Microsoft ve Europol liderliğindeki küresel bir operasyon, e-posta ve çevrimiçi hizmet hesapları için çok faktörlü kimlik doğrulamayı (MFA) atlamak için en yaygın kullanılan kimlik avı hizmetlerinden biri olan Tycoon 2FA'yı sekteye uğrattı. Operasyonun, dijital hesapların korunmasından sorumlu müşteri deneyimi ekipleri için önemli sonuçları olacak.
Yayından kaldırma işlemi, hizmetin meşru kullanıcıları taklit etmek ve çevrimiçi hizmetlere erişmek için kullandığı altyapıyı hedef alarak, dünya çapında 500.000'den fazla kuruluşa her ay on milyonlarca sahte e-posta gönderdi. Ölçek, kimlik avı faaliyetlerinin şirketler ve müşterileri arasındaki güven katmanını nasıl giderek daha fazla tehdit ettiğini gösteriyor.
Kimlik avı hizmeti müşteri hesaplarını ve dijital güveni riske atıyor
Yaklaşık 2023 yılından bu yana aktif olan Tycoon 2FA, siber suçluların kimlik doğrulama oturumlarını gerçek zamanlı olarak ele geçirmesine, tek seferlik şifreleri ve oturum çerezlerini ele geçirmesine olanak tanıyarak, saldırganların güvenli hesaplarda bile uyarıları tetiklemeden meşru kullanıcılar olarak oturum açmasına olanak tanıdı.
Tycoon 2FA, ilgi çekici kimlik avı şablonlarını, gerçekçi açılış sayfalarını ve kimlik bilgilerinin ve kimlik doğrulama kodlarının gerçek zamanlı yakalanmasını hızlı bir şekilde ölçeklenebilen, kullanımı kolay bir pakette birleştirdi.
Steven Masada, Microsoft'un Dijital Suçlar Birimi genel danışman yardımcısıbir blog yazısında şunu yazdı:
“2025 ortası itibarıyla Tycoon 2FA, Microsoft'un engellediği tüm kimlik avı girişimlerinin yaklaşık yüzde 62'sinden sorumluydu; buna tek bir ayda 30 milyondan fazla e-posta da dahil, bu da Tycoon 2FA'yı dünyadaki en büyük kimlik avı operasyonlarından biri haline getiriyor.”
Hizmet, gelişmiş kimliğe bürünme kampanyalarının binlerce saldırgan için erişilebilir olmasını sağlayan hazır kimlik avı şablonları ve kontrol panelleri sağladı.
Masada'ya göre Tycoon 2FA, 55.000'den fazla Microsoft müşterisi de dahil olmak üzere dünya çapında 96.000'den fazla kimlik avı kurbanıyla ilişkilendirildi. Yalnızca Britanya'da yetkililer, teşkilatla bağlantılı yaklaşık 5.350 kurban tespit etti.
Sağlık, eğitim, iş dünyası ve kamu sektöründeki kuruluşlar hedef alındı.
Bu rakamlar, müşterilerin doğrudan karşı karşıya kaldığı hesap güvenindeki başarısızlığı yansıtıyor.
E-posta veya bulut hesaplarına erişim sağlayan saldırganlar, genellikle yetkisiz işlemlerden ve hesapların kilitlenmesinden, kendi adlarına gönderilen sahte mesajlara veya hassas bilgilerin ifşa edilmesine kadar müşteri hizmetlerinde kesintilere neden olur.
Operasyonun bir parçası olarak Microsoft, saldırganlar tarafından kullanılan kimlik avı sayfaları ve kontrol sistemleri de dahil olmak üzere Tycoon 2FA'nın altyapısını destekleyen 330 aktif etki alanını ele geçirdi. Şirket, Amerika Birleşik Devletleri New York Güney Bölgesi Bölge Mahkemesi'nin tedbir kararı uyarınca ve Europol'ün Siber İstihbarat Genişletme Programı (CIEP) ile koordineli olarak hareket etti.
Kesinti, Cloudflare, Coinbase, Proofpoint, Intel 471, TrendAI, Shadowserver Foundation, Resecurity, eSentire ve Health-ISAC gibi sektör ortaklarının desteğiyle gerçekleştirildi.
CIEP çerçevesi, istihbarat paylaşımının ötesine geçmek ve sınırlar ötesinde koordineli eylemler gerçekleştirmek için kamu ve özel sektör kuruluşlarını bir araya getirmeyi amaçlamaktadır.
Birçok Avrupa ülkesindeki kolluk kuvvetleri de altyapıya el koyma ve hizmetle ilgili diğer operasyonel eylemleri gerçekleştirdi. Masada'nın yorumu şöyle:
“Bu altyapıyı çevrimdışına almak, hesapların ele geçirilmesi için büyük bir hattı kesecek ve insanları ve kuruluşları veri hırsızlığı, fidye yazılımı, iş e-postasının ele geçirilmesi ve mali dolandırıcılık gibi takip eden saldırılardan koruyacak.”
Araştırmacılar, Tycoon 2FA'nın daha geniş bir yeraltı ekosistemi içinde bir hizmet olarak işlev gördüğünü belirtiyor.
Merkezinin Pakistan'da olduğuna inanılan platformun geliştiricisi, pazarlama, ödemeler ve teknik destekten sorumlu ortaklarla çalıştı. Suçlu kullanıcılar, aracı toplu e-posta dağıtımı, kötü amaçlı yazılım dağıtımı ve altyapı barındırma için kullanılan diğer hizmetlerle birleştirdi. Masada'nın yorumu şöyle:
“Birbirinden farklı olan bu hizmetler, kimlik tabanlı saldırılar için birbirine bağlı bir ekosistem oluşturdu. Bir bileşenin bozulması, tüm siber suç ekonomisinde kademeli etkilere sahip olabilir.”
Son dönemdeki eylemler Lumma Stealer, RaccoonO365 ve Fake ONNX gibi hizmetlerin yanı sıra barındırma sağlayıcısı RedVDS'yi de hedef aldı.
Her kesinti, saldırganları altyapıyı yeniden inşa etmeye zorlayarak maliyetleri ve anlaşmazlıkları artırır.
Kimlik tabanlı kimlik avı saldırıları büyük bir müşteri deneyimi sorunu haline geliyor
Dijital müşteri ilişkilerini yöneten şirketler için bu giriş noktalarını durdurmak, marka güvenine zarar veren alt olaylar olasılığını azaltır.
Tycoon 2FA, siber suçlarda kimlik hedefli saldırılara doğru daha geniş bir değişimin sinyalini veriyor.
Saldırganlar, sunucuları veya ağları doğrudan hedeflemek yerine giderek daha fazla kimlik bilgilerini ve kimlik doğrulama akışlarını hedef alıyor. Bir hesaba girdikten sonra gerçek kullanıcıyla aynı izinlerle çalışabilirler.
Müşteriler, güvenliği ihlal edilmiş hesaplar, beklenmeyen güvenlik kontrolleri veya yeniden erişim kazanmak için gereken destek etkileşimleri gibi sonuçlarla karşılaştıklarında bu durum anında bir CX sorunu yaratır.
Bu olaylar aynı zamanda anlaşmazlıkları çözmesi, hesapları geri yüklemesi ve etkilenen müşterilere güvence vermesi gereken iletişim merkezleri ve dolandırıcılık ekipleri üzerinde de ağır bir baskı oluşturuyor.
Sağlık ve eğitim gibi sektörlerde Tycoon 2FA ile bağlantılı kimlik avı kampanyaları operasyonel kesintilere neden oldu ve kaynakların ön saflardaki hizmetlerden başka yöne sapmasına neden oldu.
Dijital müşteri yolculuklarına odaklanan kuruluşlar için Tycoon 2FA örneği, kimlik korumasının nasıl temel bir CX sorunu haline geldiğini gösteriyor.
Çok faktörlü kimlik doğrulama, güçlü oturum yönetimi ve müşteri eğitimi gibi güvenlik kontrolleri hala merkezi bir rol oynamaktadır. Ancak bu korumaları aşmak için tasarlanan kimlik avı platformları gelişmeye devam ediyor.
Tycoon 2FA'nın ölçeği, müşterilerin kimliklerini korumanın teknoloji sağlayıcıları, güvenlik şirketleri ve kolluk kuvvetleri arasındaki işbirliğini giderek daha fazla gerektirdiğini gösteriyor.
Bir yanıt yazın