Рига: +6.1°С
Глобальный удар по киберпреступности: что известно об операции
Правоохранительные органы Латвии, действуя в координации с Европолом и при поддержке частного сектора, провели успешную операцию по демонтажу глобальной фишинговой платформы Tycoon2FA. Эта преступная инфраструктура, работавшая по модели Phishing-as-a-Service (PhaaS), нанесла ущерб латвийским компаниям на сотни тысяч евро, хотя общий ущерб по всему миру исчисляется гораздо большими суммами.
В рамках скоординированных действий, включавших юрисдикции Латвии, Литвы, Португалии, Польши, Испании и Великобритании, удалось отключить 330 доменов, составлявших ядро преступной сети. Техническое отключение выполнила компания Microsoft при содействии коалиции партнеров из индустрии кибербезопасности.
Как работал Tycoon2FA: обход многофакторной аутентификации
Платформа Tycoon2FA, появившаяся на горизонте киберугроз не позднее августа 2023 года, получила широкое распространение благодаря своей ключевой функции: она позволяла злоумышленникам обходить защиту многофакторной аутентификации (MFA). Метод, который использовала сеть, называется Adversary-in-the-Middle (AitM), или «атака посредника».
Принцип действия был следующим: жертве отправлялось фишинговое сообщение, содержащее ссылку на поддельную страницу входа, которая в точности имитировала легитимные порталы, в основном Microsoft 365 и Gmail. Когда пользователь вводил логин, пароль и даже одноразовый код MFA, Tycoon2FA перехватывал эти данные и сессионные файлы cookie в реальном времени. Перехватив куки, преступники могли получить несанкционированный доступ к аккаунту позднее, минуя повторный запрос кода MFA, поскольку сессия уже считалась аутентифицированной.
Эксперты отмечают, что такой подход значительно снижал порог входа для менее квалифицированных киберпреступников, поскольку им не нужно было самостоятельно разрабатывать сложный фишинговый инструментарий.
Масштаб угрозы и роль латвийских структур
По данным правоохранительных органов, Tycoon2FA активно использовалась для атак на организации по всему миру, включая государственные учреждения, образовательные и медицинские учреждения. К середине 2025 года, по некоторым оценкам, инфраструктура этой платформы стояла за 60% всех блокируемых Microsoft фишинговых попыток, достигая более 500 000 организаций.
Управление по борьбе с киберпреступностью Государственной полиции Латвии (УББК) сыграло ключевую роль в совместных действиях, осуществляя захват инфраструктуры и другие оперативные мероприятия на своей территории. Хотя в контексте данной новости основной акцент сделан на ущербе, нанесенном латвийскому бизнесу, успех операции является важным вкладом в общую европейскую и мировую борьбу с киберпреступностью.
Правоохранительные органы Латвии, Европол и частные партнеры объединили усилия для пресечения деятельности платформы, которая использовала высокотехнологичные методы для обхода базовых мер безопасности. Это пример успешного международного сотрудничества в цифровой сфере.
Техническое отключение и будущее борьбы с PhaaS
Разрушение сети включало не только физический (в рамках возможного) захват серверов, но и техническое отключение 330 связанных доменов. Эта мера лишила злоумышленников возможности использовать как страницы для фишинга, так и панели управления для администрирования вредоносных кампаний. В разработке и координации действий, помимо Европола, участвовали такие крупные игроки, как Trend Micro (предоставившая первоначальную разведданные), Cloudflare, Coinbase и другие.
Хотя ликвидация Tycoon2FA стала серьезным ударом, эксперты предупреждают, что подобные платформы постоянно эволюционируют. Модель Phishing-as-a-Service доказала свою экономическую эффективность для киберпреступников, поэтому следует ожидать появления новых, еще более изощренных инструментов, нацеленных на компрометацию учетных записей и кражу цифровых активов.
Следите за новостями на других платформах: