Международные правоохранительные органы при координации со стороны Europol провели масштабную операцию против Tycoon2FA — одной из крупнейших в мире платформ по модели phishing-as-a-service (PhaaS), специализировавшейся на обходе многофакторной аутентификации (МФА). В ходе операции была нарушена работа сервиса и изъято 330 доменов, включая панели управления операторов и фишинговые страницы, использовавшиеся в атаках.
Международная операция против Tycoon2FA: роль Europol, Microsoft и партнеров
Техническую координацию операции взяла на себя компания Microsoft, задействовав собственные команды реагирования и сеть частных партнеров. Непосредственным изъятием инфраструктуры Tycoon2FA занимались правоохранительные органы Латвии, Литвы, Португалии, Польши, Испании и Великобритании. Такая многосторонняя схема взаимодействия отражает современный подход к борьбе с киберпреступностью, где критически важны объединение данных, автоматизированный обмен индикаторами компрометации и юридическое сотрудничество между странами.
Расследование стартовало после того, как специалисты Trend Micro передали в Europol первичную информацию об инфраструктуре и активности платформы. В дальнейшем к операции подключился широкий круг частных компаний и некоммерческих организаций, в том числе Cloudflare, Coinbase, Intel471, Proofpoint, Shadowserver Foundation, SpyCloud, eSentire, Resecurity и другие. Такое участие показывает, что без тесного взаимодействия между бизнесом и государством нейтрализовать крупные PhaaS‑платформы практически невозможно.
Tycoon2FA как сервис phishing-as-a-service: масштаб и модель работы
Платформа Tycoon2FA (также обозначаемая как Tycoon 2FA, оператор — группа Storm-1747) функционировала с августа 2023 года и предлагала злоумышленникам готовый набор инструментов для проведения фишинговых кампаний. По данным Microsoft, к середине 2025 года сервис ежемесячно генерировал десятки миллионов фишинговых писем, нацеливаясь более чем на 500 000 организаций по всему миру. На долю Tycoon2FA приходилось до 60% всех заблокированных фишинговых атак в наблюдаемой экосистеме, что делает его одним из ключевых игроков на рынке нелегальных PhaaS‑услуг.
По оценкам Microsoft, жертвами платформы стали почти 100 000 организаций по всему миру, включая государственные учреждения, образовательные организации и медицинские учреждения. Особую опасность Tycoon2FA представлял именно из-за своего формата: подписка на сервис продавалась через Telegram по цене порядка 120 долларов за 10 дней доступа. Низкий порог входа фактически позволял даже слабо подготовленным злоумышленникам запускать масштабные, технически сложные фишинговые атаки.
AitM-атаки и обход многофакторной аутентификации
Техника adversary-in-the-middle и перехват сессий
С технической точки зрения Tycoon2FA был типичной AitM‑платформой (adversary-in-the-middle). Сервис использовал реверс‑прокси для прозрачного перехвата учетных данных и сессионных cookie жертв в реальном времени. Атакующие развертывали фишинговые страницы, имитирующие легитимные формы входа Microsoft и Google. Пользователь попадал на поддельный домен, который внешне полностью воспроизводил интерфейс Microsoft 365, OneDrive, Outlook, SharePoint или Gmail, и вводил логин, пароль и код МФА, не подозревая о подмене.
Собранные данные и сессионные cookie в режиме реального времени перенаправлялись через прокси Tycoon2FA к настоящему сервису аутентификации. Для пользователя процесс выглядел как обычный вход, однако атакующий получал доступ к уже аутентифицированной сессии, фактически обходя МФА. Важный момент: перехваченные cookie и токены в ряде случаев оставались действительными даже после смены пароля, пока активные сессии и токены не отзывались администратором или пользователем вручную.
Почему классическая МФА не всегда спасает
Случай Tycoon2FA наглядно показывает ограничения традиционной многофакторной аутентификации, основанной на одноразовых кодах или push‑уведомлениях. При AitM‑атаке код МФА не крадут «впрок» — он немедленно ретранслируется прокси к целевому сервису. В результате МФА успешно проходит, но в интересах злоумышленника, а не законного пользователя. Именно поэтому в профильных отчетах (например, Verizon DBIR и других отраслевых источниках) все чаще подчеркивается необходимость перехода к фишинг-устойчивой МФА, такой как FIDO2/WebAuthn и аппаратные ключи безопасности.
Выводы для организаций: усиление защиты учетных записей и МФА
Масштаб Tycoon2FA и его доминирующая доля в потоке заблокированных фишинговых атак демонстрируют зрелость рынка phishing-as-a-service. Профессионально организованные платформы снимают для преступников и технический барьер, и барьер входа по стоимости. Это особенно опасно для малых и средних компаний, которые зачастую недооценивают риск AitM‑атак и полагаются только на базовую МФА и почтовые фильтры.
Организациям имеет смысл пересмотреть архитектуру защиты учетных записей, включая использование фишинг‑устойчивой МФА (аппаратные ключи, passkeys), сокращение времени жизни сессий, строгие политики отзыва токенов, а также внедрение механизмов условного доступа (проверка устройства, геолокации, риска входа). Не менее важны продвинутые почтовые и веб‑фильтры, проверка доменов, DMARC/SPF/DKIM и мониторинг аномальной активности входа, такой как «невозможные путешествия» и необычные устройства.
Ликвидация Tycoon2FA — значимый успех правоохранительных органов и индустрии кибербезопасности, но она не означает исчезновения самой модели PhaaS. На смену одному сервису, как правило, приходят другие, адаптированные и усовершенствованные. Чтобы оставаться на шаг впереди, организациям стоит регулярно аудировать свои механизмы аутентификации и защиты идентичностей, инвестировать в обучение сотрудников распознаванию фишинга и внедрять фишинг‑устойчивые методы МФА. Чем раньше компании начнут относиться к AitM‑атакам как к повседневной реальности, а не к экзотической угрозе, тем ниже будут их потери при следующих волнах подобных кампаний.
