全球钓鱼即服务打击行动在重大网络安全行动中针对大亨的2fa

针对有组织的网络诈骗的协调打击，本周调查人员和安全公司采取行动，破坏了Tycoon 2fa及其庞大的钓鱼基础设施。

联盟拆除大规模钓鱼平台

Coinbase、微软和欧洲刑警组织（Europol）于周三宣布联合行动，拆除了Tycoon 2FA钓鱼即服务平台的核心基础设施。此次打击行动针对的是被当局描述为全球最大的商业钓鱼行动之一，该行动自2023年起至少已活跃。

此外，调查人员表示，该服务将凭证盗窃工业化，通过向犯罪分子出售订阅式工具包实现。这些包裹使买家能够大规模窃取登录凭证，并系统性绕过多因素认证，将基本的诈骗方案转变为对全球企业的有组织攻击。

到2025年中，微软数据显示，Tycoon相关的活动占该公司阻止的所有钓鱼尝试的62%。在高峰期，该平台每月产生数千万封钓鱼邮件，淹没各地区和行业的收件箱。

此次行动使全球近10万家组织面临未经授权的访问尝试，包括学校、医院和公共机构。然而，由于平台规模庞大，许多行动由技能较低的攻击者发起，他们只是租用工具，而不是自行搭建基础设施。

作为拆除行动的一部分，微软封锁了与该服务相关的330个域名。执法部门还查封了其他核心基础设施，破坏了协调钓鱼行动和处理被盗数据的指挥控制系统。

Tycoon如何绕过多因素认证

Tycoon作为一个专业化的钓鱼即服务网络运营。其工具包包括伪造的登录页面，设计得与企业服务、金融账户和公共部门系统的合法登录入口高度相似。

当受害者输入凭证时，平台会实时捕获会话Cookie和令牌。此外，这种方法允许攻击者劫持已验证的会话，而无需反复猜测密码或尝试简单的暴力破解。

会话令牌被盗事件尤其危险，因为该令牌证明用户已完成验证。如果黑客窃取该令牌，就可以重复使用，无需再次触发多因素认证提示，从而有效地建立一个隐蔽且持久的控制点。

Coinbase在声明中表示：“这种结合——高保真诱饵加上会话令牌盗窃——使钓鱼成为更大规模犯罪（如账户接管、商务电子邮件入侵、发票诈骗）的可靠入口。”不过，公司强调，协调的打击仍能显著减少这些行动的攻击面。

通过降低技术门槛，该平台让技能有限的犯罪分子也能对大型组织发起复杂的攻击。医疗、教育等行业受到影响，导致数据被盗、发票被篡改，甚至在系统被破坏或锁定后影响到患者护理。

Coinbase与区块链取证在调查中的作用

Coinbase在调查中扮演了核心角色，通过追踪用于支付服务的区块链交易。此外，这一财务线索帮助当局将伪匿名钱包与与平台涉嫌管理员及多名工具包买家相关的真实身份联系起来。

Coinbase表示：“关闭Tycoon的核心基础设施，切断了凭证盗窃的主要渠道，也迫使犯罪分子重建、重新配置工具，并承担更高的风险。”调查人员认为，这是增加威胁行为者操作难度的一个机会。

Coinbase还表示，正在积极识别购买该平台工具的人，并将继续支持全球执法行动。这种Coinbase与执法的合作凸显了交易所和分析团队在打击大规模网络犯罪中的关键作用。

2025年，区块链安全公司CertiK将钓鱼列为第二大威胁，造成投资者损失7.22亿美元，涉及248起事件。然而，调查人员认为，如果没有近期对工业化钓鱼网络的打击，这些损失可能会更高。

钓鱼和多因素认证攻击的更广泛趋势

根据行业数据，2025年与前一年相比，钓鱼相关的损失下降了83%。此外，这一下降表明用户、平台和监管机构正在逐步关闭2023年和2024年盛行的一些最具破坏性的攻击途径。

然而，攻击者仍在不断开发更先进的技术，以突破安全措施。当前的行动常常针对钱包基础设施、云平台和企业登录，包括与EIP-7702和Permit2签名攻击相关的漏洞，这些攻击操控交易批准。

安全研究人员指出，Tycoon 2fa是一个更广泛的犯罪软件生态系统的一部分，专门用于绕过多因素认证。这些犯罪平台专注于窃取或重放会话工件，滥用对合法登录流程的信任，而不是简单地窃取静态密码。

区块链安全公司PeckShield的一位发言人告诉Cointelegraph，尽管近期打击行动带来了影响，但钓鱼仍是2026年的“持续威胁”。不过，涉及交易所、云服务提供商和跨境警察部门的协调应对，正开始提高运营大规模钓鱼网络的成本和难度。

总之，拆除Tycoon 2FA标志着对有组织凭证盗窃的重大打击，但其底层技术仍在不断演变。技术公司、区块链调查人员和执法部门的持续合作，将在未来遏制钓鱼即服务等犯罪活动中发挥关键作用。