Coinbase, Microsoft, Europol зірвали роботу великої фішингової платформи, 330 доменів було заблоковано

Coinbase, Microsoft і Europol координують операцію, оскільки Tycoon 2FA щомісяця надсилає мільйони фішингових листів

Міжнародна координація між технологічними компаніями та правоохоронними органами розширюється для протидії кіберзлочинності. Криптобіржа Coinbase (Nasdaq: COIN) 4 березня повідомила, що співпрацювала з Microsoft, Europol та галузевими партнерами, щоб зірвати роботу Tycoon 2FA. В окремому повідомленні того ж дня Europol описав глобальну операцію, спрямовану проти фішингової платформи.

Coinbase заявила:

«Ми об’єдналися з Microsoft, Europol та іншими галузевими партнерами, щоб порушити роботу Tycoon 2FA (Tycoon) — платформи “фішинг як послуга”, яку використовували для викрадення облікових даних і обходу MFA шляхом перехоплення токенів сесії».

MFA, або багатофакторна автентифікація, — це метод безпеки, що вимагає від користувачів підтверджувати свою особу за допомогою двох або більше факторів, наприклад пароля в поєднанні з одноразовим кодом, підтвердженням в застосунку автентифікації або апаратним ключем безпеки. Європейський центр з кіберзлочинності Europol (EC3) координував міжнародні зусилля та сприяв обміну розвідданими через свою програму Cyber Intelligence Extension Programme, яка поєднує аналітиків приватного сектору та слідчих, що працюють над транскордонними справами про кіберзлочини.

Активний щонайменше з серпня 2023 року, Tycoon 2FA функціонував як інструментарій за підпискою, який дозволяв кіберзлочинцям перехоплювати активні сеанси автентифікації та обходити захист багатофакторної автентифікації. Слідчі з’ясували, що платформа генерувала десятки мільйонів фішингових листів щомісяця та забезпечувала несанкціонований доступ майже до 100 000 організацій у всьому світі, включно зі школами, лікарнями та державними установами.

Зазначивши, що «До середини 2025 року на Tycoon 2FA припадало приблизно 62% усіх спроб фішингу, заблокованих Microsoft», Europol повідомив:

«У межах зірвання роботи було виведено з ладу 330 доменів, що формували ядро інфраструктури злочинного сервісу, включно з фішинговими сторінками та панелями керування».

Технічне зірвання роботи здійснювали Microsoft і кілька партнерів із приватного сектору, тоді як правоохоронні органи Латвії, Литви, Португалії, Польщі, Іспанії та Сполученого Королівства провели вилучення та примусові заходи, скоординовані через Europol. Додаткові організації, що долучилися до розслідування, включали Cloudflare, Intel471, Proofpoint, Shadowserver Foundation, Spycloud і Trend Micro. Слідчі також відстежили потоки криптовалютних платежів, пов’язані з фінансуванням та інфраструктурою платформи.

Coinbase наголосила: «Такі зірвання роботи найкраще працюють, коли вони є сталими. Ми й надалі співпрацюватимемо з Microsoft, правоохоронними органами та галузевими колегами, щоб ідентифікувати операторів, підвищувати вартість запуску цих сервісів і допомагати запобігати використанню криптовалюти для фінансування кіберзлочинності».

FAQ 🧭

• Чому операція проти Tycoon 2FA важлива для інвесторів?
  Це сигналізує про посилення співпраці між технологічними компаніями, криптокомпаніями та правоохоронними органами для захисту цифрових платформ і зменшення ризиків кіберзлочинності.
• Як Tycoon 2FA обходив системи безпеки?
  Фішинговий інструментарій перехоплював активні сеанси входу та захоплював токени автентифікації, що дозволяло хакерам обходити багатофакторну автентифікацію.
• Яку роль Coinbase відіграв у розслідуванні?
  Coinbase співпрацювала з Microsoft, Europol та компаніями з кібербезпеки, щоб відстежувати інфраструктуру, аналізувати потоки криптоплатежів і порушити роботу фішингової мережі.
• Чому глобальна координація проти кіберзлочинності посилюється?
  Влади та технологічні компанії обмінюються розвідданими й ресурсами, щоб протидіяти складним кіберзлочинним операціям, які діють через кордони.