Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Tycoon 2FA: la nuova minaccia PhaaS che aggira la doppia autenticazione

Sandro Sana : 27 Marzo 2024 07:08

Tycoon 2FA è una piattaforma di phishing as a service (PhaaS) che permette ai cybercriminali di lanciare attacchi mirati agli account Microsoft 365 e Gmail, sfruttando una tecnica sofisticata per eludere la protezione della doppia autenticazione (2FA).

Si tratta di una minaccia emergente, che è stata scoperta per la prima volta dagli analisti di Sekoia nell’ottobre del 2023, ma che è attiva almeno dall’agosto dello stesso anno. La piattaforma è offerta dai criminali informatici noti come Saad Tycoon, che la pubblicizzano attraverso canali privati su Telegram. Tycoon 2FA non è l’unica piattaforma di PhaaS esistente, ma presenta delle caratteristiche distintive che la rendono particolarmente pericolosa e difficile da rilevare.

Le somiglianze e le differenze con altre piattaforme di PhaaS

Le piattaforme di PhaaS sono dei servizi che consentono ai malintenzionati di creare e distribuire campagne di phishing personalizzate, senza dover disporre di competenze tecniche elevate o di infrastrutture complesse. Alcune delle piattaforme di PhaaS più note sono AitM, Dadsec OTT e L0gin, che offrono ai loro clienti la possibilità di scegliere tra diversi template di phishing, configurare i parametri di attacco e monitorare i risultati.

Allegati e-mail che reindirizzano gli utenti alle pagine di phishing 2FA del magnate, distribuiti nell’ottobre 2023 (Fonte Sekoia)

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Tycoon 2FA presenta delle somiglianze con queste piattaforme, come ad esempio l’utilizzo di un pannello di controllo per gestire le campagne, la possibilità di scegliere tra diversi domini e la presenza di un sistema di pagamento basato su criptovalute. Tuttavia, Tycoon 2FA si differenzia dalle altre piattaforme di PhaaS per il suo focus specifico sugli account Microsoft 365 e Gmail e per la sua capacità di aggirare i meccanismi di doppia autenticazione, che sono considerati uno dei principali strumenti di difesa contro il phishing.

    Come Tycoon 2FA riesce a eludere la doppia autenticazione

    La doppia autenticazione, o 2FA, è un metodo di sicurezza che richiede all’utente di fornire due fattori di verifica per accedere a un servizio online, come ad esempio una password e un codice inviato via SMS o tramite un’applicazione. Questo metodo rende più difficile per gli attaccanti di phishing di rubare le credenziali degli utenti, in quanto non basta intercettare la password, ma bisogna anche ottenere il secondo fattore.

    Tycoon 2FA, però, è in grado di eludere questo ostacolo, utilizzando una tecnica chiamata server proxy inverso con una pagina di phishing. Questa tecnica consiste nel creare una pagina di phishing che replica fedelmente l’aspetto del servizio legittimo, ma che in realtà funge da intermediario tra l’utente e il servizio stesso. In questo modo, quando l’utente inserisce le sue credenziali nella pagina di phishing, queste vengono inviate al servizio legittimo, che a sua volta richiede il secondo fattore di autenticazione.

    Figura 2. Pagina di accesso del pannello di amministrazione di Tycoon 2FA e del sito web di Tycoon 2FA (tycoongroup[.]ws), a ottobre 2023 (Fonte Sekoia)

    La pagina di phishing, però, intercetta anche il secondo fattore, che viene inserito dall’utente e trasmesso al servizio legittimo. In questo modo, l’attaccante riesce a ottenere un’autenticazione riuscita e a rubare i cookie di sessione, che gli consentono di riutilizzare la sessione dell’utente e accedere al suo account, aggirando i meccanismi di 2FA.

    Le raccomandazioni degli esperti per difendersi da Tycoon 2FA

    Tycoon 2FA è una minaccia in continua evoluzione, che ha già rilasciato una nuova versione più avanzata nel 2024, utilizzando attualmente oltre 1100 domini collegati a migliaia di attacchi di phishing. Gli esperti di Sekoia hanno pubblicato un rapporto dettagliato sulla piattaforma, fornendo ulteriori approfondimenti sulle sue funzionalità e sulle sue tattiche. Per difendersi da Tycoon 2FA, gli esperti raccomandano di adottare alcune misure di sicurezza, come ad esempio:

    • Verificare sempre l’URL della pagina di accesso, controllando che corrisponda a quello del servizio legittimo e che sia protetto da HTTPS.
    • Non fidarsi di email che richiedono di accedere a un servizio online, ma accedere sempre tramite il browser o l’applicazione ufficiale.
    • Utilizzare un gestore di password per creare e memorizzare password sicure e uniche per ogni servizio online.
    • Utilizzare un’autenticazione a più fattori basata su applicazioni dedicate, come Google Authenticator o Microsoft Authenticator, anziché su SMS o email, che sono più vulnerabili agli attacchi di phishing.
    • Utilizzare una soluzione di sicurezza informatica che sia in grado di rilevare e bloccare le pagine di phishing, come ad esempio Sekoia Endpoint Detection and Response.

    Queste sono alcune buone pratiche per proteggersi dal phishing, ma non sono sufficienti a evitare del tutto il rischio. Il phishing è una tecnica di ingegneria sociale che sfrutta la psicologia e le emozioni degli utenti per indurli a cliccare su link o allegati infetti, o a fornire informazioni sensibili. Per contrastare questo tipo di attacco, è necessario avere una buona cultura della sicurezza informatica, che si basa sulla formazione, sulla consapevolezza e sul senso critico. Le aziende dovrebbero investire nella security awareness dei propri dipendenti, insegnando loro a riconoscere i segnali di un tentativo di phishing e a verificare sempre la fonte e la legittimità delle richieste che ricevono. La security awareness è uno strumento fondamentale per difendersi dal phishing e da altre minacce informatiche.

    Sandro Sana
    Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA.
    Visita il sito web dell'autore

    Articoli in evidenza

    DarkLab intervista HellCat Ransomware! La chiave è “assicurarsi che tutti comprendano la cybersecurity”

    Il ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...

    X/Twitter nel Caos! Un Threat Actors pubblica 2.8 Miliardi di Account Compromessi

    Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...

    Signal è abbastanza sicuro per la CIA e per il CISA. Lo è anche per te?

    Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...

    Addio alle password! La rivoluzione della sicurezza informatica è già iniziata

    Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati comp...

    Alla scoperta della Pseudonimizzazione: Tra definizione e valore giuridico

    La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere a...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006