Nemzetközi hatóságok nagyszabású műveletben számolták fel a Tycoon 2FA nevű phishing-as-a-service (PhaaS) platformot, amely az elmúlt évek egyik legnagyobb digitális identitáslopási infrastruktúrája volt.
A műveletet a Europol koordinálta, és több nagy technológiai vállalat – köztük a Microsoft – is részt vett benne.
A hatóságok:
- több mint 300 domaint foglaltak le
- phishing weboldalakat kapcsoltak le
- támadói dashboardokat és backend rendszereket állítottak le
Ez ritka eset: nem egyetlen hacker csoportot, hanem egy teljes kiberbűnözési ökoszisztémát sikerült felszámolni.
Egy „iparosított” phishing rendszer
A Tycoon 2FA 2023 augusztusában jelent meg, és gyorsan az egyik legnépszerűbb phishing platform lett.
A rendszer előfizetéses szolgáltatásként működött.
Ez azt jelentette, hogy a bűnözők egyszerűen:
- fizettek az eszközökért
- generáltak phishing emaileket
- hamis bejelentkezési oldalakat hoztak létre
A modell neve:
phishing-as-a-service (PhaaS)
Ez a cybercrime egyik leggyorsabban növekvő formája.
A támadások elképesztő mérete
A platform működése során:
- havonta több tízmillió phishing emailt küldtek
- 500 000+ szervezetet céloztak meg
- közel 100 000 szervezetet kompromittáltak
Célpontok között voltak:
- kórházak
- iskolák
- állami intézmények
2025 közepére a Tycoon 2FA a Microsoft által blokkolt phishing támadások 62%-áért volt felelős.
Hogyan kerülte meg a kétfaktoros hitelesítést?
A platform egyik legveszélyesebb képessége az volt, hogy képes volt megkerülni a multi-factor authentication (MFA) védelmet.
A módszer neve:
AiTM – adversary-in-the-middle phishing
A támadás folyamata:
- a felhasználó phishing emailt kap
- egy hamis login oldalra kerül
- beírja a jelszót és MFA kódot
- a phishing proxy továbbítja az adatokat az igazi szolgáltatásnak
- a támadó megszerzi a session cookie-t
Ezután a támadó újra beléphet az MFA nélkül.
Ez rendkívül veszélyes.
A globális nyomozás
A platformot először a Trend Micro kutatói azonosították.
Az információkat továbbították az Europolnak, amely nemzetközi nyomozást indított.
A Microsoft kutatói egy különleges módszert alkalmaztak:
👉 beépültek a bűnözői platformba
A kutatók:
- ügyfélként regisztráltak
- elemezték az infrastruktúrát
- követték a kriptovaluta fizetéseket
A szolgáltatás fő kommunikációs csatornája a Telegram volt.
Nemzetközi rendőrségi akció
A műveletben több ország vett részt:
- Lettország
- Litvánia
- Portugália
- Lengyelország
- Spanyolország
- Egyesült Királyság
A művelet során:
- szervereket foglaltak le
- domaint infrastruktúrát kapcsoltak le
- phishing kampányokat állítottak le
Több technológiai partner is segítette a nyomozást, például:
- Cloudflare
- Coinbase
- Proofpoint
- Shadowserver Foundation
A „cybercrime-as-a-service” felemelkedése
A Tycoon 2FA egy nagyobb trend része:
cybercrime-as-a-service
Ezek a platformok ugyanúgy működnek, mint a legális SaaS szolgáltatások.
Bűnözők számára kínálnak:
- phishing eszközöket
- infrastruktúrát
- kampány automatizálást
- technikai támogatást
Ez lehetővé teszi, hogy kezdő hackerek is komoly támadásokat indítsanak.
A művelet nagy csapás – de nem a vég
Bár a platform leállítása jelentős siker, a szakértők szerint:
👉 hasonló szolgáltatások gyorsan újra megjelenhetnek.
A cybercrime infrastruktúra gyakran:
- decentralizált
- anonim fizetési rendszereket használ
- több országban működik
Emellett a Tycoon 2FA által ellopott:
- jelszavak
- session tokenek
továbbra is megjelenhetnek a dark web piactereken.
Következtetés
A Tycoon 2FA lebuktatása megmutatja:
- a modern kiberbűnözés ipari méreteit
- a phishing támadások automatizálását
- a nemzetközi együttműködés fontosságát
A művelet jelentős csapást mért a phishing infrastruktúrára, de a szakértők szerint a globális kiberbűnözés elleni harc még messze nem ért véget.
