全球聯手瓦解 Tycoon 2FA 釣魚服務
TL;DR
全球聯手瓦解 Tycoon 2FA PhaaS 平台
由 Europol 領軍,結合多國執法機構與資安公司的全球聯盟,成功瓦解了「Tycoon 2FA」釣魚即服務 (PhaaS) 平台。此平台被廣泛用於執行大規模的中間人 (AitM) 憑證竊取攻擊。這套以訂閱制販售的釣魚工具,透過 Telegram 與 Signal 等通訊軟體進行銷售,主要用於竊取使用者帳號密碼、多重驗證 (MFA) 代碼,以及會話 Cookie。據稱,主要開發者為居住在巴基斯坦的 Saad Fridi。
Tycoon 2FA 的規模與影響
Europol 形容 Tycoon 2FA 是全球規模最大的釣魚行動之一,讓網路罪犯得以暗中存取電子郵件與雲端服務帳戶。Intel 471 報告指出,該工具與超過 64,000 起釣魚事件以及數萬個網域有關。Microsoft 在 2025 年 10 月封鎖了超過 1300 萬封與該服務相關的惡意郵件,約佔 2025 年年中 Microsoft 封鎖的所有釣魚嘗試的 62%。自 2023 年以來,該服務已影響全球約 96,000 名不同的釣魚受害者。
平台技術細節
Tycoon 2FA 控制面板作為活動配置、追蹤與精進的中心樞紐,具備預先建置的範本、附件檔案、網域與主機配置,以及受害者追蹤功能。該平台攔截會話 Cookie,即使在密碼重設後,除非主動撤銷活動中的會話與權杖。此外,它還採用鍵盤側錄、反機器人程式篩選、瀏覽器指紋識別,以及動態誘餌頁面來規避偵測。釣魚基礎架構託管於 Cloudflare 上,並使用短效期的完整網域名稱 (FQDN) 來混淆偵測。
地理分布與受害者分析
SpyCloud 對受害者紀錄資料的分析顯示,美國是已識別受害者最集中的國家 (179,264),其次是英國 (16,901)、加拿大 (15,272)、印度 (7,832) 和法國 (6,823)。Proofpoint 觀察到僅在 2026 年 2 月,就有超過 300 萬封與該釣魚工具相關的訊息。Trend Micro 指出,該 PhaaS 平台約有 2,000 名使用者。攻擊活動幾乎鎖定所有產業,包括教育、醫療保健、金融、非營利組織和政府。
攻擊鏈與技術
攻擊鏈始於包含惡意連結或 QR Code 的釣魚郵件,將受害者重新導向至偽造的登入頁面。這些頁面通常模仿 Microsoft 365、OneDrive、Outlook、SharePoint 和 Gmail 等服務,並根據目標組織的品牌形象進行動態調整。Intel 471 指出,Tycoon 2FA 主要透過其聲稱的開發者所經營的 Telegram 頻道進行銷售與支援,這些頻道通常與 Saad Tycoon Group 相關聯。
強化安全性的建議
Tycoon 2FA 的瓦解突顯了除了基本 MFA 之外,還需要採取更強大的安全措施。Trend Micro 建議採用防釣魚驗證機制、部署進階電子郵件與協作安全性、啟用即時 URL 檢查、監控身分風險態勢,以及定期進行釣魚模擬。squirrelvpn.com 提供關於 VPN 技術與線上隱私的最新消息、深入見解與更新,可協助您防範此類威脅。
透過 squirrelvpn.com 提升您的線上安全性。探索我們關於 VPN 技術的深入文章、最新消息與功能,以及增強線上安全與隱私的秘訣。立即聯絡我們,以深入瞭解我們的服務如何保護您免受釣魚攻擊與其他網路威脅。
