Europol i partnerzy rozbijają Tycoon 2FA: cios w phishing-as-a-service omijający MFA

Wprowadzenie do problemu / definicja luki

Tycoon 2FA to przykład „uprzemysłowionego” phishingu w modelu phishing-as-a-service (PhaaS): zamiast pojedynczych kampanii tworzonych przez jedną grupę, mamy gotowy zestaw narzędzi sprzedawany w abonamencie, który pozwala choćby mniej zaawansowanym przestępcom prowadzić skuteczne przejęcia kont. Kluczowym elementem Tycoon 2FA były ataki adversary-in-the-middle (AiTM) – pośredniczenie w logowaniu w czasie rzeczywistym, aby przechwycić sesyjne cookies/tokens, a tym samym obejść klasyczne MFA.

W pierwszych dniach marca 2026 r. ogłoszono skoordynowaną operację (publiczno-prywatną), która doprowadziła do wyłączenia kluczowej infrastruktury Tycoon 2FA, w tym przejęcia setek domen wykorzystywanych do paneli administracyjnych i stron phishingowych.

W skrócie

• Co się stało: międzynarodowa koalicja (z udziałem Europolu oraz firm z sektora bezpieczeństwa) rozbiła infrastrukturę Tycoon 2FA.
• Skala: Tycoon 2FA łączono z dziesiątkami milionów wiadomości phishingowych miesięcznie i kampaniami docierającymi do ponad 500 tys. organizacji miesięcznie.
• Infrastruktura: w ramach działań przejęto/wyłączono 330 domen będących „kręgosłupem” operacji.
• Polski wątek: CBZC podało, iż dzięki współpracy m.in. z NASK i CERT Polska zablokowano 120 polskich domen powiązanych z kampanią Tycoon 2FA.

Kontekst / historia / powiązania

Tycoon 2FA miał być obecny co najmniej od sierpnia 2023 r. i gwałtownie stał się jednym z najgłośniejszych zestawów PhaaS do ataków AiTM. Model „subskrypcyjny” obejmował panel do konfiguracji kampanii, szablony stron logowania oraz integracje (np. z komunikatorami) do szybkiego podglądu przechwyconych danych.

W tle widać szerszy trend: usługowe „fabryki” phishingu przejmują rynek, bo obniżają barierę wejścia – kupujesz dostęp, uruchamiasz kampanię i dostajesz dane do przejęć kont. To kolejny etap po „zwykłym” phishingu na hasło: tutaj celem są tokeny sesyjne i „legalnie wyglądające” logowanie 1:1 z prawdziwym flow usług chmurowych.

Analiza techniczna / szczegóły luki

1) AiTM i kradzież sesji: dlaczego „MFA nie wystarcza”

Tycoon 2FA działał jako transparentny reverse proxy pomiędzy ofiarą a prawdziwą usługą (np. Microsoft 365 lub Gmail). Ofiara wpisywała login/hasło na podrobionej stronie, a zestaw AiTM natychmiast przekaźnikował dane do prawdziwego serwisu, wyświetlając następnie realne wyzwanie MFA – po czym przechwytywał session cookie/token. Efekt: napastnik z tokenem może wejść do konta bez ponownego przechodzenia MFA, często choćby po zmianie hasła, jeżeli sesje nie zostaną unieważnione.

2) „Ekosystem domen” i krótkożyjące FQDN-y

Microsoft opisał przejście od statycznych domen do szybko rotującego ekosystemu FQDN, często żyjącego 24–72 godziny, z dużą mieszanką TLD (np. tanie generyczne końcówki) i masową produkcją subdomen pod pojedyncze kampanie. To utrudnia budowanie skutecznych blocklist i obronę reputacyjną.

3) Ewakuacja przed analizą: przekierowania, obfuskacja, anty-bot

Microsoft wskazuje na zestaw technik utrudniających detekcję i analizę: obfuskację JS/HTML, dynamiczne generowanie treści, filtry geolokalizacji, profilowanie user-agent, wykrywanie narzędzi automatyzacji/inspekcji oraz decoy/benign redirect przy „podejrzanym” wejściu.

4) Nadużycia legalnej infrastruktury (Cloudflare Workers)

Cloudflare opisał przypadki wykorzystywania Cloudflare Workers do hostowania logiki przekierowań i ukrywania złośliwej części łańcucha (np. odsyłanie badaczy do stron „benign” typu Amazon), podczas gdy adekwatny ruch ofiar prowadził do kradzieży tokenów. W marcu 2026 r. Cloudflare przeprowadził techniczny takedown projektów Workers powiązanych z zestawem (w koordynacji z działaniami prawnymi partnerów).

Praktyczne konsekwencje / ryzyko

1. Przejęcie kont M365/Google Workspace to zwykle „klucz główny”: reset haseł do innych usług, eskalacja w chmurze, dostęp do plików i komunikacji.
2. BEC i fraud finansowy: po przejęciu skrzynki łatwo o podszycia, zmianę numerów kont na fakturach, kradzież płatności, nadużycia w procesach zakupowych. Cloudflare wskazuje, iż Tycoon 2FA był istotnym „dostawcą” initial access dla BEC.
3. Utrzymanie dostępu mimo zmiany hasła: jeżeli organizacja nie unieważnia aktywnych sesji i tokenów (np. revocation), napastnik może przez cały czas działać.
4. Ryzyko dla Polski: obecność i blokada 120 domen .pl pokazuje, iż infrastruktura/elementy kampanii realnie „zahaczały” o polski ekosystem DNS.

Rekomendacje operacyjne / co zrobić teraz

Natychmiast (0–72h)

• Wymuś unieważnienie sesji/tokenów dla kont z podejrzeniem przejęcia (nie tylko reset haseł).
• Włącz/egzekwuj phishing-resistant MFA tam, gdzie to możliwe: FIDO2/security keys, passkeys, polityki warunkowego dostępu (Conditional Access) z „device compliance” i „trusted signals”. (To nie eliminuje całego ryzyka, ale znacząco je obniża w porównaniu do kodów/SMS).
• Przegląd reguł skrzynki i OAuth consent: atakujący często zostawiają reguły przekierowań, ukrywania wiadomości i nadużywają uprawnień aplikacji.

Wzmocnienie w średnim terminie (2–6 tygodni)

• Twarde polityki dostępu do poczty/chmury: blokada logowań z nietypowych krajów, ograniczenia dla „legacy auth”, wymaganie zgodnego urządzenia.
• Detekcja AiTM: korelacja „kliknięcie URL w mailu → ryzykowny sign-in → nowa sesja” + alerty na replay session cookie (tam, gdzie platforma to wspiera).
• Edukacja pod AiTM: uczulić, iż „MFA prompt pojawił się po kliknięciu linku z maila” to czerwony alarm; brak świadomego rozpoczęcia logowania = nie zatwierdzaj.

Higiena infrastruktury

• DNS / domeny: monitoruj rejestracje typosquat, krótkie FQDN-y, nietypowe TLD (szczególnie tanie generyczne) i masowe subdomeny.
• WAF / anti-bot: atakujący korzystają z anty-analizy — warto mieć własne mechanizmy weryfikacji anomalii ruchu i click-tracking.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• Klasyczny phishing vs AiTM/PhaaS: klasyczny phishing „kradnie hasło”; AiTM kradnie sesję. Dlatego samo MFA oparte o kody (SMS/TOTP/push) może zostać obejście, jeżeli ofiara przejdzie logowanie przez proxy.
• Blocklisty vs rotacja infrastruktury: przy 24–72h żywotności FQDN blokowanie „po domenie” jest spóźnione; najważniejsze stają się sygnały behawioralne (ryzykowne logowania, niestandardowe urządzenia, nietypowe łańcuchy przekierowań).
• Abuse legalnych usług: nadużycia typu Workers pokazują, iż przestępcy „przyklejają się” do renomowanych dostawców, by mieszać ruch i utrudniać triage.

Podsumowanie / najważniejsze wnioski

Rozbicie Tycoon 2FA to istotny sukces współpracy publiczno-prywatnej, bo uderza w model usługowy, który skaluje cyberprzestępczość. Jednocześnie ta sprawa potwierdza, iż MFA nie jest magiczną tarczą, jeżeli organizacja nie wdraża odpornego na phishing uwierzytelniania oraz nie potrafi gwałtownie unieważniać sesji i wykrywać symptomów AiTM. Wątek 120 domen .pl jest też czytelnym sygnałem, iż kampanie tego typu mają namacalny ślad w polskim ekosystemie i wymagają stałego monitoringu.

Źródła / bibliografia

1. The Hacker News – opis operacji i skali Tycoon 2FA (The Hacker News)
2. Microsoft Security Blog – szczegóły operacyjne i TTP (Storm-1747, rotacja FQDN 24–72h, kradzież sesji) (Microsoft)
3. Cloudflare (Cloudforce One) – analiza nadużyć Cloudflare Workers i mechaniki obejścia MFA (cloudflare.com)
4. Trend Micro Research – kontekst PhaaS i rola partnerów w działaniach disruption (www.trendmicro.com)
5. CBZC Policja – informacja o blokadzie 120 domen .pl przy wsparciu NASK i CERT Polska (cbzc.policja.gov.pl)