Evropski organi pregona razbili platformo za phishing

Mednarodna operacija organov pregona, koordinirana s strani Europola, je onemogočila delovanje phishing platforme Tycoon2FA. Pri tem je bilo deaktiviranih 330 domen, ki so predstavljale osrednjo infrastrukturo kriminalne storitve, vključno s phishing spletnimi stranmi in nadzornimi upravljavskimi paneli. Tako je navedeno v sporočilu, ki ga je objavila evropska policijska agencija. Operacijo so izvedli organi pregona iz Latvije, Litve, Portugalske, Poljske, Španije in Združenega kraljestva ter predstavniki zasebnega sektorja, med drugim podjetja Cloudflare, Coinbase in Trend Micro. Vse aktivnosti so potekale v tesnem sodelovanju in pod koordinacijo Evropskega centra za boj proti kibernetski kriminaliteti (EC3) pri Europolu.

Po podatkih Europola je bila platforma Tycoon2FA aktivna najmanj od avgusta 2023 in je spadala med največje phishing operacije na svetu. Platformo je uporabljalo na tisoče kibernetskih kriminalcev z namenom obiti dvostopenjsko avtentikacijo (2FA) in pridobiti neopažen dostop do e-poštnih računov ter storitev v oblaku. Europol navaja, da je platforma mesečno generirala več deset milijonov phishing elektronskih sporočil in omogočila nepooblaščen dostop do skoraj 100.000 organizacij po svetu, vključno s šolami, bolnišnicami in javnimi institucijami.

Nizek prag vstopa za kibernetske kriminalce
Po navedbah tehnološkega portala Bleeping Computer so bile naročnine na storitev Tycoon2FA ponujene prek aplikacije Telegram. Dostop za deset dni je stal 120 ameriških dolarjev. Takšen model je bistveno znižal prag za izvedbo kompleksnih napadov za obhod večfaktorske avtentikacije (MFA), tudi za manj izkušene kriminalce.

Microsoft je v sredo v objavi na svojem blogu pojasnil, da je platforma Tycoon2FA napadalcem omogočala predstavljanje kot zaupanja vredne blagovne znamke z imitacijo prijavnih strani storitev, kot so Microsoft 365, OneDrive, Outlook, SharePoint in Gmail. Platforma je napadalcem omogočala tudi trajno prisotnost v sistemih ter dostop do občutljivih informacij, tudi po ponastavitvi gesel, če aktivne seje in žetoni niso bili izrecno preklicani. Takšen način delovanja je temeljil na prestrezanju sejnih piškotkov, ki nastanejo med procesom avtentikacije, pri čemer so bili hkrati zajeti tudi uporabniški podatki. Kode za dvostopenjsko avtentikacijo so bile nato prek posredniških strežnikov Tycoon2FA posredovane naprej do avtentikacijske storitve.

Preiskava se je začela po tem, ko je podjetje Trend Micro Europolu posredovalo relevantne informacije, ta pa je te podatke razširil prek svojih svetovalnih skupin EC3 in operativnih omrežij. To je omogočilo razvoj usklajene operativne strategije. V nadaljevanju sta Microsoft in Trend Micro tesno sodelovala z organi pregona ter zagotovila tehnično strokovno znanje in analizo infrastrukture.

Vir: Europol, Bleeping Computer