關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2025.11.19
事件與威脅/資訊安全
Tycoon 2FA 釣魚平台與傳統 MFA 的崩潰

即服務型釣魚平台Tycoon 2FA釣魚工具包,不是精英駭客才能使用,而是任何人都能透過瀏覽器輕鬆繞過企業賴以生存的多因素身份驗證(MFA)和身份驗證應用程式的現成工具包,Tycoon 2FA釣魚工具包的出現應該會給所有企業敲響警鐘。 這篇報告的核心重點:Tycoon 2FA 能即時攔截並轉送多因素驗證 (MFA) 流程,導致傳統 MFA(如簡訊、推播、TOTP 應用程式)全面失效。報告指出,唯有採用基於 FIDO2 硬體的生物辨識防釣魚 MFA,才能有效抵禦此類攻擊。

  1. Tycoon 2FA 的特性  Ÿ Phishing-as-a-Service:只要有瀏覽器即使是不會寫任何程式碼的青少年也能輕鬆部署。
  • 自動化工具包:提供假登入頁面、反向代理伺服器,攻擊者只需將連結發送給你的數百名員工,然後等待有人上當。
  • 規模化攻擊:今年已追蹤超過 64,000 次攻擊,主要鎖定 Microsoft 365 與 Gmail,因為這些平台代表了入侵企業最簡單、最快捷的途徑。
  1. 攻擊手法
  • 即時攔截:受害者輸入帳密與 MFA 驗證碼時,平台即時轉送至合法伺服器。
  • 會話接管:攻擊者取得完整 session cookie,能進入企業內部系統(SharePoint、OneDrive、Teams、HR、財務系統等)。
  • 橫向移動:他們會從那裡橫向入侵 SharePoint、OneDrive、電子郵件、Teams、人力資源系統和財務系統,一次成功的網路釣魚攻擊就能造成系統完全癱瘓。
  • 無法察覺:頁面與合法服務完全一致,使用者幾乎無法分辨
  1. 偵測迴避技術
  • 使用 Base64 編碼、LZ 壓縮、CryptoJS 混淆等方式隱藏惡意行為。
  • 自動過濾機制:CAPTCHA、bot 過濾、debugger 檢查,僅在真人受害者出現時才展開攻擊。
  1. 傳統 MFA 已崩潰
  • 依賴使用者判斷:簡訊碼、推播通知、TOTP 都需要使用者辨識異常。
  • 共享秘密可被攔截:攻擊者能即時轉送或重播驗證碼。
  • 犯罪集團常態化使用:如 Scattered Spider、Octo Tempest、Storm 1167 等組織每日利用此類工具。
  1. 解決方案:防釣魚 MFA
  • FIDO2 硬體 + 生物辨識:
基於FIDO2硬體的生物辨識防釣魚身分驗證。這種身份驗證方式基於近距離接觸,綁定到特定網域,並且無法被轉發或欺騙。系統無需輸入任何代碼,無需任何確認提示,無需攔截任何共享密鑰,也無法誘騙用戶協助攻擊者。
― 以指紋或其他生物特徵驗證,綁定實體裝置。
域名綁定、近端驗證,無法被中繼或偽造
  • Token Ring / Token BioStick 模型:
這就是令牌環和令牌生物棒背後的模型,架構本身可防止網路釣魚。沒有程式碼可供竊取,沒有授權可供欺騙,也沒有可供詐騙者利用的恢復流程。即使用戶點擊了錯誤的鏈接,即使用戶洩露了密碼(如果他們有密碼的話),即使有冒充IT人員的社交工程師打電話來,身份驗證也會失敗,因為網域不匹配,指紋也不存在。

攻擊者不斷進化,防禦措施也必須隨之進化,傳統的MFA無法抵禦這種威脅,身份驗證器應用程式也無法抵禦這種威脅,密碼密鑰也難以應付。Tycoon 2FA證明,任何要求使用者輸入或批准資訊的系統都可能在幾秒鐘內被破解。 真相就這麼簡單。如果你的多因素身份驗證 (MFA) 能被虛假網站欺騙,那麼它就已經被攻破了。如果你的身份驗證可以被轉發,那麼它就會被轉發。如果你的系統依賴使用者判斷,那麼它注定會失敗。基於生物辨識硬體、防釣魚、近端驗證(註)、網域鎖定的身份驗證系統才是未來的發展方向


註:
近端驗證」指的是驗證過程在使用者的本地端裝置上完成,而不是透過遠端伺服器傳送或比對。這種方式能避免驗證資料在網路中被攔截或中繼,因此安全性更高。
a)     近端驗證的核心概念

  • 驗證在本地端進行:例如指紋、臉部辨識或 PIN 碼,這些資料只存在於使用者的裝置中,不會傳送到伺服器。
  • 裝置綁定:驗證結果與特定硬體(如手機、FIDO2 安全金鑰)綁定,攻擊者即使取得帳號密碼,也無法在其他裝置上複製。
  • 避免中間人攻擊:因為驗證不依靠「輸入代碼」或「推播批准」,攻擊者無法透過釣魚網站攔截或重播驗證資訊。

b)  實務應用

  • FIDO2/WebAuthn:使用者插入安全金鑰或透過手機生物辨識,裝置會產生加密簽章,伺服器只驗證簽章是否正確,無需知道使用者的生物特徵。
  • 金融服務:台灣金管會在數位身分驗證指引中,也強調依風險等級選擇合適的驗證機制,近端驗證屬於高信賴等級的方式。
  • 企業安全:常用於防釣魚 MFA,避免 Tycoon 2FA 類平台攔截驗證流程。


Tycoon 2FA 的威力在於它完全消除了對技術技能的需求,將釣魚攻擊變成了一種完全打包、精良且高度自動化的「服務」。攻擊者只需將連結發送給數百名員工,然後等待上鉤者。受害者一旦點擊,Tycoon 2FA 會即時攔截並轉送用戶名、密碼,並將 MFA 流程直接代理到合法的 Microsoft 或 Google 伺服器,受害者誤以為自己只是通過了一項安全檢查,而實際上,他們正在為攻擊者進行身份驗證。

最可怕的部分是,即使是受過良好訓練的用戶也會上當,因為頁面與合法服務完全一致,甚至能夠動態地從合法伺服器提取實時響應。當 Microsoft 或 Google 要求輸入驗證碼時,假頁面會即時更新。這種中間人攻擊(Man-in-the-Middle by Design)使得任何傳統的 MFA 或身份驗證器應用程式都束手無策,因為 Tycoon 本質上是將用戶變成了攻擊媒介。

除了中繼攻擊本身,Tycoon 2FA 還整合了媲美商業惡意軟體的反偵測層。這包括 Base64 編碼、LZ 字符串壓縮、DOM 消失(DOM vanishing)和 CryptoJS 混淆等技術。該工具包會向掃描器和研究人員隱藏自己,只有在真實人類目標出現時才會展開真正的攻擊行為。一旦會話接管完成,攻擊者就可以在 Microsoft 365 或 Gmail 內部獲得完整的會話存取權限,從而輕易地橫向移動到 SharePoint、OneDrive、電子郵件和財務系統等核心企業資產。

傳統 MFA 的崩潰在於它們都分享了同一個核心缺陷:它們依賴於使用者在攻擊發生的當下,能注意到細微的異常並做出正確的判斷。它們提供的是可被攔截、轉發或重播的「共享秘密」。包括像 Scattered Spider、Octo Tempest 和 Storm 1167 等大型犯罪集團都在日常利用這類現成的工具包,因為它們簡單、可擴展,且不需要高深的技術複雜性。企業部署傳統 MFA 最終只會使自己成為攻擊者的蜜罐。

因此,出路只有一個:基於 FIDO2 硬體的生物辨識防釣魚身份驗證。這種架構的優勢在於它從決策樹中移除了「人為判斷」的環節。它不是希望用戶能識別出一個虛假的登入頁面,而是由身份驗證器本身以加密方式檢查網站的來源。它不是要求用戶拒絕惡意的推播請求,而是從一開始就不會接收到推播請求。它使用硬體而不是用戶的判斷力來驗證身份。這種解決方案具備無密碼、無線、速度快(只需兩秒)的特點,提供了更優越的用戶體驗和更強大的安全態勢。當身份安全綁定到必須強制執行來源檢查和近距離要求的物理生物辨識設備時,Tycoon 2FA 或其後續者的中繼攻擊就會立即失敗,從根本上讓釣魚工具包變得無關緊要。這是每個企業必須接受的現實:犯罪分子已經升級,防禦措施必須同步進化。


資料來源:https://www.bleepingcomputer.com/news/security/the-tycoon-2fa-phishing-platform-and-the-collapse-of-legacy-mfa/
 
即服務型釣魚平台Tycoon 2FA的出現對企業賴以生存的多因素身份驗證(MFA)構成全球性的警報