Европол при поддержке Microsoft и Coinbase ликвидировал фишинговую платформу Tycoon 2FA

Европол при содействии Microsoft, Coinbase и ряда других технологических компаний пресёк деятельность фишинговой платформы Tycoon 2FA — одного из наиболее масштабных сервисов по распространению инструментов для кражи пользовательских данных.

Масштаб угрозы: 62% всех заблокированных фишинговых атак

Платформа Tycoon 2FA функционировала как минимум с августа 2023 года и предоставляла киберпреступникам готовые инструменты для проведения фишинговых атак. Сервис позволял создавать реалистичные копии легитимных веб-сайтов и перехватывать одноразовые 2FA-пароли путём получения доступа к Cookie-файлам жертв.

Согласно данным правоохранительных органов, на долю Tycoon приходилось примерно 62% всех фишинговых атак, которые были заблокированы Microsoft. Это делало платформу одним из ключевых звеньев в глобальной инфраструктуре киберпреступности.

Почему это важно

Ликвидация Tycoon 2FA демонстрирует растущую эффективность сотрудничества между правоохранительными органами и частным сектором в борьбе с киберпреступностью. Фишинговые сервисы, работающие по модели подписки (так называемый phishing-as-a-service), представляют серьёзную системную угрозу, поскольку значительно снижают порог входа для злоумышленников. Устранение крупнейшего игрока этого рынка может существенно сократить число атак на пользователей.

Участие криптобиржи Coinbase в расследовании подчёркивает роль блокчейн-аналитики в выявлении преступных сетей — прозрачность криптовалютных транзакций становится инструментом для правоохранителей.

Роль Coinbase и Microsoft в операции

В рамках сотрудничества с Европолом технологические компании предоставляли техническую экспертизу и проводили анализ инфраструктуры платформы.

Coinbase выпустила отдельный пресс-релиз, где детально описала свой вклад в операцию. Криптобиржа отследила платёжные каналы, через которые финансировался Tycoon. По словам представителей компании, подобные фишинговые платформы работают по принципу нелегальных SaaS-сервисов — с подписками, реселлерами, техподдержкой и регулярным доходом. Часть платежей проходила через криптовалюту, а блокчейн-транзакции создавали следы, позволяющие связать операторов, покупателей и сопутствующую инфраструктуру.

Помимо этого, Coinbase содействовала в установлении личности администратора Tycoon. Предполагаемым оператором платформы оказался гражданин Пакистана Саад Фриди.

Microsoft, в свою очередь, подала гражданский иск, результатом которого стала конфискация ключевых доменов платформы. Именно этот юридический шаг позволил физически отключить инфраструктуру Tycoon.

Дальнейшие шаги и контекст

Представители Coinbase заявили о намерении продолжить работу по привлечению к ответственности клиентов ликвидированной платформы. По их мнению, когда преступники лишаются возможности получать оплату и поддерживать свою инфраструктуру, их «бизнес-модель» перестаёт функционировать.

Закрытие Tycoon 2FA вписывается в более широкий тренд снижения ущерба от фишинга. По данным SlowMist, в 2025 году объём средств, похищенных через фишинговые атаки, сократился на 83% — до $83,85 млн.