Коалиция технологических компаний и правоохранительных органов, включая криптобиржу Coinbase, успешно ликвидировала ключевую инфраструктуру платформы Tycoon 2FA. Эта фишинг-платформа-как-услуга (PhaaS) позволяла злоумышленникам обходить двухфакторную аутентификацию (2FA) и была ответственна за десятки миллионов мошеннических писем, достигавших более 500 000 организаций ежемесячно по всему миру.
Операция, возглавляемая Microsoft и Europol при участии десяти других партнеров, привела к блокировке 330 активных доменов, которые поддерживали работу платформы и её панелей управления. Решение было принято по постановлению Окружного суда США Южного округа Нью-Йорка. С момента запуска в августе 2023 года сервис использовал более 24 000 доменов и насчитывал до 2000 пользователей.
Coinbase сыграла ключевую роль в финансовом расследовании, отследив криптоплатежи, которые финансировали деятельность Tycoon 2FA. Эта работа помогла идентифицировать предполагаемого основного разработчика — Саада Фриди, базирующегося в Пакистане. Как заявила биржа, усилия по преследованию лиц, покупавших и использовавших фишинговый сервис, совместно с правоохранительными органами продолжаются.
Инструментарий Tycoon включал поддельные целевые страницы для кражи учетных данных с легитимных сайтов, а также перехват сессионных cookie и токенов. Это позволяло злоумышленникам получать доступ к учетным записям жертв, не вызывая запросов на повторную аутентификацию. Основными целями кампаний были почтовые и онлайн-сервисы, особенно Microsoft 365, Outlook и Gmail.
«Это была не единичная фишинг-кампания. Это был индустриализированный сервис, созданный для того, чтобы сделать обход MFA доступным для тысяч преступников», — заявил Роберт МакАрдл, директор по исследованиям киберпреступности в TrendAI.
По данным Microsoft, к середине 2025 года на Tycoon приходилось 62% всех фишинговых попыток, которые блокировала компания, включая более 30 миллионов писем за один месяц. От атак пострадали организации из различных отраслей, включая здравоохранение и образование, что привело к перенаправлению платежей, краже конфиденциальных данных и сбоям в работе.
Контекст проблемы подчеркивается данными аналитиков. По информации Scam Sniffer, в 2025 году пользователи криптовалют потеряли из-за фишинга $83,85 млн, что на 83% меньше, чем $494 млн в 2024 году. Однако, как отмечает CertiK, фишинг оставался второй по величине угрозой в 2025 году, стоив инвесторам $722 млн в 248 инцидентах. Эксперты предупреждают, что модель «фишинг-как-услуга» значительно снижает порог входа для киберпреступников, что делает такие атаки более массовыми.
