Рига: +1.2°С
Глобальная киберпреступность под ударом: ликвидация Tycoon2FA
Управление по борьбе с киберпреступностью Государственной полиции Латвии в среду, 5 марта, совместно с Европолом, а также правоохранительными органами ряда других государств и партнерами из частного сектора, провело операцию, которая привела к деактивации глобальной фишинговой платформы «Tycoon2FA». Эта преступная инфраструктура, действовавшая в качестве сервиса «фишинг как услуга» (PhaaS), была основана на 330 доменах, которые теперь выведены из строя.
Действия правоохранителей стали результатом продолжительного расследования. В Латвии уголовный процесс по факту мошенничества в крупном размере, связанного с этой схемой, был начат Госполицией еще в 2024 году. В рамках этого дела был установлен ущерб латвийским предприятиям, превышающий 317 600 евро. Следователи продолжают работать над выявлением других потенциально пострадавших компаний.
Как работала платформа-посредник
Платформа «Tycoon2FA» функционировала как минимум с августа 2023 года и представляла собой один из крупнейших мировых инструментов для киберпреступников. Ее основная функция заключалась в обходе механизмов многофакторной аутентификации (MFA), что позволяло злоумышленникам получать несанкционированный доступ к корпоративным аккаунтам электронной почты и облачным сервисам.
Преступники, используя этот сервис, внедрялись в деловую переписку компаний. В критический момент они подменяли реквизиты в счетах на поддельные или вовсе заменяли оригинальные платежные документы, перенаправляя крупные суммы на свои счета. Платформа использовала технологию adversary-in-the-middle (AitM), перехватывая в реальном времени не только логины и пароли, но и сессионные файлы cookie, что давало им доступ даже после смены жертвой пароля.
Масштабы и международное сотрудничество
Масштаб деятельности «Tycoon2FA» был поразителен: ежемесячно через нее рассылались десятки миллионов фишинговых электронных писем. По оценкам экспертов, это позволило злоумышленникам скомпрометировать доступ почти к 100 000 организаций по всему миру. Среди жертв фигурировали школы, больницы и государственные учреждения.
Техническое отключение инфраструктуры координировал Европол. Кроме латвийских правоохранителей, в ликвидации участвовали коллеги из Испании, Португалии, Польши и Великобритании. Ключевую роль в техническом анализе сыграла компания Microsoft, при поддержке целого ряда партнеров из частного сектора, включая Cloudflare, Coinbase и другие. Расследование было инициировано после обмена разведывательной информацией от компании Trend Micro.
Цена вопроса и доступность для криминала
«Tycoon2FA» работала по модели подписки, что значительно снижало порог входа для менее квалифицированных мошенников. Инструментарий продавался через мессенджеры, такие как Telegram, по цене от 120 долларов за десятидневный доступ. По данным аналитиков, к середине 2025 года на эту платформу приходилось около 62% всех попыток фишинга, заблокированных Microsoft.
Специалисты отмечают, что платформа использовала изощренные методы маскировки, включая собственные системы CAPTCHA и механизмы противодействия отладке, что делало обнаружение ее активности крайне сложной задачей для систем безопасности. Ликвидация этого крупного узла является значительным успехом в борьбе с транснациональной киберпреступностью.
Следите за новостями на других платформах: