Tycoon 2FA захватил 89% рынка фишинга, используя шифр Цезаря и невидимые символы
Как специализированные сервисы делают киберпреступления доступными для новичков.
В начале 2025 года зафиксирован резкий рост фишинговых атак на заказ (PhaaS). Только за январь и февраль было обнаружено более миллиона атак, направленных на организации по всему миру.
Главными инструментами атак стали платформы Tycoon 2FA, EvilProxy и Sneaky 2FA. Лидером оказался Tycoon 2FA, использовавшийся в 89% атак. EvilProxy занял 8%, а новый Sneaky 2FA — 3%. Сервисы помогают киберпреступникам обходить защиту и красть учетные данные пользователей.
Tycoon 2FA продолжает развиваться. В феврале прошла новая волна атак, где вредоносные скрипты стали еще сложнее. Вместо прежних методов маскировки теперь используется шифр Цезаря. В коде появились невидимые символы Unicode 3164, а для передачи данных злоумышленники используют Telegram-ботов. Скрипт умеет определять тип браузера жертвы, а украденные данные шифруются по стандарту AES перед отправкой на сервер атакующих.
EvilProxy опасен тем, что доступен даже новичкам. Сервис использует обратный прокси для перехвата учетных данных. Жертва вводит логин и пароль на поддельной странице входа, а данные мгновенно передаются на настоящий сайт, давая преступникам доступ к учетной записи. Фишинговые страницы EvilProxy максимально похожи на оригинальные, из-за чего их сложно распознать.
Sneaky 2FA специализируется на AiTM-атаках против Microsoft 365. Жертва получает письмо с фальшивой ссылкой на страницу входа. Если пользователь кликает на ссылку, платформа автоматически подставляет email жертвы в форму с помощью функции автозаполнения Microsoft 365. При этом Sneaky 2FA проверяет IP-адрес жертвы: если он относится к VPN, боту или дата-центру, пользователя перенаправляют на Wikipedia, чтобы скрыть атаку.
Чтобы защититься от PhaaS, нужно проверять URL-адреса страниц входа. В Tycoon 2FA часто используется email в открытом виде или в кодировке Base64. EvilProxy сложно обнаружить, но, если URL страницы входа отличается от стандартного или неожиданно появляется запрос на многофакторную аутентификацию (MFA), стоит насторожиться. У Sneaky 2FA фишинговые ссылки обычно содержат длинный алфавитно-цифровой код и специфические окончания, например /verify или /index.
Главным вектором атак остается электронная почта. Для защиты компаниям нужны продвинутые системы кибербезопасности, использующие искусственный интеллект для выявления сложных угроз. Важную роль играет обучение сотрудников: они должны уметь распознавать признаки атак и сообщать о подозрительных страницах. Также стоит применять надежные методы аутентификации, например FIDO2.