Tycoon 2FA被用於裝置驗證碼網釣,駭客搭配Trustifi追蹤器挾持M365帳號
攻擊手法演進與技術細節
在2026年3月遭大規模執法行動圍剿後,Tycoon 2FA平臺的駭客迅速調整攻擊策略,改以OAuth裝置驗證授權作為滲透Microsoft 365帳號的手段。
攻擊者透過中間人攻擊(AiTM)技術,利用OAuth裝置驗證碼機制,使使用者在合法登入流程中輸入帳號密碼與雙因素驗證碼,並將認證資訊轉發至攻擊者控制的伺服器。
此攻擊手法特別危險,即使使用者啟用了雙因素驗證(2FA),仍能被成功竊取驗證碼,使原本的安全措施形同虛設。
關鍵工具與平臺
- Trustifi:被駭客用作追蹤器,協助挾持Microsoft 365帳號。
- Cloudflare Workers:曾被用於搭建攻擊基礎設施,但後續遭Cloudflare主動阻斷。
- Salty2FA:曾被試圖結合使用,但未成功。
執法行動與後續影響
歐洲刑警組織(Europol)聯合6國執法機構與13個企業組織,於2026年3月成功查封330個網域名稱,並摧毀Tycoon 2FA的基礎設施。
儘管平臺被關停,攻擊者仍持續利用先前收集的憑證,對超過五十萬組織發起攻擊。