.

Den kommercielle model gør Forg365 til et af de bedst organiserede phishing-værktøjer, sikkerhedsforskere har set til dato. Det er ikke et hobbyværktøj, men et professionelt produkt med onboarding og kundeservice.

Sådan fungerer angrebet

Forg365 understøtter to primære angrebsveje mod Microsoft 365-brugere:

Device code phishing er den mest sofistikerede metode. Offeret vises en falsk Microsoft-bekræftelsesside og instrueres i at autentificere sig via Microsofts legitime OAuth 2.0 device-code-flow. I stedet for at stjæle adgangskoden direkte narres brugeren til at autorisere en enhed kontrolleret af angriberen. Det er svært at opdage, fordi hele flowet sker på Microsofts egne servere.

AiTM-phishing (adversary-in-the-middle) bruger en proxy, der sætter sig imellem offerets browser og Microsofts autentificeringsinfrastruktur. Alt, der udveksles — inklusiv session cookies — fanges af angriberen. Session cookies er særligt værdifulde, fordi de giver adgang til kontoen uden behov for adgangskode.

AI-modulet i dashboardet genererer phishing-emails tilpasset den specifikke målvirksomhed. Angriberen kan beskrive konteksten — for eksempel "faktura fra leverandør X" — og AI'en producerer en overbevisende email, der er svær at skelne fra en ægte.

Hvad sker der efter adgangen er opnået?

Her adskiller Forg365 sig fra simplere phishing-kits. Platformen inkluderer:

ForgCookie-browserudvidelsen til Chrome, Edge og Brave. Den installeres automatisk på angribernes browser og opdaterer løbende Microsoft SSO-cookies, så adgangen til den kaprede konto forbliver aktiv — selv efter offeret har ændret sin adgangskode, hvis Microsoft-sessionen ikke aktivt er logget ud.

Account Intelligence Dashboard: Et overvågningspanel, der scanner den kaprede indbakke for foruddefinerede nøgleord. Angriberne kan instruere systemet til at alarmere, når e-mails indeholdende "faktura", "overførsel", "adgangskode" eller andre relevante ord ankommer.

AntiBot-beskyttelse: Phishing-landingssiderne er beskyttet med AES-krypterede omdirigeringslinks, botdetektering, debugger-fælder, sandkassekontroller og polymorft kode — alt designet til at undgå automatisk opdagelse af sikkerhedssoftware.

Den tekniske infrastruktur bag Forg365 bruger Amazon SES til email-levering, Cloudflare Pages til hostede landingssider og Gophish som kampagneplatform.

Distributionsmodellen er karakteristisk for moderne PhaaS-operationer: alt håndteres via Telegram-kanaler, der fungerer som kombineret salg, support og opdateringsplatform. Det gør Forg365 svært at lukke — der er ingen central hjemmeside at blokere og ingen traditionel betalingsprocessor at suspendere. Operatørerne bag platformen er anonyme, og betalinger foregår angiveligt i kryptovaluta. ZeroBEC-forskergruppen, der opdagede Forg365, betegner det som en af de mest komplette phishing-platforme til dato med direkte inspiration fra ældre PhaaS-operationer som Sneaky 2FA.

Hvad kan du gøre for at beskytte dig?

Microsoft 365 bruges af millioner af virksomheder i Danmark og Europa. Forg365 er designet specifikt til at omgå simpel to-faktor-autentificering via device code-flowen, og mange brugere forstår ikke forskellen på en legitim og en falsk Microsoft-bekræftelsesside.

Konkrete anbefalinger:

  • Brug FIDO2-sikkerhedsnøgler (fx YubiKey) i stedet for SMS-koder — de er immune over for AiTM-angreb
  • Aktiver Conditional Access-politikker i Microsoft Entra ID (tidligere Azure AD) og blokér device-code-flow, hvis det ikke er nødvendigt i din organisation
  • Træn medarbejdere i at genkende falske autentificeringsflows — især de, der sender dig til en skærm med en verificeringskode og beder dig logge ind på en anden enhed
  • Overvåg aktivt for ukendte OAuth-tilladelser i din Microsoft 365-lejer

Microsoft har dokumentation om, hvordan Conditional Access kan konfigureres til at reducere risikoen for netop denne type angreb.

Konklusion

Forg365 er et tydeligt tegn på, at AI ikke kun er et defensivt sikkerhedsværktøj — det er i stigende grad et offensivt hackerværktøj. Når AI automatiserer produktionen af troværdige phishing-emails og et brugervenligt dashboard håndterer resten, falder den tekniske barriere for kriminelle dramatisk.

For IT-ansvarlige og sikkerhedsteams i Danmark er budskabet klart: Klassisk to-faktor-godkendelse via sms eller app er ikke længere tilstrækkelig beskyttelse mod denne type angreb. Opgradering til phishing-resistente autentificeringsmetoder er ikke fremtidens problem — det er nutidens.

Forg365Microsoft 365phishingcybersikkerhedAI-angrebphishing-as-a-service

Flere fra Teknologi