Глобална операция спря една от най-големите phishing-as-a-service платформи – Tycoon 2FA
Една от най-големите phishing-as-a-service (PhaaS) инфраструктури, използвани за заобикаляне на многофакторна автентикация, беше неутрализирана след координирана операция между Microsoft, Europol и множество индустриални партньори.
По време на операцията бяха иззети над 330 домейна, използвани за хостване на фишинг страници и инфраструктура за кражба на идентификационни данни. Това доведе до сериозно прекъсване на услуга, която е активна от 2023 г. и е изпращала десетки милиони фишинг имейли месечно.
Тази операция е един от най-значимите примери за сътрудничество между публичния и частния сектор в борбата срещу мащабни киберпрестъпни инфраструктури, насочени към компрометиране на дигитални идентичности.
Индустриализирана фишинг инфраструктура
Tycoon 2FA функционира като абонаментна платформа, която позволява на киберпрестъпници да стартират сложни фишинг кампании без да изграждат собствена инфраструктура.
Чрез платформата могат да се създават фалшиви страници за вход, насочени към услуги като:
Microsoft 365
Gmail
корпоративни системи за достъп
Платформата използва Adversary-in-the-Middle (AiTM) техники, които прихващат комуникацията между жертвата и легитимната услуга.
Вместо да събира само пароли, системата улавя:
потребителски имена и пароли
кодове за многофакторна автентикация
сесийни бисквитки и токени
С валиден сесиен токен атакуващите могат да получат достъп до акаунта без да преминават отново през процеса на вход, което на практика заобикаля MFA защитата.
Платформа зад значителна част от MFA bypass атаките
Според данни от Microsoft инфраструктурата на Tycoon 2FA е отговорна за приблизително 62% от AiTM фишинг атаките, засечени и блокирани от системите на компанията до средата на 2025 г.
През периода на активност на платформата са били таргетирани над 500 000 организации по света, като месечно са изпращани десетки милиони фишинг съобщения.
Само между октомври 2025 г. и януари 2026 г. се оценява, че чрез инфраструктурата са били изпратени около 87.5 милиона фишинг имейла.
Сред най-засегнатите сектори са здравеопазването и образованието.
Фишинг като бизнес модел
Tycoon 2FA е показателен пример за това как фишинг операциите се превръщат в структуриран киберпрестъпен бизнес модел.
Платформата предоставя на своите потребители готова инфраструктура, включително:
хостинг на фишинг страници
системи за събиране на идентификационни данни
инструменти за кражба на сесии
ротация на инфраструктурата чрез множество домейни
Операторите използват и редица техники за избягване на засичане, като CAPTCHA проверки, fingerprinting на браузъра, обфускация на код и бърза смяна на домейни.
Този модел показва как фишингът се е превърнал от отделни кампании в напълно управлявани престъпни платформи.
Координирана операция между публичния и частния сектор
Прекъсването на дейността на Tycoon 2FA е резултат от съвместна операция между Microsoft, Europol и редица партньори от индустрията.
По време на операцията са били иззети контролни панели, домейни и инфраструктурата, използвана за управление на фишинг кампаниите.
Партньорските организации са предоставили телеметрия и разузнавателна информация, която е помогнала за картографиране на инфраструктурата и координация на действията в различни юрисдикции.
Подобни операции стават все по-важни, тъй като фишинг инфраструктурите често използват глобални облачни услуги и хостинг доставчици.
Различна инфраструктура от наскоро наблюдавания Starkiller
Прекъсването на Tycoon 2FA не трябва да се бърка с наскоро анализираните фишинг инструменти като Starkiller, които използват сходни AiTM техники.
Въпреки че и двете използват прихващане на сесии и заобикаляне на MFA, те представляват различни платформи в рамките на по-широката phishing-as-a-service екосистема.
Фактът, че нови платформи се появяват дори след прекъсването на други, показва колко бързо се адаптира киберпрестъпният пазар.
DIAMATIX перспектива
Атаките, насочени към дигиталната идентичност, все по-често доминират в съвременния киберзаплахов пейзаж.
Платформи като Tycoon 2FA показват как атакуващите се отдалечават от традиционната кражба на пароли и се насочват към прихващане на сесии и манипулиране на процесите за автентикация.
Няколко тенденции се открояват ясно:
фишинг инфраструктурата се превръща в мащабируеми платформи
AiTM техниките позволяват заобикаляне на традиционни MFA защити
киберпрестъпните екосистеми се възстановяват бързо след всяко прекъсване
Организациите трябва да насочат защитните си стратегии към защита на идентичността и активните сесии, а не само към защита на паролите.
Сред препоръчителните мерки са:
използване на phishing-resistant автентикация като FIDO2
наблюдение на необичайни сесии и токени
ограничаване на рискови OAuth приложения
внедряване на решения за наблюдение и защита на идентичността
Прекъсването на Tycoon 2FA може да ограничи една инфраструктура, но същевременно подчертава по-широката тенденция.
Фишингът вече е индустриализиран модел на киберпрестъпност, а защитата срещу него изисква постоянна видимост върху идентичностите, процесите за автентикация и активните сесии.
Trusted · Innovative · Vigilant
Получавайте актуални новини и експертни анализи за киберсигурност
