Міжнародна коаліція правоохоронних органів та компаній з кібербезпеки ліквідувала Tycoon 2FA — масштабну платформу phishing-as-a-service (PhaaS), яка використовувалася для масових атак типу adversary-in-the-middle (AiTM). За даними розслідування, сервіс був пов’язаний щонайменше з 64 000 фішингових атак, спрямованих на викрадення облікових даних і обходу багатофакторної автентифікації.
Tycoon 2FA працював як комерційний інструмент для кіберзлочинців. Платформа пропонувала підписку, яка дозволяла проводити масштабні фішингові кампанії проти користувачів популярних онлайн-сервісів.
Сервіс уперше з’явився у серпні 2023 року і швидко став одним із найпоширеніших інструментів для атак на облікові записи. Доступ до набору інструментів коштував приблизно 120 доларів за 10 днів або 350 доларів за місяць із доступом до веб-панелі керування.
Адміністративна панель дозволяла операторам:
Зібрані дані — включно з логінами, паролями, кодами MFA та cookies сесій — могли зберігатися у панелі або автоматично пересилатися до Telegram-каналів для моніторингу в реальному часі.
За словами Europol, платформа використовувалася тисячами кіберзлочинців і щомісяця генерувала десятки мільйонів фішингових листів.
“It enabled thousands of cybercriminals to covertly access email and cloud-based service accounts.”
За оцінками Microsoft, оператори Tycoon 2FA, яких компанія відстежує під ідентифікатором Storm-1747, у 2025 році створили одну з наймасштабніших фішингових інфраструктур.
Microsoft повідомила, що лише за один рік заблокувала понад 13 мільйонів шкідливих листів, пов’язаних із цією платформою.
Фішингові кампанії часто імітували сторінки входу популярних сервісів, серед яких:
Microsoft 365
Outlook
SharePoint
OneDrive
Gmail
Такі атаки дозволяли зловмисникам перехоплювати session cookies, що давало доступ до облікових записів навіть після зміни пароля. Операція правоохоронців призвела до відключення 330 доменів, які використовувалися для фішингових сторінок і панелей управління. Історія Tycoon 2FA демонструє, наскільки небезпечними можуть бути моделі phishing-as-a-service, які дозволяють навіть малодосвідченим зловмисникам запускати складні атаки проти корпоративних систем. Експерти попереджають, що викрадення облікових записів часто стає першим етапом масштабних атак, які можуть завершитися витоком даних або розгортанням ransomware.
