330 домейна иззети, десетки милиони фишинг съобщения месечно – координиран удар срещу една от най-опасните PhaaS услуги
Мащабна международна операция, координирана от Европол, доведе до сериозно прекъсване на дейността на Tycoon2FA – една от най-активните платформи от типа phishing-as-a-service (PhaaS), свързвана с десетки милиони фишинг съобщения всеки месец.
По време на съвместните действия бяха иззети и изведени офлайн общо 330 домейна, формиращи ядрото на престъпната инфраструктура – включително контролни панели и фишинг страници.
Частно-публично партньорство в действие
Техническата част от операцията бе ръководена от Microsoft с подкрепата на коалиция от частни партньори, сред които:
-
Trend Micro
-
Cloudflare
-
Coinbase
-
Intel 471
-
Proofpoint
-
Shadowserver Foundation
-
SpyCloud
Физическите изземвания и оперативните мерки бяха извършени от правоприлагащи органи в Латвия, Литва, Португалия, Полша, Испания и Обединеното кралство.
Разследването започва след споделена разузнавателна информация от Trend Micro, разпространена чрез мрежите на Европейския център за борба с киберпрестъпността (EC3) към Европол. Именно координираният обмен на технически данни позволява изграждането на съвместна оперативна стратегия.
Какво представлява Tycoon2FA
Tycoon2FA, активна поне от август 2023 г., функционира като adversary-in-the-middle платформа. Тя използва reverse proxy инфраструктура, която в реално време прихваща:
-
потребителски идентификационни данни
-
сесийни „бисквитки“
-
кодове за многофакторна автентикация
Платформата бе насочена основно към потребители на услуги на Microsoft и Google, като имитира легитимни страници за вход в:
-
Microsoft 365
-
OneDrive
-
Outlook
-
SharePoint
-
Gmail
Жертвата преминава през привидно нормален процес на вход, включително MFA проверка. В същото време Tycoon2FA препредава въведените кодове към реалната услуга и прихваща генерираните сесийни токени.
Резултатът – нападателят получава активна, удостоверена сесия без да е необходимо повторно преминаване през MFA.
Масов мащаб и глобално въздействие
По данни на Microsoft, към средата на 2025 г. Tycoon2FA е генерирала десетки милиони фишинг имейли месечно, като е била свързана с над 60% от всички блокирани фишинг опити.
Платформата е използвана за компрометиране на акаунти на близо 100 000 организации по света, включително:
-
държавни институции
-
училища и университети
-
здравни организации
Особено тревожен е фактът, че дори след смяна на паролата достъпът може да остане активен, ако сесиите и токените не бъдат изрично анулирани.
Киберпрестъпност „като услуга“ – ниска бариера за вход
Tycoon2FA се е продавала чрез Telegram срещу 120 долара за 10 дни достъп. Този модел значително понижава бариерата за навлизане на по-нискоквалифицирани престъпници, които получават готов инструмент за извършване на сложни атаки.
Това е поредното доказателство, че екосистемата PhaaS трансформира киберпрестъпността в мащабируема услуга, достъпна срещу абонамент.
Аналитичен прочит – защо този случай е стратегически важен
Операцията срещу Tycoon2FA показва няколко ключови тенденции:
-
MFA вече не е достатъчна сама по себе си – необходим е преход към phishing-resistant методи като FIDO2 и хардуерни ключове.
-
Сесиите и токените са новият фокус на атаките, а не само паролите.
-
Частно-публичното сътрудничество е критично условие за ефективна реакция.
-
PhaaS платформите представляват индустриализирана заплаха, която изисква системен, а не реактивен отговор.
Макар операцията да е сериозен удар по инфраструктурата на Tycoon2FA, подобни услуги често се прегрупират под нови домейни и брандове.
Борбата с този тип платформи е продължителен процес, изискващ не само технически, но и регулаторни и оперативни мерки.
Разбиването на Tycoon2FA представлява значим пробив в международната борба срещу фишинг инфраструктурите от ново поколение. Въпреки това случаят ясно показва, че атаките, заобикалящи MFA, вече са масова реалност, а организациите трябва да преминат към по-устойчиви модели на удостоверяване и управление на сесиите.
