منصة Tycoon 2FA التي ظهرت في أغسطس 2023، تعد واحدة من أبرز أدوات Phishing-as-a-Service (PhaaS) التي وفرت للمجرمين السيبرانيين القدرة على تنفيذ هجمات Adversary-in-the-Middle (AiTM) على نطاق واسع. المنصة كانت تُباع عبر تطبيقات مثل تيليغرام وسيغنال بأسعار تبدأ من 120 دولاراً لعشرة أيام، أو 350 دولاراً للوصول إلى لوحة تحكم ويب لمدة شهر. هذه اللوحة كانت بمثابة مركز لإدارة الحملات، حيث توفر قوالب جاهزة، ملفات مرفقة، إعدادات النطاقات والاستضافة، وآليات إعادة التوجيه، إضافة إلى تتبع محاولات تسجيل الدخول الناجحة والفاشلة.
حجم الهجمات وتأثيرها العالمي
بحسب يوروبول، المنصة أنتجت عشرات الملايين من رسائل التصيد شهرياً، واستهدفت ما يقرب من 100 ألف مؤسسة حول العالم، بما في ذلك مدارس ومستشفيات وهيئات عامة. تقارير من مايكروسوفت أوضحت أن المنصة كانت الأكثر نشاطاً في عام 2025، حيث تم حجب أكثر من 13 مليون رسالة خبيثة مرتبطة بها في أكتوبر من ذلك العام. إجمالاً، شكلت Tycoon 2FA نحو 62% من محاولات التصيد التي اعترضتها مايكروسوفت منتصف 2025، بما في ذلك أكثر من 30 مليون رسالة في شهر واحد فقط.
تقنيات متقدمة للتخفي
المنصة لم تقتصر على سرقة بيانات تسجيل الدخول، بل كانت قادرة على اعتراض رموز المصادقة متعددة العوامل (MFA) وملفات تعريف الارتباط الخاصة بالجلسات، مما سمح للمهاجمين بالوصول إلى الحسابات حتى بعد تغيير كلمات المرور. كما استخدمت تقنيات مثل مراقبة ضغطات المفاتيح، التمويه البرمجي، بصمة المتصفح، صفحات خداع ديناميكية، واستضافة بنية تحتية على نطاقات قصيرة العمر لا تتجاوز 72 ساعة، ما جعل اكتشافها أكثر صعوبة. إضافة إلى ذلك، اعتمد المهاجمون على أسلوب ATO Jumping الذي يستغل الحسابات المخترقة لإرسال روابط تصيد جديدة من داخل البريد الإلكتروني للضحايا، مما يزيد من فرص نجاح الاختراق.
نتائج العملية الدولية
العملية التي قادتها يوروبول بالتعاون مع شركات أمنية مثل مايكروسوفت، Proofpoint، وTrend Micro، أسفرت عن إسقاط 330 نطاقاً يشكل العمود الفقري للبنية التحتية الإجرامية، بما في ذلك صفحات التصيد ولوحات التحكم. تقارير من SpyCloud أظهرت أن الولايات المتحدة كانت الأكثر تضرراً، مع أكثر من 179 ألف ضحية، تليها المملكة المتحدة وكندا والهند وفرنسا. المنصة كان لها نحو 2000 مستخدم، واستهدفت جميع القطاعات تقريباً من التعليم والصحة إلى المؤسسات المالية والحكومية، حيث وصلت رسائلها شهرياً إلى أكثر من نصف مليون مؤسسة حول العالم.
