Tycoon 2FA phishing platformının yükselişi, her işletme için küresel bir uyarı niteliği taşıyor. Bu, elit hacker’lar için bir araç değil; tarayıcıya sahip herkesin çok faktörlü kimlik doğrulamayı (MFA) bypass etmesine olanak tanıyan bir kit. Ve bu kit, büyük ölçeklerde kullanılıyor.
Bu yıl 64.000’den fazla saldırı kaydedildi. Birçok saldırı Microsoft 365 ve Gmail’i hedef alıyor çünkü bu platformlar, bir işletmeye en hızlı ve en kolay giriş yolu sunuyor.
Phishing as a Service: Herkes İçin Erişilebilir
Tycoon 2FA’nın gücü, teknik beceri gereksinimini ortadan kaldırmasında yatıyor. Bu kit, tamamen paketlenmiş, cilalanmış ve otomatikleştirilmiş bir “Phishing as a Service” çözümüdür. Hatta bir kod yazmasını bilmeyen bir genç bile bu kiti kullanabilir. Kurulum için rehberlik eden bir yapı sunar, sahte giriş sayfaları sağlar ve geri proxy sunucuları açar.
Saldırgan sadece bir bağlantıyı yüzlerce çalışana gönderir ve birinin tıklaması için bekler.
Gerçek Zamanlı MFA Akışı ve Tam Oturum Ele Geçirme
Kurban tıkladığında, Tycoon 2FA geri kalanını halleder. Kullanıcı adlarını ve şifreleri gerçek zamanlı olarak yakalar. Oturum çerezlerini toplar. MFA akışını doğrudan Microsoft veya Google’a aktarır. Kurban, sadece basit bir güvenlik kontrolünü geçtiğini düşünür, fakat aslında saldırganı doğrulamaktadır.
En korkutucu kısım, her şeyin tamamen gerçek gibi görünmesidir. Sayfalar, meşru sunuculardan canlı yanıtlar çekiyor. Microsoft kod girmenizi istediğinde, sayfa anında güncellenir. Google bir istemci gönderdiğinde, düşündüğünüz gibi görünür. Görsel bir fark yoktur ve hiçbir klasik MFA veya kimlik doğrulayıcı uygulama bunu durduracak şekilde tasarlanmamıştır.
Algılamayı Atlama Yöntemleri
Durum daha da kötüye gidiyor. Tycoon 2FA, ticari kötü amaçlı yazılımları kıskandıracak kadar gelişmiş algılamadan kaçma katmanları içeriyor. Base64 kodlaması, LZ dize sıkıştırması, DOM kaybolması, CryptoJS obfuscation ve daha fazlası ile donatılmıştır.
Bu kit, tarayıcılardan ve araştırmacılardan saklanır. Gerçek davranışını ancak insan hedef geldiğinde gösterir. Kimlik doğrulama akışını tamamladıktan sonra, saldırgan Microsoft 365 veya Gmail içinde tam oturum erişimi elde eder.
Legacy MFA’nın Çöküşü
İşte bu yüzden klasik MFA çökmüştür. SMS kodları, push bildirimleri ve TOTP uygulamaları aynı kusuru paylaşır: Kullanıcı davranışına bağımlıdır. Kullanıcıların bir şeylerin yolunda gitmediğini fark etmesini umarlar. Tycoon 2FA ve benzeri kitler tam olarak bunu istismar eder. Kullanıcıyı saldırı vektörü haline getirir.
Bu durum, saldırganların bir kurbanı yanıltmasını kolaylaştırır. Örneğin, Scattered Spider ve Octo Tempest gibi suç grupları günlük olarak bu kitleri kullanıyor. Çünkü bu, hızlı, ölçeklenebilir ve teknik beceri gerektirmeyen en hızlı büyüyen saldırı yöntemidir.
İlerlemek İçin Yolda: Phishing-Proof MFA
Ancak bir yol mevcut ve hızlı bir şekilde hayata geçirilebilir. FIDO2 donanımı üzerine kurulu biyometrik kimlik doğrulama. Proximity tabanlı, domain bağlı ve taklit edilmesi olanaksız bir sistemdir. Bu sistem, girilecek kodların, onaylanacak istemlerin, paylaşılacak sırların olmamasıyla çalışır.
Fake web sitelerini otomatik olarak reddeden, fiziksel cihaz ile canlı biyometrik parmak izi eşleşmesi gerektiren bir sistemdir. Bu yaklaşım, kullanıcıyı karar verme sürecinden çıkarır. Artık sahte bir giriş sayfasını tanımasını beklemenize gerek yoktur; kimlik doğrulayıcı kendisi kökeni kriptografik olarak kontrol eder.
Sonuç Olarak
Her işletmenin kabul etmesi gereken bir an geldi. Saldırganlar evrim geçirdi, savunmaların da evrim geçirmesi gerekiyor. Geleneksel MFA bu tehdidi sürdüremez. Otomatik kimlik doğrulayıcı uygulamalar ve geçiş anahtarları da zorlanmaktadır. Temel gerçek şudur ki, eğer MFA’nız sahte bir web sitesi tarafından kandırılabiliyorsa, zaten tehlikededir. Dolayısıyla, biyometrik donanım tabanlı kimlik doğrulama, phishing-proof ve domain bağlı sistemler, ilerlemek için tek yoldur.
Suçlular güncellendi. Şimdi sizin sıranız. Kimlik katmanınızı yükseltin, yoksa Tycoon veya onun halefleri sizi bir sonraki başlık yapmadan önce.
