Глобальная коалиция ликвидировала Tycoon 2FA PhaaS
TL;DR
Глобальная операция привела к ликвидации платформы фишинга как услуги Tycoon 2FA
Международная коалиция, возглавляемая Европолом и включающая правоохранительные органы и компании, занимающиеся вопросами безопасности, ликвидировала платформу фишинга как услугу (PhaaS) Tycoon 2FA. Эта платформа способствовала проведению масштабных атак типа "злоумышленник посередине" (AitM) для сбора учетных данных. Фишинговый набор, распространяемый по подписке, продавался через Telegram и Signal и использовался для сбора учетных данных, кодов многофакторной аутентификации (MFA) и сессионных cookie-файлов. Предполагается, что главным разработчиком является Саад Фриди, базирующийся в Пакистане.
Масштаб и влияние Tycoon 2FA
Европол назвал Tycoon 2FA одной из крупнейших фишинговых операций в мире, позволяющей киберпреступникам скрытно получать доступ к учетным записям электронной почты и облачных сервисов. Компания Intel 471 сообщила, что этот набор был связан с более чем 64 000 фишинговых инцидентов и десятками тысяч доменов. Microsoft заблокировала более 13 миллионов вредоносных электронных писем, связанных с этой услугой, в октябре 2025 года, что составляет примерно 62% всех фишинговых атак, заблокированных Microsoft к середине 2025 года. По оценкам, с 2023 года эта услуга затронула около 96 000 уникальных жертв фишинга по всему миру.
Технические детали платформы
Панель Tycoon 2FA служила центральным узлом для настройки, отслеживания и совершенствования кампаний, включала в себя готовые шаблоны, файлы вложений, конфигурацию домена и хостинга, а также отслеживание жертв. Платформа перехватывала сессионные cookie-файлы даже после сброса пароля, если активные сессии и токены не были явно отозваны. Она также использовала мониторинг нажатия клавиш, проверку на наличие ботов, снятие отпечатков браузера и динамические страницы-приманки для уклонения от обнаружения. Фишинговая инфраструктура размещалась на Cloudflare с использованием короткоживущих полных доменных имен (FQDN) для усложнения обнаружения.
Географическое распределение и виктимология
Анализ данных журналов жертв, проведенный компанией SpyCloud, показал, что наибольшая концентрация идентифицированных жертв приходится на США (179 264), за которыми следуют Великобритания (16 901), Канада (15 272), Индия (7 832) и Франция (6 823). Компания Proofpoint обнаружила более трех миллионов сообщений, связанных с этим фишинговым набором, только в феврале 2026 года. Компания Trend Micro отметила, что у платформы PhaaS было около 2000 пользователей. Кампании были нацелены почти на все сектора, включая образование, здравоохранение, финансы, некоммерческие организации и правительство.
Цепочка атак и техники
Цепочка атак начиналась с фишинговых электронных писем, содержащих вредоносные ссылки или QR-коды, которые перенаправляли жертв на поддельные страницы входа в систему. Эти страницы часто имитировали такие сервисы, как Microsoft 365, OneDrive, Outlook, SharePoint и Gmail, динамически адаптируясь к брендингу целевой организации. Компания Intel 471 отметила, что Tycoon 2FA продавался и поддерживался в основном через каналы Telegram, управляемые предполагаемыми разработчиками, часто связанными с Saad Tycoon Group.
Рекомендации по усилению безопасности
Ликвидация Tycoon 2FA подчеркивает необходимость принятия надежных мер безопасности, выходящих за рамки базовой MFA. Trend Micro рекомендует внедрять устойчивые к фишингу механизмы аутентификации, развертывать расширенные средства защиты электронной почты и совместной работы, включать проверку URL-адресов в режиме реального времени, отслеживать риски, связанные с идентификацией, и регулярно проводить фишинговые симуляции. squirrelvpn.com предлагает самые свежие новости, аналитику и обновления о VPN-технологиях и онлайн-конфиденциальности, которые могут помочь защититься от подобных угроз.
Повысьте свою онлайн-безопасность с помощью squirrelvpn.com. Ознакомьтесь с нашими подробными статьями, новостными обновлениями и функциями о VPN-технологиях, а также советами по повышению онлайн-безопасности и конфиденциальности. Свяжитесь с нами сегодня, чтобы узнать больше о том, как наши услуги могут защитить вас от фишинговых атак и других киберугроз.
