Европол при поддержке ряда технологических компаний, включая Coinbase и Microsoft, смог остановить работу платформы Tycoon 2FA, предоставлявшей программные инструменты для фишинговых атак.
Сервис, действовавший как минимум с августа 2023 года, считался одним из крупнейших поставщиков подобных решений. По информации следствия, на Tycoon приходилось около 62% всех фишинговых атак, которые блокировала Microsoft.
Разработанные платформой инструменты позволяли злоумышленникам создавать правдоподобные копии оригинальных сайтов и перехватывать коды двухфакторной аутентификации, получая доступ к Cookie-файлам пользователей.
В рамках операции финтех-компании помогали правоохранителям технической экспертизой и анализом инфраструктуры сервиса.
Отдельно Coinbase раскрыла свою роль в расследовании: биржа отслеживала платежные потоки, с помощью которых финансировалась деятельность Tycoon.
Представители компании пояснили, что подобные сервисы функционируют как нелегальные поставщики программного обеспечения — с подписками, сетью реселлеров и регулярной выручкой. Часть платежей проходит через криптовалюты, а записи в блокчейне позволяют находить следы, связывающие операторов платформы, их клиентов и используемую инфраструктуру.
Кроме того, Coinbase помогла установить предполагаемого администратора Tycoon, им оказался гражданин Пакистана Саад Фриди. Со своей стороны Microsoft подала гражданский иск, что позволило конфисковать ключевые доменные имена сервиса.