全球聯手瓦解 Tycoon 2FA 網絡釣魚服務
TL;DR
全球行動瓦解 Tycoon 2FA 釣魚即服務平台
由 Europol 領導,並有執法機構和安全公司參與的全球聯盟,已瓦解了 Tycoon 2FA 釣魚即服務 (PhaaS) 平台。該平台大規模地協助了中間人 (AitM) 憑證盜取攻擊。訂閱制的釣魚工具包 透過 Telegram 和 Signal 販售,並被用於盜取憑證、多重驗證 (MFA) 碼和會話 Cookie。主要開發者據稱是位於巴基斯坦的 Saad Fridi。
Tycoon 2FA 的規模和影響
Europol 形容 Tycoon 2FA 是全球最大的釣魚行動之一,使網絡罪犯能夠秘密存取電子郵件和雲端服務帳戶。Intel 471 報告指出,該工具包與超過 64,000 起釣魚事件和數萬個網域有關。Microsoft 在 2025 年 10 月封鎖了超過 1,300 萬封與該服務相關的惡意電子郵件,約佔 2025 年年中 Microsoft 封鎖的所有釣魚攻擊的 62%。自 2023 年以來,該服務已影響全球約 96,000 名不同的釣魚受害者。
平台的技術細節
Tycoon 2FA 面板是活動配置、追蹤和完善的中心樞紐,具有預先構建的範本、附件檔案、網域和託管配置以及受害者追蹤功能。該平台攔截會話 Cookie,即使在重設密碼後也是如此,除非主動撤銷活動中的會話和令牌。它還採用按鍵監控、反機器人篩選、瀏覽器指紋識別和動態誘餌頁面來躲避偵測。釣魚基礎架構託管在 Cloudflare 上,使用短期的完整域名 (FQDN) 來使偵測複雜化。
地理分佈和受害者分析
SpyCloud 對受害者日誌數據的分析顯示,美國是已識別受害者最集中的國家 (179,264),其次是英國 (16,901)、加拿大 (15,272)、印度 (7,832) 和法國 (6,823)。Proofpoint 觀察到僅在 2026 年 2 月就有超過 300 萬條與該釣魚工具包相關的訊息。Trend Micro 指出,該 PhaaS 平台約有 2,000 名用戶。攻擊活動幾乎針對所有行業,包括教育、醫療保健、金融、非營利組織和政府。
攻擊鏈和技術
攻擊鏈從包含惡意連結或 QR 碼的釣魚電子郵件開始,這些連結或 QR 碼將受害者重新導向到虛假的登入頁面。這些頁面通常模仿 Microsoft 365、OneDrive、Outlook、SharePoint 和 Gmail 等服務,並根據目標組織的品牌動態調整。Intel 471 指出,Tycoon 2FA 主要透過其聲稱的開發者營運的 Telegram 頻道進行銷售和支援,這些頻道通常與 Saad Tycoon Group 相關聯。
增強安全性的建議
Tycoon 2FA 的瓦解突顯了除了基本 MFA 之外,還需要強大的安全措施。Trend Micro 建議採用防釣魚驗證機制、部署進階的電子郵件和協作安全、啟用即時 URL 檢查、監控身份風險狀況以及進行定期的釣魚模擬。squirrelvpn.com 提供有關 VPN 技術和線上私隱的最新消息、見解和更新,有助於防範此類威脅。
透過 squirrelvpn.com 增強您的線上安全性。瀏覽我們關於 VPN 技術的深入文章、最新消息和功能,以及增強線上安全性和私隱的技巧。立即聯繫我們,以了解更多關於我們的服務如何保護您免受釣魚攻擊和其他網絡威脅。
