Globalna akcja likwiduje Tycoon 2FA — platformę phishingową, która omijała uwierzytelnianie wieloskładnikowe i napędzała masowe cyberataki — gdy Coinbase, Microsoft i Europol koordynują szeroko zakrojone działania mające zakłócić infrastrukturę stojącą za powszechną kradzieżą danych logowania.
Coinbase, Microsoft i Europol zakłócają działanie głównej platformy phishingowej, przejęto 330 domen
NAPISAŁ
UDOSTĘPNIJ
Coinbase, Microsoft i Europol koordynują działania, gdy Tycoon 2FA wysyła co miesiąc miliony e-maili phishingowych
Międzynarodowa koordynacja między firmami technologicznymi a organami ścigania rozszerza się, aby przeciwdziałać cyberprzestępczości. Giełda kryptowalut Coinbase (Nasdaq: COIN) poinformowała 4 marca, że współpracowała z Microsoftem, Europolem i partnerami branżowymi w celu zakłócenia działania Tycoon 2FA. W oddzielnym komunikacie tego samego dnia Europol opisał globalną operację wymierzoną w tę platformę phishingową.
Coinbase oświadczył:
„Nawiązaliśmy współpracę z Microsoftem, Europolem i innymi partnerami branżowymi, aby zakłócić działanie Tycoon 2FA (Tycoon), platformy phishing-as-a-service wykorzystywanej do kradzieży danych uwierzytelniających i omijania MFA poprzez przechwytywanie tokenów sesji.”
MFA, czyli uwierzytelnianie wieloskładnikowe, to metoda bezpieczeństwa wymagająca od użytkowników potwierdzenia tożsamości za pomocą dwóch lub więcej czynników, takich jak hasło połączone z jednorazowym kodem, zatwierdzenie w aplikacji uwierzytelniającej lub sprzętowy klucz bezpieczeństwa. Europejskie Centrum ds. Cyberprzestępczości Europolu (EC3) koordynowało międzynarodowe działania i ułatwiało wymianę informacji wywiadowczych poprzez swój Cyber Intelligence Extension Programme, który łączy analityków sektora prywatnego i śledczych pracujących nad transgranicznymi sprawami cyberprzestępczości.
Aktywny co najmniej od sierpnia 2023 r. Tycoon 2FA działał jako subskrypcyjny zestaw narzędzi umożliwiający cyberprzestępcom przechwytywanie aktywnych sesji uwierzytelniania i omijanie zabezpieczeń uwierzytelniania wieloskładnikowego. Śledczy ustalili, że platforma generowała dziesiątki milionów wiadomości phishingowych miesięcznie i umożliwiała nieautoryzowany dostęp do niemal 100 000 organizacji na całym świecie, w tym szkół, szpitali i instytucji publicznych.
Zauważając, że „do połowy 2025 r. Tycoon 2FA odpowiadał za około 62% wszystkich prób phishingu blokowanych przez Microsoft”, Europol podał:
„W ramach zakłócenia działania zlikwidowano 330 domen tworzących rdzeń infrastruktury tej przestępczej usługi, w tym strony phishingowe i panele kontrolne.”
Zakłócenie od strony technicznej obejmowało Microsoft oraz kilku partnerów z sektora prywatnego, podczas gdy organy ścigania w Łotwie, na Litwie, w Portugalii, w Polsce, w Hiszpanii oraz w Wielkiej Brytanii przeprowadziły zajęcia i działania egzekucyjne skoordynowane przez Europol. Dodatkowymi organizacjami wspierającymi dochodzenie były Cloudflare, Intel471, Proofpoint, Shadowserver Foundation, Spycloud oraz Trend Micro. Śledczy prześledzili również przepływy płatności w kryptowalutach powiązane z finansowaniem i infrastrukturą platformy.
Coinbase podkreślił: „Takie zakłócanie działa najlepiej, gdy jest długotrwałe. Będziemy nadal współpracować z Microsoftem, organami ścigania i partnerami z branży, aby identyfikować operatorów, podnosić koszty prowadzenia tych usług i pomagać zapobiegać wykorzystywaniu kryptowalut do finansowania cyberprzestępczości.”
FAQ 🧭
- Dlaczego rozprawa z Tycoon 2FA ma znaczenie dla inwestorów?
Sygnalizuje silniejszą współpracę między firmami technologicznymi, spółkami kryptowalutowymi i organami ścigania w celu ochrony platform cyfrowych i ograniczania ryzyk związanych z cyberprzestępczością. - W jaki sposób Tycoon 2FA omijał systemy bezpieczeństwa?
Zestaw narzędzi phishingowych przechwytywał aktywne sesje logowania i przejmował tokeny uwierzytelniające, umożliwiając hakerom obejście uwierzytelniania wieloskładnikowego. - Jaką rolę odegrał Coinbase w dochodzeniu?
Coinbase współpracował z Microsoftem, Europolem i firmami z branży bezpieczeństwa, aby śledzić infrastrukturę, analizować przepływy płatności w kryptowalutach i zakłócić działanie sieci phishingowej. - Dlaczego globalna koordynacja przeciwko cyberprzestępczości rośnie?
Władze i firmy technologiczne dzielą się informacjami wywiadowczymi oraz zasobami, aby zwalczać zaawansowane operacje cyberprzestępcze działające ponad granicami.
