На днях в результате международной операции была демонтирована инфраструктура Tycoon 2FA, одной из крупнейших фишинговых платформ последних лет. Это был не просто набор фишинговых страниц, а полноценный phishing-as-a-service – готовая инфраструктура, панели управления, шаблоны под Microsoft 365 и Google Workspace, подписка для злоумышленников. Заплатил – и можешь запускать фишинговую кампанию, даже без особых технических навыков.
Главная опасность сервиса была в том, что он работал по схеме adversary-in-the-middle. Жертва вводила логин, пароль и код двухфакторной аутентификации, а система в реальном времени перехватывала всё это и получала сессионные токены. В итоге злоумышленники могли входить в аккаунт даже после смены пароля, MFA фактически обходился.
Масштаб впечатляет: тысячи доменов в инфраструктуре, десятки миллионов фишинговых писем, десятки тысяч скомпрометированных аккаунтов по всему миру. Основная цель – корпоративные учётные записи, потому что один взломанный почтовый ящик часто открывает дверь в половину компании.
В операции участвовали Microsoft, Europol, Cloudflare, Trend Micro и ещё ряд компаний. Было изъято около 330 доменов, на которых работали панели управления и фишинговые страницы.
Фишинг превратился в индустрию с маркетингом, поддержкой, партнёрами по рассылкам и инфраструктуре – почти как обычный IT-бизнес. Закрытие одной платформы – это удар по экосистеме, но на её месте почти всегда появляются новые.
Поэтому главный вывод всё тот же: бороться нужно не только с доменами и инструментами, а с самой уязвимой точкой – человеческим фактором, на котором держится вся экономика фишинга.