Tycoon2FA se brzo oporavio posle policijskog gašenja infrastrukture
BleepingComputer piše da se Tycoon2FA phishing-as-a-service platforma vratila na raniji nivo aktivnosti samo nekoliko dana nakon međunarodne akcije gašenja 4. marta. Iako je u operaciji, koju je tehnički predvodio Microsoft, zaplenjeno 330 domena povezanih sa kontrolnim panelima i phishing stranicama, CrowdStrike navodi da je pad aktivnosti bio kratkotrajan i da se obim kampanja brzo vratio na nivo s početka 2026. Tycoon2FA je poznat po AiTM mehanizmima za krađu Microsoft 365 i Gmail naloga uz zaobilaženje 2FA zaštite, a i posle akcije nastavio je da podržava BEC prevare, preuzimanje cloud naloga, otmicu email niti i zloupotrebu SharePoint linkova.
Ovo je važna vest zato što pokazuje ograničenja infrastrukturnih takedown akcija kada iza njih ne stoje hapšenja i fizičko oduzimanje kapaciteta. Ako potražnja ostane ista, a operateri ostanu netaknuti, phishing servis može veoma brzo da registruje nove domene, vrati stare taktike i nastavi poslovanje gotovo bez promene. Za odbranu to znači da se uspeh ne meri samo time koliko je domena ugašeno, već koliko je trajno poremećen operativni model napadača.
- Ne tumačiti gašenje phishing infrastrukture kao trajno rešavanje problema, već očekivati brz povratak kampanja pod novim domenima i IP adresama
- Pojačati zaštitu Microsoft 365 i Gmail naloga od AiTM phishing napada, uključujući nadzor nad sumnjivim sesijama i krađom kolačića
- Pratiti post-kompromitacione radnje kao što su pravljenje inbox pravila, skrivenih foldera i priprema za BEC prevare
- Ne oslanjati se samo na blokiranje poznatih phishing domena, već i na detekciju obrazaca preusmeravanja, zloupotrebe legitimnih servisa i kompromitovanih domena
- Korisnike redovno podsećati da i legitimne platforme, skraćivači linkova i poznati servisi mogu biti deo phishing lanca