Uma operação coordenada pela Europol, com o apoio de várias empresas de segurança, resultou no desmantelamento da infraestrutura da Tycoon 2FA, uma plataforma de Phishing-as-a-Service (PhaaS) amplamente utilizada por grupos cibercriminosos. A plataforma era notória por sua capacidade avançada de contornar defesas de autenticação multifator (MFA).
Descoberta e escopo da operação
A ação, batizada de "Operação PhishOFF", envolveu autoridades de vários países e empresas do setor de segurança, incluindo Group-IB, Sekoia e ShadowServer. A Tycoon 2FA operava desde pelo menos 2023, oferecendo kits de phishing prontos para uso em um modelo de assinatura. Seus clientes, criminosos de todos os níveis de habilidade, podiam lançar campanhas sofisticadas que simulavam páginas de login de serviços populares como Microsoft 365, Google e bancos.
Capacidade de bypass de MFA e impacto
O diferencial da plataforma era seu mecanismo para burlar a autenticação em duas etapas. Ela utilizava uma técnica de man-in-the-middle (MitM) em tempo real, onde a página de phishing capturava as credenciais do usuário e as repassava instantaneamente para o serviço legítimo. Em seguida, interceptava o código MFA (SMS, notificação push ou token) gerado e o apresentava ao usuário na página falsa, completando o login e obtendo acesso à sessão válida. Essa técnica tornava as campanhas extremamente eficazes, mesmo contra organizações com MFA implementado.
Alcance e vítimas
Estima-se que a Tycoon 2FA tenha sido usada em milhares de campanhas de phishing em todo o mundo, visando principalmente empresas para roubo de credenciais corporativas e subsequente comprometimento de redes. A platafera facilitou ataques de business email compromise (BEC), fraude financeira e espionagem industrial. A operação de desmantelamento apreendeu domínios e servidores, interrompendo as operações atuais.
Repercussão e lições aprendidas
O sucesso da operação destaca a importância da cooperação público-privada no combate ao cibercrime. O desmantelamento de uma plataforma PhaaS de grande escala tem um efeito disruptivo significativo, forçando os criminosos a migrar para alternativas menos maduras e dando um respiro às potenciais vítimas. No entanto, especialistas alertam que a demanda por ferramentas que burlam o MFA permanece alta, e novas plataformas provavelmente surgirão.
"A Tycoon 2FA era um dos serviços mais proeminentes e tecnicamente avançados no mercado criminoso. Sua queda é um golpe significativo, mas é uma batalha vencida, não a guerra", comentou um analista da Group-IB envolvido na operação.
Recomendações para organizações
Ataques que contornam o MFA reforçam a necessidade de uma segurança em camadas. Além do MFA, as organizações devem investir em treinamento de conscientização para identificar phishing sofisticado, implementar soluções de proteção de e-mail avançadas, monitorar logs de acesso em busca de comportamentos anômalos e considerar o uso de phishing-resistant authentication, como chaves de segurança FIDO2.