Novinky

  2. Titulní stránka
  3. Novinky
  4. Tycoon2FA se vrátil: PhaaS platforma se zotavila z policejní likvidace za méně než měsíc
Tycoon2FA se vrátil: PhaaS platforma se zotavila z policejní likvidace za méně než měsíc

Tycoon2FA se vrátil: PhaaS platforma se zotavila z policejní likvidace za méně než měsíc

Novinky Date: Zobrazení: 4

Tycoon2FA se vrátil: PhaaS platforma se zotavila z policejní likvidace za méně než měsíc

Méně než čtyři týdny po rozsáhlé policejní operaci Europolu a partnerů je phishingová platforma Tycoon2FA opět v plném provozu. Případ jasně ukazuje, jak omezený dopad mají jednorázové zásahy proti odolným PhaaS službám.

Tycoon2FA je předplatitelná phishing-as-a-service (PhaaS) platforma, která od roku 2023 umožňuje kyberzločincům obcházet vícefaktorové ověřování (MFA) pomocí techniky adversary-in-the-middle (AiTM). Útočníci přes ni zachytávají živé přihlašovací relace, credentials, OTP kódy i session cookies a okamžitě je zneužívají k převzetí účtů – především v prostředí Microsoft 365.

Na vrcholu aktivity v roce 2025 platforma generovala až 62 % všech phishingových pokusů blokovaných Microsoftem a desítky milionů škodlivých e-mailů měsíčně.

4. března 2026 provedl Europol ve spolupráci s Microsoftem, Cloudflare, Trend Micro a dalšími partnery koordinovanou likvidaci. Zabavili 330 domén tvořících jádro infrastruktury. V prvních dnech klesl objem kampaní na přibližně 25 % předchozí úrovně.

Image

Obnova byla ale extrémně rychlá. Podle analytiků CrowdStrike se platforma vrátila na původní úroveň ještě před koncem března 2026. Operátoři využili částečně nedotčenou infrastrukturu, rychle registrovali nové domény a IP adresy (převážně IPv6) a pokračovali ve stejných technikách – včetně generativní AI pro tvorbu phishingových stránek, BEC útoků a kompromitace cloudových účtů.

Hlavní ponaučení

Případ Tycoon2FA opět ukazuje, že moderní PhaaS platformy jsou navrženy tak, aby přežily i velké zásahy. Nemají jediný centrální bod selhání a jejich zákazníci mohou rychle přejít jinam nebo vyčkat na obnovu.

Doporučení pro organizace:

  • Přejděte na phishing-rezistentní MFA (FIDO2/WebAuthn hardwarové klíče nebo certifikátové ověřování).
  • Implementujte detekci anomálií při přihlašování a monitorování session.
  • Aplikovat princip nejmenšího oprávnění na cloudové účty.

Standardní TOTP nebo SMS už proti těmto útokům nestačí.

Zdroj

BleepingComputer

CrowdStrike Blog

Europol

Kontakt

Další články

NovinkyZet

Soudní dvůr EU ve věci C-526/24 Brillen Rottler poprvé výslovně potvrdil, že právo na přístup podle čl. 15 GDPR není absolutní. I jediná, první žádost může být odmítnuta, pokud správce prokáže, že jej
Premium novinkyZet

CISA přidala 30. března 2026 do katalogu aktivně zneužívaných zranitelností CVE-2026-3055 – out-of-bounds read v Citrix NetScaler ADC a NetScaler Gateway, která umožňuje neoprávněné čtení dat z paměti
NovinkyZet

Méně než čtyři týdny po rozsáhlé policejní operaci Europolu a partnerů je phishingová platforma Tycoon2FA opět v plném provozu.