Міжнародні правоохоронні структури за підтримки Europol та технічної координації з боку Microsoft провели масштабну операцію проти платформи Tycoon2FA — одного з найбільших у світі сервісів phishing‑as‑a‑service (PhaaS), який спеціалізувався на обході багатофакторної автентифікації (МФА). У результаті було виведено з обігу та вилучено 330 доменів, включно з панелями керування операторів і фішинговими сторінками, що використовувалися в атаках.
Міжнародна операція: роль Europol, Microsoft та приватних партнерів
Координаційний центр операції знаходився в Europol, а Microsoft відповідала за технічну частину: аналіз інфраструктури Tycoon2FA, кореляцію телеметрії та обмін індикаторами компрометації. Безпосереднім вилученням доменів і технічних потужностей займалися правоохоронні органи Латвії, Литви, Португалії, Польщі, Іспанії та Великої Британії, що підкреслює глобальний характер загрози.
Розслідування стартувало після того, як фахівці Trend Micro передали в Europol початкові дані про діяльність платформи. Згодом до операції долучилися численні комерційні та некомерційні структури, серед яких Cloudflare, Coinbase, Intel471, Proofpoint, Shadowserver Foundation, SpyCloud, eSentire, Resecurity та інші. Такий формат співпраці демонструє: без об’єднання зусиль держави та бізнесу протидія великим PhaaS‑екосистемам практично неможлива.
Tycoon2FA як phishing-as-a-service: масштаб загрози та бізнес-модель
Платформа Tycoon2FA (оператор — група Storm‑1747) діяла щонайменше з серпня 2023 року й надавала зловмисникам «під ключ» інструменти для масових фішингових кампаній. За оцінками Microsoft, станом на середину 2025 року сервіс щомісяця генерував десятки мільйонів фішингових листів, спрямованих більш ніж на 500 000 організацій по всьому світу.
У деяких сегментах екосистеми Microsoft на частку Tycoon2FA припадало до 60% усіх заблокованих фішингових атак, що робить цю платформу одним із ключових гравців нелегального ринку phishing‑as‑a‑service. Жертвами стали майже 100 000 організацій, включно з державними відомствами, освітніми та медичними установами.
Модель монетизації була максимально простою: доступ до сервісу продавався через Telegram за приблизно 120 доларів США за 10 днів. Такий низький поріг входу фактично дозволяв навіть малодосвідченим зловмисникам запускати масштабні, технічно складні кампанії, орієнтовані на компрометацію корпоративних облікових записів.
AitM‑атаки та обхід МФА: як працював Tycoon2FA
Adversary‑in‑the‑middle і перехоплення сесій користувачів
З технічної точки зору Tycoon2FA був типовою AitM‑платформою (adversary‑in‑the‑middle). Сервіс використовував reverse‑proxy для прозорого перехоплення облікових даних та cookies сесій у режимі реального часу. Зловмисники розгортали підроблені сторінки входу, які повністю повторювали інтерфейс Microsoft 365, OneDrive, Outlook, SharePoint, Gmail та інших популярних сервісів.
Користувач переходив за фішинговим посиланням, вводив логін, пароль і код МФА, вважаючи, що авторизується у легітимному сервісі. У цей момент дані разом із сесійними cookies передавалися через інфраструктуру Tycoon2FA до справжнього сервісу автентифікації. Для жертви процес виглядав як звичайний успішний вхід, але атакуючий отримував доступ до вже автентифікованої сесії, фактично оминаючи МФА.
Особливо небезпечно те, що перехоплені токени доступу в низці випадків залишалися чинними навіть після зміни паролю, доки активні сесії не були примусово відкликані адміністратором або самим користувачем. Це суттєво подовжувало вікно можливостей для атакувального боку.
Чому класична МФА не рятує від AitM‑фішингу
Сценарій Tycoon2FA наочно демонструє обмеження класичної МФА на основі одноразових кодів (OTP) або push‑повідомлень. У випадку AitM‑атаки код не «крадуть наперед» — він миттєво ретранслюється через проксі до легітимного сервісу. У результаті перевірка другого фактора формально проходить успішно, але в інтересах зловмисника.
Саме тому у профільних звітах з кібербезпеки дедалі частіше наголошується на переході до фішинг‑стійкої МФА, зокрема FIDO2/WebAuthn, апаратних ключів безпеки та passkeys, де аутентифікація прив’язана до конкретного домену й не може бути прозоро «проксійована» атакувальним сервісом.
Що мають зробити організації: посилення захисту ідентичностей
Масштаб Tycoon2FA і його домінуюча роль у потоці заблокованого фішингу свідчать про зрілість ринку phishing‑as‑a‑service. Такі платформи знімають одночасно й технічний, і фінансовий бар’єр для кіберзлочинців, що особливо критично для малого та середнього бізнесу, який часто обмежується базовою МФА та простими поштовими фільтрами.
Організаціям доцільно переглянути архітектуру захисту облікових записів, включаючи впровадження фішинг‑стійкої МФА (апаратні ключі, passkeys), скорочення часу життя сесій, жорсткі політики примусового відкликання токенів, а також механізми умовного доступу з урахуванням пристрою, геолокації та ризиковості входу.
Крім того, важливими є вдосконалені поштові та веб‑фільтри, коректна реалізація DMARC, SPF, DKIM, постійний моніторинг аномальної активності (наприклад, «неможливі подорожі» та входи з нетипових пристроїв), а також систематичне навчання персоналу розпізнаванню фішингових атак.
Ліквідація Tycoon2FA — помітний успіх правоохоронців і індустрії кібербезпеки, однак сама модель PhaaS нікуди не зникає: місце одного сервісу швидко займають нові, більш адаптивні платформи. Щоб залишатися на крок попереду, варто вже зараз оцінити стійкість своїх механізмів автентифікації, інвестувати в фішинг‑стійку МФА та зробити протидію AitM‑атакам частиною повсякденної практики безпеки, а не реакцією на черговий гучний інцидент.
