Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Tycoon 2FA: la nuova minaccia PhaaS che aggira la doppia autenticazione

Sandro Sana : 27 Marzo 2024 07:08

Tycoon 2FA è una piattaforma di phishing as a service (PhaaS) che permette ai cybercriminali di lanciare attacchi mirati agli account Microsoft 365 e Gmail, sfruttando una tecnica sofisticata per eludere la protezione della doppia autenticazione (2FA).

Si tratta di una minaccia emergente, che è stata scoperta per la prima volta dagli analisti di Sekoia nell’ottobre del 2023, ma che è attiva almeno dall’agosto dello stesso anno. La piattaforma è offerta dai criminali informatici noti come Saad Tycoon, che la pubblicizzano attraverso canali privati su Telegram. Tycoon 2FA non è l’unica piattaforma di PhaaS esistente, ma presenta delle caratteristiche distintive che la rendono particolarmente pericolosa e difficile da rilevare.

Le somiglianze e le differenze con altre piattaforme di PhaaS

Le piattaforme di PhaaS sono dei servizi che consentono ai malintenzionati di creare e distribuire campagne di phishing personalizzate, senza dover disporre di competenze tecniche elevate o di infrastrutture complesse. Alcune delle piattaforme di PhaaS più note sono AitM, Dadsec OTT e L0gin, che offrono ai loro clienti la possibilità di scegliere tra diversi template di phishing, configurare i parametri di attacco e monitorare i risultati.

Allegati e-mail che reindirizzano gli utenti alle pagine di phishing 2FA del magnate, distribuiti nell’ottobre 2023 (Fonte Sekoia)

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)

  • Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Tycoon 2FA presenta delle somiglianze con queste piattaforme, come ad esempio l’utilizzo di un pannello di controllo per gestire le campagne, la possibilità di scegliere tra diversi domini e la presenza di un sistema di pagamento basato su criptovalute. Tuttavia, Tycoon 2FA si differenzia dalle altre piattaforme di PhaaS per il suo focus specifico sugli account Microsoft 365 e Gmail e per la sua capacità di aggirare i meccanismi di doppia autenticazione, che sono considerati uno dei principali strumenti di difesa contro il phishing.

    Come Tycoon 2FA riesce a eludere la doppia autenticazione

    La doppia autenticazione, o 2FA, è un metodo di sicurezza che richiede all’utente di fornire due fattori di verifica per accedere a un servizio online, come ad esempio una password e un codice inviato via SMS o tramite un’applicazione. Questo metodo rende più difficile per gli attaccanti di phishing di rubare le credenziali degli utenti, in quanto non basta intercettare la password, ma bisogna anche ottenere il secondo fattore.

    Tycoon 2FA, però, è in grado di eludere questo ostacolo, utilizzando una tecnica chiamata server proxy inverso con una pagina di phishing. Questa tecnica consiste nel creare una pagina di phishing che replica fedelmente l’aspetto del servizio legittimo, ma che in realtà funge da intermediario tra l’utente e il servizio stesso. In questo modo, quando l’utente inserisce le sue credenziali nella pagina di phishing, queste vengono inviate al servizio legittimo, che a sua volta richiede il secondo fattore di autenticazione.

    Figura 2. Pagina di accesso del pannello di amministrazione di Tycoon 2FA e del sito web di Tycoon 2FA (tycoongroup[.]ws), a ottobre 2023 (Fonte Sekoia)

    La pagina di phishing, però, intercetta anche il secondo fattore, che viene inserito dall’utente e trasmesso al servizio legittimo. In questo modo, l’attaccante riesce a ottenere un’autenticazione riuscita e a rubare i cookie di sessione, che gli consentono di riutilizzare la sessione dell’utente e accedere al suo account, aggirando i meccanismi di 2FA.

    Le raccomandazioni degli esperti per difendersi da Tycoon 2FA

    Tycoon 2FA è una minaccia in continua evoluzione, che ha già rilasciato una nuova versione più avanzata nel 2024, utilizzando attualmente oltre 1100 domini collegati a migliaia di attacchi di phishing. Gli esperti di Sekoia hanno pubblicato un rapporto dettagliato sulla piattaforma, fornendo ulteriori approfondimenti sulle sue funzionalità e sulle sue tattiche. Per difendersi da Tycoon 2FA, gli esperti raccomandano di adottare alcune misure di sicurezza, come ad esempio:

    • Verificare sempre l’URL della pagina di accesso, controllando che corrisponda a quello del servizio legittimo e che sia protetto da HTTPS.
    • Non fidarsi di email che richiedono di accedere a un servizio online, ma accedere sempre tramite il browser o l’applicazione ufficiale.
    • Utilizzare un gestore di password per creare e memorizzare password sicure e uniche per ogni servizio online.
    • Utilizzare un’autenticazione a più fattori basata su applicazioni dedicate, come Google Authenticator o Microsoft Authenticator, anziché su SMS o email, che sono più vulnerabili agli attacchi di phishing.
    • Utilizzare una soluzione di sicurezza informatica che sia in grado di rilevare e bloccare le pagine di phishing, come ad esempio Sekoia Endpoint Detection and Response.

    Queste sono alcune buone pratiche per proteggersi dal phishing, ma non sono sufficienti a evitare del tutto il rischio. Il phishing è una tecnica di ingegneria sociale che sfrutta la psicologia e le emozioni degli utenti per indurli a cliccare su link o allegati infetti, o a fornire informazioni sensibili. Per contrastare questo tipo di attacco, è necessario avere una buona cultura della sicurezza informatica, che si basa sulla formazione, sulla consapevolezza e sul senso critico. Le aziende dovrebbero investire nella security awareness dei propri dipendenti, insegnando loro a riconoscere i segnali di un tentativo di phishing e a verificare sempre la fonte e la legittimità delle richieste che ricevono. La security awareness è uno strumento fondamentale per difendersi dal phishing e da altre minacce informatiche.

    Sandro Sana
    Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA.
    Visita il sito web dell'autore

    Articoli in evidenza

    Shock Hacking: Come Guidare una Nissan Leaf Da Remoto! La ricerca al Black Hat Asia 2025

    I ricercatori della PCAutomotive hanno evidenziato diverse vulnerabilità nel veicolo elettrico Nissan Leaf. Gli esperti hanno dimostrato che i bug potrebbero essere utilizzati per l...

    Il Comune di Grosseto finisce su Breach Forums. 13GB in possesso dei criminali informatici?

    Poche ore fa, all’interno del famoso forum underground Breach Forums, un post da parte dell’utente “sentap” ha riportato la potenziale violazione dei dati dal Comune di Gro...

    Sta per partire la Quinta Edizione in Live Class del Corso Darkweb & Cyber Threat Intelligence

    Dopo che il quarto corso si è concluso e i partecipanti iniziano ad entrare sempre più all’interno della CTI Attraverso i laboratori del gruppo DarkLab, il team di Formazione di Red H...

    Attacco alla Supply Chain della Supply Chain: nuove vulnerabilità sistemiche e approccio alle terze parti

    Negli ultimi anni, la cybersecurity ha iniziato a guardare con crescente preoccupazione non solo alle vulnerabilità interne alle organizzazioni, ma a quelle che si insinuano nei loro fornitori. &...

    La Tragedia Di Andrea Prospero E Il Lato Oscuro Delle Droghe Online: Un Allarme Da Non Ignorare

    La recente scomparsa di Andrea Prospero, avvenuta a Perugia dopo l’ingestione di pasticche di Oxycodone (meglio noto come OxyContin), ha acceso i riflettori su un fenomeno preoccupante che si s...