اقتحام الحصن: كيف تم تفكيك إمبراطورية التصيّد التابعة لـ Tycoon 2FA

بدأ الأمر بسيلٍ من رسائل البريد الإلكتروني المشبوهة - بالملايين - تتسلّل متجاوزةً ضوابط الأمان وتهبط في صناديق الوارد عبر قطاعات الرعاية الصحية والدفاع والتعليم والجهات الحكومية. خلف هذه الحملات كان يتربّص Tycoon 2FA، وهو نشاط مراوغ للتصيّد كخدمة سخر من المصادقة متعددة العوامل (MFA)، واخترق عشرات الآلاف من الحسابات بكفاءة قاسية. هذا الأسبوع، أغلقت أخيرًا مجموعةٌ من عمالقة الأمن السيبراني وجهات إنفاذ القانون الدولية البنية التحتية الإجرامية لـ Tycoon، في لحظة مفصلية في مواجهة هجمات الخصم-في-الوسط (AiTM).

حقائق سريعة

• مكّن Tycoon 2FA المهاجمين من تجاوز حماية MFA على حسابات Microsoft 365 وGmail.
• تم رصد أكثر من ثلاثة ملايين رسالة تصيّد مرتبطة بـ Tycoon 2FA في فبراير 2026 وحده.
• أدت العملية إلى اختراق عشرات الآلاف من حسابات المستخدمين، كثيرٌ منها في قطاعات حيوية.
• شمل التفكيك المنسّق Microsoft وProofpoint وEuropol وجهات إنفاذ قانون من ست دول.
• استولت Microsoft على 330 نطاقًا إجراميًا ورفعت دعوى قضائية ضد المُنشئ المزعوم سعد فريدي.

تشريح آلة تصيّد جارفة

لم يكن Tycoon 2FA مجرد أداة تصيّد أخرى - بل أعاد تعريف مشهد التهديدات. وقد بيع كخدمة للمجرمين الإلكترونيين، فحوّل تقنيات الخصم-في-الوسط (AiTM) إلى سلاح لاعتراض ليس فقط أسماء المستخدمين وكلمات المرور، بل أيضًا ملفات تعريف ارتباط الجلسة. هذه الملفات، التي تُصادق على المستخدمين حتى بعد نجاح MFA، أتاحت للمهاجمين الالتفاف على أحد آخر خطوط الدفاع في أمن الحسابات الحديث. وبمجرد الدخول، حصلوا على وصول كامل - غالبًا دون اكتشاف - إلى البريد الإلكتروني وخدمات السحابة والبيانات الحساسة.

كشفت أبحاث التهديدات لدى Proofpoint أن Tycoon 2FA كان مسؤولًا عن أكبر حجم من حملات تصيّد AiTM تم تسجيله على الإطلاق. وفي إحصائية مقلقة، وجدوا أنه بحلول عام 2025 واجهت 99% من المؤسسات محاولات للاستيلاء على الحسابات، ونجح 67% من تلك المحاولات - واللافت أن 59% من الحسابات المخترقة كانت MFA مفعّلة.

استهدفت عملية Tycoon مؤسساتٍ يمكن أن يكون فيها حسابٌ واحد مخترق بوابةً لسرقة بيانات واسعة النطاق، أو لبرمجيات فدية، أو لهجمات مدمّرة على سلسلة الإمداد. واستغل المهاجمون رسائل البريد الإلكتروني المختطفة كنقاط ارتكاز لإطلاق ضربات لاحقة أو لتهريب بيانات ملكية. لقد باتت الثقة في MFA، التي طالما عُدّت معيارًا ذهبيًا، تحت الحصار.

مطاردة عالمية وضربة قانونية

كان تفكيك Tycoon 2FA إنجازًا في التحليل الجنائي السيبراني العابر للحدود والمناورة القانونية. نسّقت Europol مع سلطات من لاتفيا وليتوانيا والبرتغال وبولندا وإسبانيا والمملكة المتحدة للاستيلاء على البنية التحتية التي كانت تُشغّل هذا المشروع الإجرامي. ورفعت Microsoft، بدعم من Health-ISAC وProofpoint، دعوى مدنية في نيويورك ضد سعد فريدي، العقل المدبر المزعوم لـ Tycoon 2FA، وضد شركاء مجهولين. وتمت مصادرة أكثر من 330 نطاقًا استُخدمت للقيادة والتحكم، ما قطع وصول المهاجمين وعطّل الحملات الجارية.

ومع أن ظل Tycoon 2FA قد يظل حاضرًا - فالتصيّد كخدمة هيدرا تنمو رؤوسها من جديد - فإن تفكيك العملية يوجّه ضربة حاسمة لمن يستغلون نقاط ضعف MFA. وبالنسبة للمؤسسات، فالرسالة واضحة: يجب أن يتطور اليقظ الأمني بالسرعة نفسها التي تتطور بها التهديدات، ولا يوجد إجراء أمني محصّن تمامًا.

نظرة إلى الأمام

سقوط Tycoon 2FA محطة بارزة، لكنه ليس النهاية. إن حجم الحملة وتعقيدها يبيّنان أن الهوية الرقمية هي ساحة المعركة الجديدة، وأن المهاجمين سيواصلون الابتكار لاختراق الدفاعات. ومع ازدياد قوة التحالفات بين جهات إنفاذ القانون والقطاع الخاص، يجب أن تزداد كذلك عزيمتنا الجماعية على حماية مفاتيح ممالكنا الرقمية.

WIKICROOK

• التصيّد: التصيّد جريمة سيبرانية يرسل فيها المهاجمون رسائل مزيفة لخداع المستخدمين كي يكشفوا بيانات حساسة أو ينقروا روابط خبيثة.
• متعدد: يشير "متعدد" إلى استخدام مزيج من تقنيات أو أنظمة مختلفة - مثل أقمار LEO وGEO - لتحسين الاعتمادية والتغطية والأمان.
• الخصم: الخصم هو أي شخص أو مجموعة تحاول اختراق أنظمة الحاسوب أو البيانات، غالبًا لأغراض خبيثة مثل السرقة أو التعطيل.
• ملف تعريف ارتباط الجلسة: ملف تعريف ارتباط الجلسة هو ملف مؤقت في متصفحك يُبقيك مسجّلًا الدخول إلى موقع؛ وإذا سُرق فقد يتيح للآخرين الوصول إلى حسابك.
• الاستيلاء على الحساب (ATO): يحدث الاستيلاء على الحساب (ATO) عندما يسيطر مجرم إلكتروني على حساب مستخدم حقيقي عبر سرقة بيانات تسجيل الدخول، غالبًا لأغراض خبيثة.