Las autoridades y las empresas tecnológicas se unen para desmantelar una plataforma de phishing

Una de las herramientas de phishing como servicio más prolíficas de todos los tiempos no se utilizó ampliamente para enviar mensajes falsos de peajes no pagados o correos electrónicos de alertas urgentes de cuentas a los consumidores. En cambio, Tycoon 2FA se aprovechó principalmente para atacar cuentas pagadas asociadas con organizaciones.

Aunque los servicios financieros y las empresas de salud suelen ser los principales objetivos de fraudes, los ciberdelincuentes parecieron desplegar Tycoon 2FA de manera más arbitraria. Según The Hacker News, los decenas de millones de mensajes de phishing creados con la plataforma llevaron a brechas en más de 100,000 organizaciones de diferentes industrias, incluyendo escuelas y hospitales.

La amenaza mundial de phishing generada por la herramienta llevó a una coalición de entidades públicas y privadas a unirse y desmantelar el servicio. Esta alianza incluyó a Europol y otras agencias de aplicación de la ley, Microsoft, empresas de ciberseguridad y Coinbase. Este esfuerzo finalmente resultó en la eliminación de los 330 dominios que conformaban la infraestructura de la red criminal.

“Es necesario que esfuerzos internacionales y coordinados para desmantelar redes de cibercrimen organizado, redes de cibercrimen como servicio y redes de phishing como servicio —como esta— sean continuos”, dijo Tracy Goldberg, Directora de Ciberseguridad en Javelin Strategy & Research. “Pero, lamentablemente, estos desmantelamientos solo generan ganancias a corto plazo, ya que nuevas redes y modelos rápidamente ocupan el lugar de las eliminadas.”

Optimización de los Ciberdelitos

Antes de la interrupción, se podía comprar una suscripción mensual a Tycoon 2FA en plataformas sociales como Telegram por aproximadamente $350. A cambio, los usuarios tenían acceso a un panel donde podían crear y monitorear campañas de phishing, junto con plantillas y herramientas diseñadas para agilizar los ciberdelitos.

Como en muchos ataques de phishing, estas herramientas se usaban para crear mensajes que imitaban servicios ampliamente utilizados como Outlook, SharePoint y Gmail. El objetivo era capturar datos sensibles como credenciales de inicio de sesión o códigos de autenticación multifactor. Una vez robada, la información se transmitía a los criminales en casi tiempo real.

Un Problema Masivo en Múltiples Frentes

Uno de los aspectos más alarmantes de las plataformas de phishing como servicio es cómo simplifican el proceso para actores maliciosos novatos y expanden drásticamente el alcance de sus campañas. Estos servicios también son altamente personalizables. Microsoft atribuyó gran parte del éxito de Tycoon 2FA a su capacidad para imitar de manera convincente los procesos de autenticación legítimos.

Aún más preocupante, los suscriptores de Tycoon 2FA podían participar en saltos de ATO. Después de comprometer una cuenta, los criminales podían enviar mensajes de phishing desde esa dirección de correo, haciendo que pareciera provenir de un usuario confiable.

Esto significa que un solo mensaje de phishing puede convertirse rápidamente en un problema importante para las organizaciones en múltiples frentes.

“Las fuerzas del orden están atrapadas en un estado perpetuo de reacción cuando se trata de luchar contra el cibercrimen”, dijo Goldberg. “Desde una perspectiva global, los consumidores y empresas de EE. UU., que suelen ser los principales objetivos del cibercrimen, pagan el precio. En el caso de Tycoon 2FA, la gran mayoría de los objetivos comprometidos estaban en EE. UU., seguidos por el Reino Unido y Canadá.”