Міжнародна коаліція правоохоронців та компаній з кібербезпеки оголосила про нейтралізацію Tycoon 2FA — однієї з найвідоміших платформ phishing-as-a-service (PhaaS), яка спеціалізувалася на Adversary‑in‑the‑Middle (AitM) фішингу та системному обході багатофакторної автентифікації (MFA). Сервіс фактично надавав кібершахраям готовий конвеєр для викрадення облікових даних і сесійних cookie.
Tycoon 2FA як PhaaS: бізнес‑модель та функціональність
Tycoon 2FA з’явився у кримінальному підпіллі в серпні 2023 року та, за оцінкою Europol, дуже швидко перетворився на одну з найбільших фішингових операцій у світі. Працював він за підписною моделлю: базовий пакет коштував близько $120 за 10 днів, повнофункціональна веб‑панель на місяць — орієнтовно $350.
Центром керування була веб‑панель Tycoon 2FA, через яку зловмисники могли:
- обирати готові фішингові шаблони для Microsoft 365, OneDrive, Outlook, SharePoint, Gmail та інших сервісів;
- прикріплювати файли‑приманки і налаштовувати сценарії доставки (вкладення, посилання тощо);
- керувати доменами, хостингом, редиректами й логікою переходів жертви;
- відстежувати успішні та невдалі спроби входу;
- експортувати викрадені логіни, паролі, коди MFA, сесійні cookie або отримувати їх майже в реальному часі через Telegram.
Таким чином, Tycoon 2FA фактично знімав технічний бар’єр: навіть мало підготовлений зловмисник отримував повноцінний конструктор для складних AitM‑фішингових кампаній.
Масштаб атак Tycoon 2FA та вплив на організації
За даними Europol, інфраструктура Tycoon 2FA щомісяця генерувала десятки мільйонів фішингових листів, забезпечуючи прихований доступ до поштових та хмарних сервісів. Несанкціонований вхід було зафіксовано майже у 100 000 організацій по всьому світу, включно зі школами, медичними закладами та державними установами.
У ході спільної операції правоохоронці відключили 330 доменів, що забезпечували Tycoon 2FA фішинговими сторінками, панелями керування та інфраструктурою розсилки. За оцінкою Intel 471, сервіс пов’язаний більш ніж із 64 000 фішингових інцидентів і десятками тисяч доменів для розсилок та хостингу.
Microsoft відстежувала операторів Tycoon 2FA під кодовою назвою Storm‑1747 і називає платформу найактивнішою фішинговою інфраструктурою 2025 року: тільки їхніми засобами було заблоковано понад 13 мільйонів шкідливих листів, пов’язаних із цим сервісом.
За інформацією Proofpoint, Tycoon 2FA генерував найбільший обсяг AitM‑фішингу серед відомих інструментів: лише у лютому 2026 року зафіксовано понад 3 мільйони релевантних повідомлень. Trend Micro оцінює, що в платформи було близько 2 000 активних клієнтів, які атакували майже всі галузі — від освіти і медицини до фінансового сектору та держорганів. Щомісяця їхні фішингові кампанії досягали понад 500 000 організацій.
AitM фішинг та обхід MFA: як працював Tycoon 2FA
Ключова небезпека Tycoon 2FA — використання AitM‑підходу для обходу багатофакторної автентифікації. Платформа розгортала проксі‑сервери, які розташовувалися «посередині» між користувачем і легітимним сервісом (наприклад, Microsoft 365). Жертва бачила звичну форму входу, вводила логін, пароль і код MFA, але всі дані проходили через інфраструктуру зловмисників.
У процесі входу інструментарій Tycoon 2FA одночасно:
- перехоплював облікові дані та коди MFA;
- захоплював сесійні cookie та токени, що видавав реальний сервіс після успішної автентифікації;
- передавав коректні коди MFA на легітимний сервер, тож користувач не помічав підміни.
Наявність сесійних cookie дозволяла зловмисникам зберігати доступ навіть після зміни пароля, допоки активна сесія не буде примусово завершена, а токени — відкликані. Це робить традиційне реагування на інцидент за схемою «терміново змінити пароль» явно недостатнім.
Для уникнення виявлення Tycoon 2FA застосовував низку антианалізних технік: фільтрацію ботів, browser fingerprinting, обфускацію коду, власні CAPTCHA, спеціальний JavaScript і динамічні «порожні» сторінки. Інфраструктура розміщувалась на Cloudflare, активно використовувались різні доменні зони та короткоживучі FQDN (24–72 години), що ускладнювало побудову ефективних блок‑листів.
ATO Jumping та «демократизація» фішингових атак
Клієнти Tycoon 2FA масово використовували прийом ATO Jumping (account takeover jumping): скомпрометовані поштові акаунти ставали майданчиком для подальших розсилок посилань Tycoon 2FA новим цілям. Оскільки листи приходили нібито від реальних знайомих контактів, довіра та ймовірність переходу по посиланню різко зростали.
Подібні PhaaS‑платформи фактично масово тиражують складні техніки: атакувальнику не потрібно будувати власну AitM‑інфраструктуру, розробляти шаблони сторінок чи писати код обходу захистів. Усе надається «як сервіс», що значно розширює коло потенційних зловмисників і підвищує рівень загроз для організацій будь‑якого масштабу.
Уроки Tycoon 2FA: як посилити захист облікових записів
За даними Proofpoint, у 2025 році 99% організацій зіткнулися зі спробами захоплення облікових записів, і у 67% хоча б один такий інцидент виявився успішним. Показово, що в 59% скомпрометованих акаунтів MFA вже була увімкнена. Це підкреслює ефективність AitM‑фішингу і те, що базове впровадження MFA більше не гарантує безпеку.
Технічні та організаційні кроки захисту
З урахуванням кейсу Tycoon 2FA організаціям доцільно:
- переходити на усталену до фішингу MFA: FIDO2‑ключі, парольні ключі (passkeys), смарт‑карти замість SMS‑кодів та одноразових паролів;
- жорстко керувати життєвим циклом сесій: при інциденті не лише змінювати пароль, а й відкликати всі токени та завершувати активні сесії;
- використовувати політики умовного доступу з аналізом ризику входу (аномальні IP, геолокація, пристрій);
- розгортати сучасні email‑шлюзи й засоби захисту від фішингу з урахуванням AitM‑сценаріїв;
- регулярно навчати співробітників розпізнаванню фішингу, зокрема листів «від відомих контактів» та підозрілих доменів;
- посилювати моніторинг активності облікових записів (масові розсилки, нетипові операції з файлами, зміни налаштувань MFA).
Історія Tycoon 2FA демонструє, наскільки швидко кіберзлочинці перетворюють складні техніки обходу MFA на масовий сервіс. Щоб зменшити ризик стати жертвою наступної «Tycoon 2FA», організаціям варто інвестувати в комплексний захист ідентичності й пошти, впроваджувати фішингостійку автентифікацію, розширений моніторинг сесій і тісно співпрацювати з постачальниками хмарних та поштових сервісів.
