Tycoon 2FA PhaaS
Az Elastic Security Labs elemzése szerint a Tycoon 2FA mára az egyik legveszélyesebb és legnagyobb méretben használt AiTM (Adversary-in-the-Middle) phishing platformmá vált, amely valós időben képes megkerülni a hagyományos MFA-védelmeket. A Tycoon 2FA nem egyszerű phishing kit, hanem teljes Phishing-as-a-Service infrastruktúra, amely Microsoft 365- és Gmail-fiókok kompromittálására specializálódott. A platform reverse proxy technikát használ, az áldozat valójában a legitim Microsoft vagy Google bejelentkezési oldallal kommunikál, miközben a támadó proxyként ül a kapcsolat közepén és elfogja a session cookie-kat.
A kutatás szerint a Tycoon 2FA egyik legfontosabb jellemzője, hogy nem a jelszó vagy az OTP-kód ellopása a végső cél, hanem az autentikált session token megszerzése. Mivel az áldozat ténylegesen végrehajtja az MFA-hitelesítést a valódi szolgáltatás felé, a támadó egy már hitelesített session cookie-t kap, amelyet később MFA nélkül újra felhasználhat. Emiatt a hagyományos TOTP-, SMS- és push-based MFA önmagában már nem tekinthető phishing-rezisztensnek.
Az Elastic elemzése elsősorban detekciós oldalról közelíti meg a problémát. A kutatók azt figyelték meg, hogy a Tycoon 2FA infrastruktúrája gyakran Node.js-alapú reverse proxykat használ, ezért az Entra ID sign-in logokban szokatlan node, axios, undici vagy hasonló user-agent stringek jelenhetnek meg. Különösen gyanús, ha ezek Microsoft Authentication Broker vagy OfficeHome authentikációs folyamatokkal kombinálódnak. Az Elastic ehhez konkrét KQL-alapú detekciós szabályokat is publikált.
A Tycoon 2FA infrastruktúrája technikailag rendkívül fejlett. A platform Cloudflare mögé rejtett phishing domaineket, Cloudflare Turnstile CAPTCHA-kat, browser fingerprintinget, anti-bot mechanizmusokat és dinamikus decoy oldalakat használ. A phishing domainek gyakran csak 24–72 óráig élnek, ami jelentősen megnehezíti a blocklist-alapú védekezést. A Sekoia és a Microsoft szerint a Tycoon 2FA több tízezer domaint és több millió phishing emailt használt globális kampányokban.
Az Elastic szerint a modern AiTM támadások ellen a klasszikus email-szűrés és MFA már nem elegendő. A védekezés kulcsa a phishing-rezisztens hitelesítés, valamint az identitásalapú anomáliadetekció. Kiemelten fontos az új device registration események, impossible travel aktivitások, OAuth consent grantok és szokatlan session token használatok monitorozása. Az AiTM kampányok egyik legfontosabb másodlagos indikátora ugyanis nem maga a phishing email, hanem az azt követő identitásanomália.
