Після гучної операції Європолу на початку березня, яка позиціонувалася як серйозний удар по фішинговій платформі Tycoon2FA, сервіс майже повністю відновив свою активність. Попри конфіскацію сотень доменів і участь низки правоохоронних органів та технологічних компаній, оператори платформи змогли швидко перебудувати інфраструктуру та повернутися до звичних обсягів фішингових кампаній.
Операція Європолу проти Tycoon2FA та її реальні результати
Координована Європолом операція була спрямована на порушення роботи екосистеми Phishing-as-a-Service (PhaaS), яку представляє Tycoon2FA. Модель «фішинг як послуга» дозволяє будь-якому зловмиснику придбати доступ до готової платформи для атак замість самостійного створення інструментів та інфраструктури.
За технічної підтримки Microsoft правоохоронні органи Латвії, Литви, Португалії, Польщі, Іспанії та Великої Британії вилучили близько 330 доменів, які використовувалися як панелі керування, фішингові сторінки входу та інші елементи злочинної інфраструктури.
Аналітики CrowdStrike зафіксували, що одразу після операції, 4–5 березня, обсяг фішингових розсилок Tycoon2FA впав приблизно до 25% від звичайного рівня. Однак уже за кілька днів активність знову досягла показників, характерних для початку року, що демонструє високу стійкість сучасних PhaaS‑платформ до точкових інфраструктурних ударів.
Tycoon2FA як Phishing-as-a-Service: фокус на Microsoft 365, Gmail та обході MFA
Платформа Tycoon2FA працює за комерційною моделлю PhaaS, надаючи клієнтам — кіберзлочинцям — повний набір інструментів для фішингових атак. Головні цілі сервісу — хмарні облікові записи Microsoft 365 та Gmail, які масово використовуються в бізнесі й відкривають доступ до пошти, документів, контактів та інших критичних ресурсів.
AitM‑фішинг: перехоплення сесій і обхід багатофакторної автентифікації
Ключова технічна особливість Tycoon2FA — застосування схеми adversary-in-the-middle (AitM), або «зловмисник посередині». Користувача перенаправляють на підроблену сторінку входу, яка візуально майже не відрізняється від легітимного ресурсу Microsoft чи Google. Введені дані проходять через сервери атакувальників, які прозоро проксіюють запити до справжнього сервісу.
У результаті зловмисники можуть:
– перехоплювати логін і пароль користувача;
– отримувати сесійні cookie після успішного входу;
– обходити багатофакторну автентифікацію (MFA), оскільки подальші дії вони виконують уже від імені жертви в чинній автентифікованій сесії.
За оцінками Microsoft, у період пікової активності Tycoon2FA генерувала близько 30 млн фішингових листів щомісяця і була пов’язана приблизно з 62% усіх фішингових повідомлень, заблокованих захисними системами компанії. Це робить платформу одним з найпомітніших гравців на ринку фішингових послуг.
Нова хвиля атак Tycoon2FA: BEC‑схеми, SharePoint та ІІ‑контент
За даними CrowdStrike, тактири Tycoon2FA майже не змінилися після операції Європолу. Платформу активно застосовують для:
– компрометації хмарних облікових записів користувачів і адміністраторів;
– проведення BEC‑атак (Business Email Compromise) із захопленням службового листування та фінансових ланцюжків узгодження;
– перехоплення вже існуючих ланцюжків листів (thread hijacking);
– поширення шкідливих посилань через SharePoint та інші хмарні платформи спільної роботи.
У нових кампаніях оператори Tycoon2FA широко використовують:
– скорочувачі посилань, щоб приховати реальний домен фішингового лендингу;
– зловживання легітимними онлайн‑сервісами (платформи для презентацій, спільної роботи, хмарні сховища);
– скомпрометовані домени, що суттєво ускладнює фільтрацію за репутацією;
– генерацію фальшивих веб‑сторінок за допомогою ШІ, що підвищує правдоподібність фішингових сайтів та знижує шанси користувача помітити підробку.
Чому Tycoon2FA вистояла: обмеження інфраструктурних операцій
Фахівці CrowdStrike зазначають, що частина старої інфраструктури Tycoon2FA залишилася недоторканою й продовжувала функціонувати під час усієї операції. Паралельно оператори швидко зареєстрували нові домени та IP‑адреси, компенсуючи втрачені ресурси. У підсумку вилучення 330 доменів стало лише тимчасовим і частковим ударом по сервісу.
Ця ситуація демонструє ключову проблему протидії PhaaS‑платформам: без ідентифікації та арешту операторів, а також фізичного вилучення серверів злочинці можуть швидко відновити інфраструктуру. Автоматизована реєстрація доменів, розподілений хостинг і анонімні платіжні схеми зводять ефект навіть масштабних операцій до короткострокового зниження активності.
Для організацій ця історія — чітке нагадування: навіть гучні міжнародні операції не знімають відповідальності за власну кібергігієну. Критично важливо впроваджувати фішинг‑стійкі методи автентифікації (зокрема, апаратні ключі FIDO2), жорсткі політики доступу до хмарних сервісів, постійний моніторинг аномальної активності, а також системне навчання співробітників розпізнаванню фішингу й перевірці посилань перед переходом. Чим нижча успішність таких кампаній, як Tycoon2FA, тим менш привабливою стає бізнес‑модель фішинг‑платформ для кіберзлочинців.
