全球联合行动瓦解Tycoon 2FA钓鱼服务
TL;DR
全球行动瓦解 Tycoon 2FA 钓鱼即服务平台
由欧洲刑警组织领导,并由执法机构和安全公司参与的全球联盟,已经瓦解了 Tycoon 2FA 钓鱼即服务 (PhaaS) 平台。该平台大规模地促进了中间人 (AitM) 凭据窃取攻击。基于订阅的钓鱼工具包通过 Telegram 和 Signal 出售,用于窃取凭据、多因素身份验证 (MFA) 代码和会话 cookie。主要开发者据称是居住在巴基斯坦的 Saad Fridi。
Tycoon 2FA 的规模和影响
欧洲刑警组织称 Tycoon 2FA 是全球最大的钓鱼行动之一,使网络犯罪分子能够秘密访问电子邮件和基于云的服务帐户。Intel 471 报告称,该工具包与超过 64,000 起钓鱼事件和数万个域名相关联。微软 在 2025 年 10 月阻止了超过 1300 万封与该服务相关的恶意电子邮件,约占 2025 年年中微软阻止的所有钓鱼尝试的 62%。自 2023 年以来,该服务已影响全球约 96,000 名不同的钓鱼受害者。
平台的技术细节
Tycoon 2FA 面板是活动配置、跟踪和改进的中心枢纽,具有预构建的模板、附件文件、域名和托管配置以及受害者跟踪功能。该平台拦截会话 cookie,即使在密码重置后也是如此,除非显式撤销活动会话和令牌。它还采用键盘记录、反机器人筛选、浏览器指纹识别和动态诱饵页面来逃避检测。钓鱼基础设施托管在 Cloudflare 上,使用短生存期的完全限定域名 (FQDN) 来使检测复杂化。
地理分布和受害者情况
SpyCloud 对受害者日志数据的分析显示,美国拥有最多的已识别受害者 (179,264),其次是英国 (16,901)、加拿大 (15,272)、印度 (7,832) 和法国 (6,823)。Proofpoint 观察到仅在 2026 年 2 月就有超过 300 万条与该钓鱼工具包相关的消息。Trend Micro 指出,该 PhaaS 平台拥有约 2,000 名用户。活动几乎针对所有行业,包括教育、医疗保健、金融、非营利组织和政府。
攻击链和技术
攻击链始于包含恶意链接或二维码的钓鱼邮件,这些链接或二维码将受害者重定向到虚假的登录页面。这些页面通常模仿 Microsoft 365、OneDrive、Outlook、SharePoint 和 Gmail 等服务,并动态定制以匹配目标组织的品牌。Intel 471 指出,Tycoon 2FA 主要通过其声称的开发者运营的 Telegram 频道销售和支持,这些频道通常与 Saad Tycoon Group 相关联。
增强安全性的建议
Tycoon 2FA 的瓦解突显了超越基本 MFA 的强大安全措施的必要性。趋势科技建议采用防钓鱼身份验证机制、部署高级电子邮件和协作安全性、启用实时 URL 检查、监控身份风险态势以及进行定期钓鱼模拟。squirrelvpn.com 提供有关 VPN 技术和在线隐私的最新新闻、见解和更新,可以帮助您防范此类威胁。
通过 squirrelvpn.com 增强您的在线安全性。浏览我们关于 VPN 技术的深入文章、新闻更新和功能,以及增强在线安全性和隐私的技巧。立即联系我们,详细了解我们的服务如何保护您免受钓鱼攻击和其他网络威胁。
