Вредная привычка жать «Я не робот». Рассказываем, почему в 2026 году нельзя верить даже стандартной проверке капчи

Популярную платформу для кражи аккаунтов попытались «выключить», но эффект оказался недолгим. Уже через считаные дни после операции правоохранительных органов сервис Tycoon2FA снова начал работать почти в прежнем режиме.

4 марта 2026 года Европол сообщил о техническом отключении инфраструктуры Tycoon2FA – сервиса по подписке, который помогал злоумышленникам обходить многофакторную аутентификацию и взламывать почтовые аккаунты. В операции участвовали правоохранительные органы шести стран вместе с частными компаниями. Они перехватили контроль над 330 доменами, на которых держалась работа платформы.

Tycoon2FA появился в 2023 году и быстро стал одним из главных инструментов для фишинга. Сервис работал по модели «вредонос как услуга» и позволял даже неподготовленным участникам запускать сложные атаки. В середине 2025 года на Tycoon2FA приходилось до 62% всех фишинговых атак, которые блокировала Microsoft, а за один месяц платформа рассылала более 30 миллионов вредоносных писем.

После отключения инфраструктуры активность действительно просела, но ненадолго. Уже через день объем атак упал примерно до 25% от прежнего уровня, а затем быстро вернулся к прежним показателям. Одновременно выросло число взломов облачных аккаунтов, что говорит о восстановлении работы сервиса.

Tycoon2FA по-прежнему использует знакомые схемы. Жертве отправляют письмо со ссылкой на поддельную страницу с проверкой «капчи». После прохождения проверки злоумышленники перехватывают сессионные куки и данные для входа. Затем платформа автоматически заходит в аккаунт жертвы, обходя защиту. Поддельные страницы имитируют сервисы Microsoft 365 или Google и часто создаются с помощью генеративных моделей, чтобы выглядеть максимально убедительно.

После мартовской операции злоумышленники не стали менять подходы, но активно используют новые домены и инфраструктуру. В атаках применяются сокращенные ссылки, легальные сервисы для размещения файлов и даже взломанные сайты. Отдельные кампании распространяют вредоносные ссылки через SharePoint или маскируются под деловую переписку, чтобы вызвать доверие.

За первые два дня после операции специалисты зафиксировали не менее 30 атак с использованием Tycoon2FA. При этом часть инфраструктуры пережила отключение, а новые серверы и IP-адреса злоумышленники начали подключать почти сразу. Входы в скомпрометированные аккаунты часто идут с IPv6-адресов европейского провайдера M247.

Интересно, что отдельные попытки использовать инфраструктуру Cloudflare оказались неудачными – вместо фишинговых страниц возвращались заглушки.

История Tycoon2FA хорошо показывает, как сейчас действуют такие сервисы. Даже после потери части инфраструктуры операторы быстро восстанавливаются, регистрируют новые домены и продолжают атаки без заметной паузы. Полное отключение подобных платформ сложно добиться, если за техническими мерами не следуют задержания.

Тем не менее подобные операции все равно бьют по злоумышленникам. Они теряют ресурсы, сталкиваются со сбоями и рискуют репутацией среди «клиентов». Но в случае с Tycoon2FA эффект оказался временным – сервис продолжает работать и остается заметной угрозой.