O crescimento do kit de phishing Tycoon 2FA deve ser um alerta global para todas as empresas.
Esse recurso não é exclusivo de hackers avançados.
Trata-se de um kit pronto para uso, acessível a qualquer pessoa com um navegador, capaz de burlar o MFA (multi-factor authentication) e os aplicativos de autenticação em que as corporações confiam — e está sendo usado em larga escala.
Mais de 64 mil ataques foram registrados neste ano, muitos tendo como alvos Microsoft 365 e Gmail por serem as portas de entrada mais rápidas e fáceis para ambientes corporativos.
A força do Tycoon 2FA está em eliminar a necessidade de conhecimento técnico.
Ele funciona como Phishing as a Service, totalmente empacotado, refinado e automatizado.
Mesmo um adolescente sem experiência em programação pode utilizá-lo, pois o kit orienta todo o processo, oferece páginas falsas de login e configura servidores proxy reversos.
Todo o trabalho pesado fica a cargo do kit.
O invasor só precisa enviar um link para centenas de colaboradores e aguardar que alguém caia no golpe.
Quando a vítima clica, o Tycoon 2FA assume o controle.
Ele captura em tempo real nomes de usuário, senhas e cookies de sessão.
Faz o proxy do fluxo de MFA diretamente com Microsoft ou Google.
A vítima acredita estar passando por uma verificação legítima, mas na verdade está autenticando o atacante.
Essa é a parte assustadora.
Mesmo usuários treinados podem ser enganados, já que as páginas falsas são idênticas às verdadeiras pixel a pixel e dinâmicas, atualizando informações em tempo real conforme solicitação dos servidores legítimos.
Se a Microsoft solicitar o código, a página o exibe instantaneamente.
Se o Google enviar uma solicitação, ela aparece exatamente como esperado.
Não há diferenças visíveis, pistas ou mecanismos em apps autenticadores que consigam bloquear o ataque, já que o Tycoon atua como um man-in-the-middle por design.
Dificultando ainda mais a detecção, o Tycoon 2FA incorpora camadas anti-detecção semelhantes a malwares comerciais, com técnicas como codificação Base64, compressão LZ string, desaparecimento no DOM, ofuscação CryptoJS, filtros automáticos de bots, desafios CAPTCHA e checagens de debugger.
Ele se oculta de scanners e pesquisadores, revelando seu comportamento apenas quando um alvo humano acessa o link.
Após o roubo das credenciais, o invasor obtém controle total da sessão em Microsoft 365 ou Gmail.
A partir daí, o movimento lateral atinge SharePoint, OneDrive, e-mails, Teams, além de sistemas de RH e financeiros — um phishing bem-sucedido gera comprometimento total.
É por isso que o MFA tradicional falha.
Implementar esses sistemas hoje transforma sua empresa em um alvo facilitado.
SMS, notificações push e apps TOTP compartilham a mesma vulnerabilidade: dependem da ação correta do usuário, que precisa perceber algo errado.
Eles expõem aos atacantes segredos compartilhados que podem ser interceptados, repassados ou reutilizados.
Kits como o Tycoon exploram exatamente essa fragilidade, transformando o usuário no vetor do ataque.
Até mesmo passkeys demonstram vulnerabilidades quando sincronizadas via nuvem ou em casos com rotas de recuperação sujeitas à engenharia social.
Organizações criminosas como Scattered Spider, Octo Tempest e Storm 1167 utilizam esses kits diariamente.
É o método de ataque que cresce mais rápido no mundo, por ser simples, escalável e exigir pouca habilidade técnica.
Empresas que adotam MFA e apps autenticadores percebem que esses sistemas caem ao primeiro kit de phishing que os mira.
A realidade é clara: se o usuário pode ser enganado a inserir um código ou aprovar uma solicitação, o invasor vence — e o Tycoon faz exatamente isso.
Entretanto, há um caminho seguro e fácil para avançar: autenticação biométrica à prova de phishing, baseada em FIDO2 e hardware.
Um sistema de autenticação por proximidade, vinculado ao domínio, impossível de ser relayado ou falsificado.
Neste modelo, não há códigos para digitar, aprovações para realizar, segredos compartilhados para interceptação nem possibilidade de o usuário ser enganado para ajudar o atacante.
Esse sistema rejeita automaticamente sites falsos e exige uma correspondência biométrica ao vivo em um dispositivo físico próximo ao computador utilizado.
Essa abordagem muda tudo ao tirar o usuário do processo decisório.
Em vez de depender de percepção humana para identificar páginas falsas, o próprio autenticador valida criptograficamente a origem.
Em vez de esperar que o usuário rejeite um push malicioso, o autenticador simplesmente não recebe solicitações falsas.
Não é questão de julgamento humano, mas de autenticação segura via hardware.
Essa é a proposta por trás do Token Ring e do Token BioStick: autenticação anti-phishing por arquitetura, biométrica por exigência, baseada em proximidade e vinculada ao domínio via criptografia.
Não há códigos para roubar, aprovações para enganar nem fluxos de recuperação para exploradores.
Mesmo que o usuário clique no link errado, forneça a senha ou seja vítima de engenharia social, a autenticação falha porque domínio e impressão digital biométrica não correspondem.
O Tycoon 2FA simplesmente não ultrapassa essa barreira; o ataque é interrompido de imediato.
Essas soluções já estão no mercado a custos acessíveis.
Empresas que adotam esses dispositivos relatam alta adesão dos funcionários, rapidez na autenticação (cerca de 2 segundos), ausência de senhas para lembrar ou digitar e uma experiência superior, acompanhada por muito mais segurança.
Quando a identidade está firmada em um dispositivo biométrico físico que faz checagens de origem e exige proximidade, kits de phishing perdem relevância.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...