Назад к блогу

Как закрыли одну из крупнейших платформ фишинга‑как‑услуги и что это значит для вашей организации

3 мин. чтения2 просмотровИИ-генерация

Как закрыли одну из крупнейших платформ фишинга‑как‑услуги и что это значит для вашей организации

В рамках совместной операции правоохранительных органов и компаний из сектора кибербезопасности была уничтожена платформа Tycoon 2FA. Этот сервис, известный как один из самых активных поставщиков Phishing‑as‑a‑Service (PhaaS), предлагал клиентам готовый набор инструментов стоимостью около 120 USD, позволяющих обходить многофакторную аутентификацию (MFA).

Что представляет собой Tycoon 2FA

  • Модель PhaaS – платформа предоставляла готовые фишинговые шаблоны, инфраструктуру рассылки и инструкции по эксплуатации, что позволяло даже небольшим группам злоумышленников быстро запускать кампании.
  • Фокус на MFA – основной товар был набор, позволяющий обойти вторую факторную проверку, что делало атаки более эффективными против современных систем защиты.
  • Глобальная распространённость – по оценкам аналитиков, Tycoon 2FA обслуживала злоумышленников по всему миру, что делало её одной из самых «продуктивных» в своей нише.

Почему это важно для управления внешней поверхностью атаки

  1. Увеличение риска компрометации учётных записей – даже при включённом MFA, фишинговые кампании, использующие готовый набор от Tycoon 2FA, могут заставить пользователя предоставить одноразовый код.
  2. Снижение барьера входа для киберпреступников – стоимость в $120 делает такие инструменты доступными даже для небольших групп, что приводит к росту количества целевых атак.
  3. Расширение внешней поверхности – фишинговые ссылки часто размещаются на поддельных сайтах, в соцсетях и мессенджерах, создавая новые точки входа, которые трудно обнаружить традиционными средствами мониторинга.

Практические выводы для команд безопасности

  • Усилите обучение пользователей

    • Регулярно проводите симуляции фишинговых атак, включая сценарии, где запрашивается MFA‑код.
    • Обучайте сотрудников распознавать признаки поддельных страниц входа (неправильный URL, отсутствие HTTPS, подозрительные запросы).

  • Внедрите многоуровневую проверку MFA

    • Используйте методы, не поддающиеся перехвату через фишинг, например, биометрические данные или аппаратные токены (U2F, FIDO2).
    • Ограничьте количество попыток ввода кода и внедрите «MFA fatigue»‑защиту, блокируя повторные запросы в короткие промежутки времени.

  • Мониторинг внешних активов

    • Включите в процесс управления внешней поверхностью сканирование доменов и поддоменных имён, связанных с вашими брендами, чтобы быстро обнаруживать поддельные ресурсы.
    • Настройте оповещения о появлении новых SSL‑сертификатов, выпущенных на похожие названия.

  • Интеграция с Threat Intelligence

    • Подпишитесь на источники, отслеживающие инфраструктуру PhaaS‑платформ, чтобы получать индикаторы компрометации (IP‑адреса, домены, хеши файлов).
    • Автоматически блокируйте известные вредоносные URL в веб‑фильтрах и прокси‑серверах.

  • Проверьте политику доступа

    • Применяйте принцип наименьших привилегий: ограничьте доступ к критическим системам только тем пользователям, которым действительно нужен такой уровень.
    • Внедрите условный доступ (Conditional Access), позволяющий требовать дополнительные проверки при входе из неизвестных локаций или устройств.

  • Обновляйте процесс реагирования

    • Включите в план реагирования сценарий компрометации MFA‑кодов: быстрый сброс токенов, блокировка сессий и уведомление пользователей.
    • Тестируйте сценарии восстановления доступа без риска повторного компрометирования.

Что делать прямо сейчас

  • Проверьте, какие типы MFA используются в вашей организации, и оцените их уязвимость к фишинговым атакам.
  • Запустите внутренний аудит внешних доменов и субдоменов, связанных с брендом, на предмет подделки.
  • Обновите обучающие материалы, добавив примеры реальных фишинговых писем, использующих наборы типа Tycoon 2FA.
  • Настройте автоматическое блокирование новых сертификатов, выпущенных на домены, схожие с вашими официальными.

Сокращение возможностей PhaaS‑платформ, таких как Tycoon 2FA, уменьшает количество «готовых» инструментов в арсенале киберпреступников, но не устраняет саму проблему фишинга. Постоянный контроль внешней поверхности, многоуровочная аутентификация и проактивное обучение сотрудников остаются ключевыми элементами защиты.

Действуйте: проведите ревизию MFA, обновите политику доступа и запустите мониторинг внешних активов уже в ближайшую неделю. Это поможет снизить вероятность успешного обхода многофакторной аутентификации и укрепит вашу внешнюю поверхность от новых фишинговых кампаний.

Поделиться:TelegramVK

Похожие статьи

Совместная операция Microsoft и Europol нейтрализовала платформу Tycoon 2FA для фишинга с обходом MFA

5 мар. 20262 мин. чтения2
mfaбезопасность идентичностиуправление поверхностью атакиeasmоценка рисков

Возобновление атак Tycoon2FA на облачные аккаунты после попытки ликвидации инфраструктуры

25 мар. 20262 мин. чтения1
управление поверхностью атакиeasmmfaбезопасность идентичностивредоносное по

Киберпреступная сеть из Вьетнама масштабирует подделку аккаунтов

10 мар. 20263 мин. чтения2
РазработаноMagma

Мы используем файлы cookie для обеспечения работоспособности сервиса и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с политикой конфиденциальности.