كشفت جهود عالمية مشتركة عن تفكيك منصة “Tycoon 2FA” المتطورة، والتي كانت تُستخدم لتجاوز المصادقة متعددة العوامل وتنفيذ هجمات “الرجل في المنتصف” واسعة النطاق. وقد أدت هذه العملية، التي قادتها مايكروسوفت بالتعاون مع وكالات إنفاذ القانون وشركات أمن سيبراني، إلى الاستيلاء على 330 نطاقاً كانت تشكل البنية التحتية لهذه المنصة.
تُعد عملية تفكيك منصة “Tycoon 2FA” ضربة قوية لمجرمي الإنترنت، حيث كانت هذه المنصة توفر أدوات سهلة الاستخدام للمبتدئين لتنفيذ عمليات احتيال واسعة. وبحسب البيانات، فقد ساهمت المنصة في إرسال عشرات الملايين من رسائل التصيد الاحتيالي شهرياً، مستهدفة مئات الآلاف من المؤسسات حول العالم.
تفكيك منصة Tycoon 2FA يحد من تهديدات التصيد الاحتيالي
ظهرت منصة “Tycoon 2FA” في أغسطس 2023، وسرعان ما أصبحت أداة رئيسية لمجرمي الإنترنت لتجاوز إجراءات الأمان. وقد تسببت المنصة في إرسال كميات هائلة من رسائل التصيد الاحتيالي، حيث وصلت إلى أكثر من 500 ألف منظمة عالمياً كل شهر.
وفقاً لفرقة استخبارات التهديدات من مايكروسوفت، فقد اعتمد آلاف المحتالين الرقميين على “Tycoon 2FA” لاختراق حسابات البريد الإلكتروني والخدمات عبر الإنترنت، بما في ذلك منصات مثل Microsoft 365 و Outlook و Google. وشكلت هذه الهجمات تحدياً كبيراً للأمن السيبراني العالمي.
وأشار ستيفن ماسادا، المستشار العام المساعد في وحدة الجرائم الرقمية بمايكروسوفت، إلى أن “Tycoon 2FA” كانت مسؤولة عن حوالي 62% من جميع محاولات التصيد الاحتيالي التي تمكنت مايكروسوفت من صدها بحلول منتصف عام 2025. وحدها، أرسلت المنصة أكثر من 30 مليون رسالة في شهر واحد، مما وضعها ضمن أكبر عمليات التصيد الاحتيالي على مستوى العالم.
وأضاف ماسادا أن المنصة مرتبطة بحوالي 96 ألف ضحية تصيد احتيالي مميزين حول العالم منذ عام 2023، بما في ذلك أكثر من 55 ألف عميل لمايكروسوفت. ومن جهة أخرى، فقد تم بيع هذه المنصة للمجرمين عبر تطبيقات مثل Telegram و Signal مقابل 350 دولاراً شهرياً.
آلية عمل وبيع المنصة
قدمت “Tycoon 2FA” للمجرمين الرقميين مجموعة متكاملة من الأدوات اللازمة لشن حملات التصيد الاحتيالي. تضمنت هذه الأدوات لوحة تحكم موحدة تسمح للمستخدمين بتكوين وتتبع وتطوير هجماتهم.
إضافة إلى ذلك، وفرت المنصة قوالب جاهزة، وملفات مرفقة شائعة الاستخدام في رسائل التصيد، بالإضافة إلى إمكانيات تخصيص النطاقات والاستضافة، ومنطق إعادة التوجيه. وبلغت ذروة حجم رسائل التصيد الاحتيالي عبر “Tycoon 2FA” أكثر من 30 مليون رسالة شهرياً في نوفمبر 2025.
كانت القطاعات الأكثر تضرراً من هجمات التصيد الاحتيالي التي سهلتها “Tycoon 2FA” هي قطاعات التعليم والرعاية الصحية. وبحسب التقرير، فقد تأثر أكثر من 100 عضو في تحالف المعلومات الأمنية للرعاية الصحية (Health-ISAC) بعمليات التصيد الاحتيالي الناجحة.
لم يقتصر الأمر على ذلك، بل واجهت مستشفيات ومدارس وجامعات في نيويورك محاولات اختراق أو اختراقات فعلية عبر “Tycoon 2FA”، مما أدى إلى تعطيل العمليات، وتحويل الموارد، وتأخير لرعاية المرضى.
وقد رفعت مايكروسوفت و Health-ISAC دعوى مدنية ضد المشتبه به الرئيسي في تطوير وإدارة وبيع “Tycoon 2FA”، بالإضافة إلى أربعة آخرين. وسمح أمر قضائي صادر في المحكمة الجزائية للمنطقة الجنوبية لنيويورك لمايكروسوفت بتفكيك البنية التحتية التقنية للمنصة والاستيلاء عليها.
ساهم في هذه العملية جهات أمنية من لاتفيا وليتوانيا والبرتغال وبولندا وإسبانيا والمملكة المتحدة، بالإضافة إلى شركات مثل Cloudflare و Coinbase و Proofpoint. وأكدت سيلينا لارسون، باحثة التهديدات في Proofpoint، أن “Tycoon 2FA” كانت مسؤولة عن أعلى حجم لهجمات التصيد الاحتيالي من نوع “الرجل في المنتصف” التي رصدتها الشركة.
وتوقعت لارسون انخفاضاً كبيراً في هذه الهجمات بعد العملية. وقالت: “من المتوقع أن يجد العديد من العملاء أن أدوات الاختراق الخاصة بهم لم تعد تعمل. وحتى لو تمكنت ‘Tycoon 2FA’ من إنشاء نطاقات وبنية تحتية جديدة، فإن سمعتها ستتضرر بشكل كبير، مما يدفع العملاء إلى شراء أدوات أقل فعالية، أو ربما إعادة التفكير في خياراتهم المهنية.”
وعلى صعيد متصل، تأتي عملية تفكيك “Tycoon 2FA” في أعقاب موجة من الإجراءات المتخذة ضد الجريمة السيبرانية، بما في ذلك حملات استهدفت برمجيات خبيثة مشابهة مثل Racoon0365 وعملية Lumma Stealer التي أصابت حوالي 10 ملايين نظام.