Forg365 mira Microsoft 365, entenda o golpe
Plataforma de phishing usa IA, AiTM e código de dispositivo para roubar acessos corporativos.

Resumo rapido
O Forg365 é uma operação de phishing como serviço voltada a contas Microsoft 365. Segundo pesquisadores da ZeroBEC, a plataforma combina páginas de login falsas, códigos de dispositivo e mensagens geradas com IA. O objetivo é capturar acesso, tokens e cookies para manter entrada nos serviços vinculados à conta invadida.
Neste artigo voce vai aprender:
- O que é o Forg365 e por que ele preocupa empresas que usam Microsoft 365.
- Como os criminosos combinam e-mails falsos, AiTM e código de dispositivo.
- Quais sinais podem indicar uma tentativa de roubo de conta.
- O que verificar em links, extensões e solicitações de acesso.
- Um checklist objetivo para reduzir o risco no ambiente corporativo.
O que é o Forg365
O Forg365 é uma nova plataforma de phishing como serviço, conhecida pela sigla PhaaS. Na prática, criminosos vendem uma estrutura pronta para que outros golpistas montem campanhas falsas e roubem contas com pouco esforço técnico. O alvo descrito na análise é claro: contas Microsoft 365.
De acordo com a ZeroBEC, o Forg365 reúne recursos já vistos em operações como Kali365 e Sneaky2FA, ainda que os pesquisadores não tenham confirmado ligação entre elas. A investigação partiu de e-mails que se passavam por documentos de negócio e imitavam serviços de confiança.
Como o golpe funciona
O ataque encadeia mais de uma técnica ao mesmo tempo. Uma delas é o método adversary-in-the-middle, ou AiTM, em que o criminoso se posiciona no meio da comunicação entre a vítima e o serviço para capturar dados de acesso durante o login. Outra recorre a códigos de dispositivo, que induzem a pessoa a autorizar um acesso que ela nunca iniciou.
A análise também aponta o uso de IA na criação das mensagens de isca. Isso deixa os e-mails mais convincentes, com aparência de comunicação corporativa legítima. Além disso, o Forg365 administra tokens e cookies, que mantêm sessões abertas, e disponibiliza uma extensão de navegador para seguir acessando serviços Microsoft vinculados à conta comprometida sem precisar autenticar de novo.
Sinais de alerta
Alguns indícios citados na análise ajudam a entender como essas campanhas tentam se camuflar no tráfego normal de e-mail:
- E-mails que se passam por documentos de trabalho ou por serviços já conhecidos da empresa.
- Mensagens enviadas por infraestrutura legítima, como Amazon SES, com imagens ou rastreamentos hospedados em recursos do SendGrid.
- Links que levam a páginas de login ou autorização fora do fluxo habitual do Microsoft 365.
- Pedidos para inserir ou aprovar códigos de dispositivo sem que o usuário tenha iniciado esse processo.
- Extensões de navegador desconhecidas ou instaladas sem justificativa clara.
O ponto central é simples: o uso de serviços legítimos não garante que a mensagem seja segura. Golpistas exploram essas plataformas justamente para dar aparência normal ao ataque.
Como se proteger
Para empresas que usam Microsoft 365, a defesa precisa unir atenção do usuário e revisão técnica. Oriente os colaboradores a não abrir supostos documentos de negócio quando o contexto não fizer sentido. Se uma mensagem pedir login, código de dispositivo ou autorização inesperada, a atitude correta é interromper e confirmar por outro canal.
As equipes de TI devem revisar campanhas suspeitas, links acessados, sessões ativas e extensões instaladas no navegador. Como o Forg365 opera com tokens, cookies e continuidade de acesso, trocar apenas a senha pode não bastar em um caso suspeito. Também é preciso encerrar sessões e remover acessos desconhecidos.
Checklist prático
- Confirme se o e-mail de documento ou serviço era esperado antes de clicar em qualquer link.
- Nunca aprove um código de dispositivo do Microsoft 365 se você não iniciou a autenticação.
- Revise as extensões do navegador e remova qualquer item desconhecido ou sem uso claro.
- Em caso de suspeita, avise a TI, encerre sessões ativas e verifique acessos vinculados.
- Treine os usuários para reconhecer mensagens corporativas falsas, mesmo quando usam serviços legítimos de envio.
Perguntas frequentes
O Forg365 é um vírus instalado no computador?
Segundo o material analisado, o Forg365 é uma plataforma de phishing como serviço. O risco principal está em enganar usuários para roubar acesso ao Microsoft 365, além de tokens e cookies de sessão.
Por que o uso de IA torna o golpe mais perigoso?
A IA ajuda a produzir mensagens de isca mais convincentes, com aparência de comunicação empresarial. Isso elimina erros óbvios e aumenta a chance de a vítima confiar no e-mail.
Quem usa Microsoft 365 deve se preocupar?
Sim. A operação descrita é focada em contas Microsoft 365 e usa métodos desenhados para obter e manter acesso aos serviços ligados à conta comprometida.
Proteja sua empresa com a LC SEC
A LC SEC ajuda sua empresa a avaliar riscos em Microsoft 365, revisar controles de acesso, treinar usuários e identificar campanhas de phishing antes que elas virem incidentes.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io
Receba as principais noticias de ciberseguranca
Inscreva-se em nossa newsletter e receba artigos, alertas de vulnerabilidades e tendencias diretamente no seu email.

