欧洲刑警组织牵头行动摧毁 Tycoon 2FA 钓鱼即服务平台
HackerNews 编译,转载请注明出处: Tycoon 2FA 是一款知名的钓鱼即服务(PhaaS)工具集,它允许网络犯罪分子大规模实施中间人(AitM)式凭证窃取攻击。如今,该平台已被多国执法机构与安全公司组成的联合行动小组摧毁。 这款基于订阅模式的钓鱼工具套件最早于 2023 年 8 月出现,欧洲刑警组织将其描述为全球规模最大的钓鱼犯罪活动之一。该工具通过 Telegram 和 Signal 出售,起步价为 10 天使用权 120 美元,或一个月网页版管理面板访问权限 350 美元。据称,Tycoon 2FA 的主要开发者是居住在巴基斯坦的萨阿德・弗里迪(Saad Fridi)。 该管理面板是配置、追踪和优化钓鱼活动的核心中枢。它内置预制模板、常用诱饵格式的附件文件、域名与托管配置、重定向逻辑以及受害者追踪功能。操作者还可以配置恶意内容通过附件进行分发的方式,并监控有效与无效的登录尝试。 窃取到的信息包括账号凭证、多因素认证(MFA)验证码和会话 Cookie 等,这些信息既可以在面板内直接下载,也可以转发到 Telegram 中进行近乎实时的监控。 欧洲刑警组织表示:“该平台使数千名网络犯罪分子能够秘密访问电子邮件和云服务账户。在大规模运作下,该平台每月生成数千万封钓鱼邮件,并协助攻击者未经授权访问全球近 10 万家机构,其中包括学校、医院和公共机构。” 作为此次联合行动的一部分,支撑该犯罪服务的 330 个核心域名(包括钓鱼页面和控制面板)已被关停。 情报机构 Intel 471 将 Tycoon 2FA 定性为 “危险” 平台,并表示该工具套件与超过 64,000 起钓鱼事件及数万个域名相关联,每月产生数千万封钓鱼邮件。微软公司正在以代号 Storm-1747 追踪该服务的运营者,微软称,Tycoon 2FA 成为其在 2025 年观测到的最活跃攻击平台,并促使其在 2025 年 10 月拦截了超过 1300 万封与该恶意软件服务相关的恶意邮件。 截至 2025 年年中,Tycoon 2FA 占到了微软拦截的所有钓鱼攻击尝试的约 62%,其中单月邮件量就超过 3000 万封。这家科技巨头补充称,自 2023 年以来,该服务已在全球造成约 96,000 名 distinct 钓鱼受害者,其中包括超过 55,000 名微软客户。 网络安全公司 SpyCloud 对受害者日志数据的地理分析显示,美国是已确认受害者最集中的地区(179,264 人),其次是英国(16,901 人)、加拿大(15,272 人)、印度(7,832 人)和法国(6,823 人)。 这家网络安全公司表示:“绝大多数被攻击的账户都是企业管理账户,或与付费域名相关联,这进一步证实了一个结论:Tycoon 2FA 主要针对商业环境,而非个人消费者账户。” 网络安全公司 Proofpoint 的数据显示,Tycoon 2FA 是流量规模最大的中间人钓鱼威胁来源。这家电子邮件安全厂商称,仅在 2026 年 2 月,它就监测到超过 300 万条与该钓鱼工具相关的消息。作为此次行动的私营部门合作伙伴之一,趋势科技(Trend Micro)指出,该钓鱼即服务平台拥有约 2000 名使用者。 利用 Tycoon 2FA 发起的钓鱼活动几乎不加区分地针对所有行业,包括教育、医疗、金融、非营利组织和政府部门。通过该工具发送的钓鱼邮件每月覆盖全球超过 50 万家机构。 微软表示:“Tycoon 2FA 平台使威胁行为人能够模仿微软 365、OneDrive、Outlook、SharePoint 和 Gmail 等服务的登录页面,从而冒充可信品牌。” “它还允许使用该服务的威胁行为人实现持久化控制,即使用户重置了密码,也能继续访问敏感信息,除非活跃会话和令牌被显式吊销。这种效果的实现原理是,在身份认证过程中拦截生成的会话 Cookie,同时捕获用户凭证。随后,多因素认证验证码会通过 Tycoon 2FA 的代理服务器中转到目标认证服务。” 该工具套件还采用了多种技术来规避检测,包括按键记录监控、反机器人筛选、浏览器指纹识别、高强度代码混淆、自建验证码、自定义 JavaScript 以及动态诱饵页面等。另一个关键特点是,它大量使用各类顶级域名(TLD)和短期有效完全限定域名(FQDN),并依托 Cloudflare 搭建钓鱼基础设施。 这些完全限定域名通常仅存活 24 到 72 小时,这种快速轮换是故意为之,目的是增加检测难度,并阻止安全机构建立可靠的拦截黑名单。微软还将 Tycoon 2FA 的成功归因于其高度模仿合法认证流程,从而隐秘拦截用户凭证和会话令牌。 更糟糕的是,Tycoon 2FA 的客户还使用一种名为 “账户接管跳跃”(ATO Jumping)的技术,即利用已攻陷的电子邮件账户分发 Tycoon 2FA 钓鱼链接,并尝试发起更多账户接管攻击。Proofpoint 指出:“使用这种技术能让邮件看起来像是真正来自受害者信任的联系人,从而提高攻击成功的可能性。” 像 Tycoon 这样的钓鱼工具套件在设计上具备高度灵活性,既能让技术能力不强的攻击者轻松使用,同时也能为更有经验的操作者提供高级功能。 Proofpoint 高级威胁研究员赛琳娜・拉尔森(Selena Larson)在向《黑客新闻》提供的声明中表示:“2025 年,99% 的机构遭遇了账户接管攻击尝试,67% 的机构发生了成功的账户接管事件。在这些被攻陷的账户中,59% 已经启用了多因素认证。虽然并非所有这些攻击都与 Tycoon 2FA 有关,但这一数据凸显了中间人钓鱼对企业造成的巨大影响。” “这些能够实现完全账户接管的网络攻击可能导致灾难性后果,包括勒索软件感染或敏感数据泄露。随着威胁行为人持续将身份攻击作为重点,获取企业电子邮件账户的访问权限,往往是一条可能带来毁灭性后果的攻击链的第一步。” 消息来源:thehackernews.com; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
欧洲刑警组织缉获 2 万个兜售假冒奢侈品与毒品的非法网站
据外媒 11 月 28 日报道,在打击网络盗版的大规模行动中,欧洲警方于近期查获了约 20500 个用于兜售假冒商品的非法网站,其中主要在线出售包括设计师手表、化妆品、服装、儿童玩具和汽车零部件等奢侈商品,甚至有时还会包括毒品。 据悉,这一调查结果由 IOS 发布。IOS 是欧洲刑警组织知识产权犯罪协调联盟(IPC³)的领头,结合了 27 家欧盟成员国的专业知识进行全球性行动。欧洲刑警组织表示,该行动在过去一段时间内共检获 7776 个网站,而今年的行动中增至 20520 个。 欧洲刑警发表声明,宣称其调查结果充分地显示了执法机关和私营部门之间合作关系,以及消费者更安全使用互联网的重要程度。但由于造假网站变得愈加复杂,犯罪分子将会从网络获取更多匿名信息进行出售。此外,移动应用程序商店也是攻击者作为假冒网站的理想工具,因为用户不会质疑由官方应用程序商店下载的应用程序。 国家知识产权中心代理主任尼克·安南表示,他们会优先处理侵权网站、以及向消费者出售造假货物和从事其他形式的知识产权盗窃行为,并且还将加强与世界各地警方的合作,以便严厉打击知识产权犯罪行为。 消息来源:ibtimes.co.uk,编译:榆榆 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。