Фишингът като услуга остава устойчива киберзаплаха

Въпреки координираната операция на Европол и технологични партньори, платформата за фишинг като услуга (PhaaS) Tycoon2FA възстановява активността си само дни след прекъсването.

Операцията от 4 март, водена технически от Microsoft, доведе до:

• изземване на 330 домейна
• прекъсване на инфраструктурата за контролни панели и фишинг страници

Ефектът обаче се оказва краткотраен.

Бързо възстановяване – данни от CrowdStrike

Според анализ на CrowdStrike:

• активността на Tycoon2FA спада до 25% веднага след операцията
• в рамките на дни се връща към пълния си капацитет

Това подчертава ключов проблем – инфраструктурните удари сами по себе си не са достатъчни.

Какво представлява Tycoon2FA

Tycoon2FA е PhaaS платформа, насочена основно към:

• Microsoft 365
• Gmail

Тя използва Adversary-in-the-Middle (AiTM) техники, които:

• прихващат сесии в реално време
• заобикалят 2FA защити
• дават пълен достъп до акаунти

По данни на Microsoft:

• платформата генерира до 30 милиона фишинг имейла месечно
• отговаря за 62% от блокираните фишинг съобщения

Тактики след операцията – нищо ново, но ефективно

След прекъсването, Tycoon2FA продължава да използва познати техники:

• зловредни URL адреси и shortener услуги
• компрометирани легитимни сайтове
• злоупотреба с платформи за презентации и пренасочване
• ИИ генерирани фалшиви страници

Липсата на значителна еволюция показва, че текущите методи вече са достатъчно ефективни.

Пост-компрометиране – подготовка за BEC атаки

След успешен достъп до акаунти, атакуващите:

• създават скрити имейл папки
• настройват правила за пренасочване
• подготвят Business Email Compromise (BEC) операции

Тези действия позволяват:

• дългосрочно присъствие
• незабелязано наблюдение
• финансови измами

Защо операцията не успява да спре платформата

Анализът на CrowdStrike показва няколко ключови причини:

1. Липса на арести
Без физическо задържане на операторите, инфраструктурата може бързо да бъде възстановена.

2. Децентрализирана архитектура
Част от старата инфраструктура остава активна.

3. Бърза регистрация на нови домейни
Атакуващите компенсират загубите почти в реално време.

4. Високо търсене на PhaaS услуги
Киберпрестъпната икономика продължава да стимулира развитието на подобни платформи.

Cтратегически изводи за киберсигурността

1. PhaaS моделът е изключително устойчив
Подобно на SaaS, той позволява бързо възстановяване и мащабиране.

2. Инфраструктурните удари имат временен ефект
Без координирани действия срещу операторите, ефектът е ограничен.

3. 2FA вече не е достатъчна защита
AiTM атаките компрометират дори многофакторна автентикация.

4. Необходим е многослоен подход
Организациите трябва да внедрят:

• phishing-resistant MFA (FIDO2)
• мониторинг на сесии
• защита на идентичности
• поведенчески анализ

Случаят с Tycoon2FA показва, че съвременните киберзаплахи не могат да бъдат неутрализирани само чрез технически операции.

Докато съществува търсене и липсват арести, фишинг екосистемата ще продължи да се възстановява – по-бързо от всякога.