Международная коалиция правоохранительных органов и компаний из сферы кибербезопасности объявила о ликвидации Tycoon 2FA — одной из наиболее масштабных платформ phishing-as-a-service (PhaaS), специализировавшейся на Adversary-in-the-Middle (AitM) фишинге и обходе многофакторной аутентификации (MFA). Этот сервис позволял тысячам киберпреступников проводить атаки по краже учетных данных и сессионных cookie практически «под ключ».
Что такое Tycoon 2FA и как работал этот PhaaS-сервис
Tycoon 2FA появился в подпольных кругах в августе 2023 года и быстро превратился, по оценке Europol, в одну из крупнейших фишинговых операций в мире. Сервис развивался по подписочной модели: базовый доступ к набору фишинговых инструментов стоил около $120 за 10 дней, а использование полного веб‑панеля управления в течение месяца — примерно $350.
Веб‑панель Tycoon 2FA выступала центром управления кампаниями. Через нее злоумышленники могли:
- выбирать преднастроенные фишинговые шаблоны для популярных сервисов (Microsoft 365, OneDrive, Outlook, SharePoint, Gmail и др.);
- подключать файлы‑приманки и настраивать сценарии доставки (вложения, ссылки и т.п.);
- управлять доменами и хостингом, конфигурацией редиректов и логикой переходов жертвы;
- отслеживать успешные и неуспешные попытки входа жертв;
- выгружать похищенные логины, пароли, коды MFA и сессионные cookie либо получать их в режиме, близком к реальному времени, через Telegram.
Иными словами, Tycoon 2FA снимал технический барьер для атак: даже малоподготовленный злоумышленник получал готовый конструктор для сложных AitM‑фишинговых операций.
Масштаб атак Tycoon 2FA: десятки миллионов фишинговых писем в месяц
По данным Europol, платформа позволяла киберпреступникам скрытно получать доступ к почтовым и облачным сервисам, генерируя десятки миллионов фишинговых писем ежемесячно. В результате несанкционированный доступ был зафиксирован почти в 100 000 организаций по всему миру, включая школы, больницы и государственные учреждения.
В рамках координированной операции было отключено 330 доменов, обеспечивавших инфраструктуру сервиса: от фишинговых страниц до панелей администрирования.
По оценке Intel 471, Tycoon 2FA связан более чем с 64 000 фишинговых инцидентов и десятками тысяч доменов, используемых для рассылок и хостинга фишинговых страниц. Microsoft, отслеживающая операторов Tycoon 2FA под кодовым именем Storm‑1747, называет этот сервис самой активной фишинговой платформой, замеченной в 2025 году: только средствами Microsoft было заблокировано свыше 13 миллионов вредоносных писем, связанных с этой инфраструктурой.
Proofpoint отмечает, что Tycoon 2FA генерировал наибольший объем AitM‑фишинга среди известных инструментов: только в феврале 2026 года было зафиксировано более 3 миллионов сообщений, связанных с этим набором. По данным Trend Micro, у платформы было порядка 2 000 активных клиентов, проводивших кампании практически во всех отраслях — от образования и здравоохранения до финансового сектора и госструктур. Фишинговые письма, отправляемые через Tycoon 2FA, ежемесячно достигали более 500 000 организаций по всему миру.
Как Tycoon 2FA обходил MFA и удерживал доступ к учетным записям
Ключевой опасностью Tycoon 2FA был именно AitM‑подход к обходу многофакторной аутентификации. Платформа разворачивала прокси‑сервера, которые вставали «посередине» между пользователем и легитимным сервисом (например, Microsoft 365). Жертва видела привычную страницу входа, вводила логин, пароль и код MFA, но все данные проходили через инфраструктуру Tycoon 2FA.
В процессе аутентификации набор инструментов:
- одновременно перехватывал учетные данные и коды MFA;
- захватывал сессионные cookie и токены, выдаваемые настоящим сервисом после успешного входа;
- передавал корректные коды MFA на легитимный сервер, поэтому пользователь не замечал подмены.
Получив сессионные cookie, злоумышленник мог поддерживать доступ к аккаунту даже после смены пароля, пока активная сессия не будет принудительно завершена и токены не будут отозваны. Это превращало традиционные меры реагирования («срочно смените пароль») в недостаточные.
Для уклонения от обнаружения Tycoon 2FA применял целый набор антианалитических техник: мониторинг нажатий клавиш, фильтрацию ботов, browser fingerprinting, сильную обфускацию кода, собственные CAPTCHA, кастомный JavaScript и динамические «пустышки» страниц. Инфраструктура размещалась на Cloudflare и использовала широкий набор доменных зон и краткоживущие FQDN (часто всего 24–72 часа), что усложняло создание устойчивых блок‑листов.
ATO Jumping: использование уже взломанных аккаунтов для новых атак
Клиенты Tycoon 2FA активно применяли технику ATO Jumping (account takeover jumping). Скомпрометированный почтовый ящик использовался для дальнейшей рассылки URL‑адресов Tycoon 2FA новым целям. Письма выглядели так, будто приходят от реального, знакомого отправителя, что резко повышало доверие и вероятность перехода по ссылке.
Такие PhaaS‑платформы фактически демократизируют сложные фишинговые атаки: злоумышленнику не нужно уметь развертывать инфраструктуру AitM‑прокси, разрабатывать шаблоны страниц или писать код обхода защит. Все предоставляется как сервис, что расширяет круг потенциальных атакующих и увеличивает давление на организации всех размеров.
Статистика атак и практические выводы для защиты
По данным Proofpoint, в 2025 году 99% организаций столкнулись с попытками захвата учетных записей, причем у 67% минимум один такой захват оказался успешным. Показательно, что в 59% скомпрометированных аккаунтов MFA была включена. Хотя не все эти инциденты связаны напрямую с Tycoon 2FA, статистика иллюстрирует эффективность AitM‑фишинга и то, что простое внедрение двухфакторной аутентификации уже не является гарантией безопасности.
Полный захват учетной записи (account takeover) часто становится началом более серьезных инцидентов: от внедрения ransomware до утечек критически важной информации и финансовых потерь. В современных цепочках атак идентичность пользователя и его почтовый ящик — один из ключевых входных векторов.
Организациям имеет смысл скорректировать стратегии защиты, учитывая уроки Tycoon 2FA:
- внедрять устойчивую к фишингу MFA (FIDO2‑ключи, парольные ключи/passkeys, смарт‑карты) вместо кодов по SMS и одноразовых паролей;
- жестко управлять жизненным циклом сессий: при инциденте не только менять пароли, но и отзывать все активные токены и завершать сессии;
- использовать политики условного доступа и анализ риска входа (аномальные IP, геолокация, устройство);
- развертывать современные email‑шлюзы и системы защиты от фишинга с учетом AitM‑сценариев;
- тщательно обучать сотрудников распознаванию фишинга, в том числе писем «от знакомых контактов» и ссылок на подозрительные домены;
- повысить уровень мониторинга и реагирования на подозрительные действия в учетных записях (массовые рассылки, необычные операции с файлами, изменение настроек MFA).
История с Tycoon 2FA показывает, что киберпреступники быстро адаптируются и превращают сложные техники обхода MFA в массовый сервис. Организациям важно не останавливаться на базовом внедрении многофакторной аутентификации, а выстраивать комплексную стратегию защиты идентичности и почты, обновлять модели угроз и тесно сотрудничать с поставщиками облачных и почтовых сервисов. Чем раньше компании начнут переход к устойчивой к фишингу аутентификации и продвинутому мониторингу сессий, тем меньше шансов, что следующий «Tycoon 2FA» станет для них критическим инцидентом.
