Tycoon 2FA: Yaygın Bir Phishing Aracı Ele Geçirildi
Tycoon 2FA, siber suçluların geniş çapta adversary-in-the-middle (AitM) kimlik avı saldırıları gerçekleştirmesine olanak tanıyan, öne çıkan bir phishing-as-a-service (PhaaS) aracıdır. Avrupa Polis Teşkilatı (Europol) tarafından yapılan bir operasyonla bu tehdit ortamı ortadan kaldırıldı.
Saldırı Nasıl Çalışıyor?
Tycoon 2FA ilk olarak Ağustos 2023’te ortaya çıkmış ve Europol tarafından dünyadaki en büyük kimlik avı operasyonlarından biri olarak tanımlanmıştır. Bu hizmet, 10 gün boyunca 120 ABD doları veya bir aylık web tabanlı yönetim paneli erişimi için 350 ABD doları karşılığında sunulmuştur. Yönetim paneli, kampanyaları yapılandırmak, izlemek ve geliştirmek için bir merkez işlevi görmektedir. Aşağıdaki özellikleri içermektedir:
- Önceden hazırlanmış şablonlar
- Yaygın tuzak formatları için ek dosyalar
- Alan adı ve barındırma yapılandırması
- Yeniden yönlendirme mantığı
- Kurban takibi
Bu panel üzerinden saldırganlar, ele geçirilen bilgileri (kimlik bilgileri, çok faktörlü kimlik doğrulama (MFA) kodları ve oturum çerezleri) indirip Telegram üzerinden anlık bildirim alabiliyorlardı.
Etkilenen Sistemler
Tycoon 2FA platformu, dünya genelinde yaklaşık 100,000 kuruluşa yetkisiz erişim sağladı. Bunun sonucunda her ay on milyonlarca kimlik avı e-postası gönderildi. Ele geçirilen hizmetlerin arasında eğitim, sağlık, finans, kar amacı gütmeyen kuruluşlar ve devlet daireleri de bulunmaktadır. 330 alan adı, suçluların bu hizmetlerini yürütmeleri için temel bileşenler olarak kullanıldığından, yapılan koordine operasyonla kapatıldı.
Çözüm ve Korunma
Yapılan araştırmalar, Tycoon 2FA ile ifade edilen kimlik avı tehditlerinin en yüksek hacime sahip olduğunu ortaya koymaktadır. Microsoft’un izlediği hizmet, Storm-1747 adı altında takibe alınmış ve 2025’te 13 milyondan fazla kötü amaçlı e-posta engellenmiştir. Kuruluşlar, bu tür tehditlerle karşılaşmamak için şu adımları atmalıdır:
- Yazılımlarınızı güncelleyin ve güvenlik yamalarını uygulayın.
- Port kapatma işlemini gerçekleştirin; gereksiz olanları devre dışı bırakın.
- Çok faktörlü kimlik doğrulama uygulamalarını etkinleştirin ve düzenli olarak değiştirin.
- Şifrelerinizi güçlü ve benzersiz tutun; şifre yöneticilerini kullanabilirsiniz.
Siber saldırganların kimlik bilgilerine erişimi, ciddi sonuçlara yol açabilir. Özellikle kimlik avı saldırılarının artması, kurumsal e-posta hesaplarına sızma girişimlerinin ilk adımı olması bakımından kritik öneme sahiptir. Bu nedenle gerekli önlemleri alarak kendinizi ve kurumunuzu korumanız gerekmektedir.
