歐洲刑警組織（Europol）聯合微軟、Trend Micro、Cloudflare等科技巨頭與資安廠商，成功瓦解全球最具規模的釣魚即服務（Phishing-as-a-Service，PhaaS）平台之一——Tycoon 2FA。該平台自2023年起廣泛被網路犯罪集團使用，以其高效繞過多因素驗證（MFA）的能力聞名，估計已造成約9.6萬名受害者，其中超過5.5萬為微軟客戶。此次行動共查扣330個域名，並在拉脫維亞、立陶宛、葡萄牙、波蘭、西班牙與英國等地執行基礎設施查扣與執法措施。資安專家警告，雖然平台暫時癱瘓，但營運者極可能重建或轉移，台灣企業與個人仍需立即轉向釣魚抗性MFA防護。

 

Tycoon 2FA於2023年透過Telegram頻道「Saad Tycoon Group」開始販售，每月訂閱費約120美元，即可讓中低階駭客快速建立逼真釣魚攻擊。平台最致命功能為「對手在中間」（Adversary-in-the-Middle，AitM）攻擊：不使用傳統假登入頁面，而是即時代理真實的Microsoft 365或Google登入頁面。當受害者輸入帳號密碼與MFA碼時，Tycoon 2FA將資訊轉發給合法服務完成驗證，同時攔截回傳的認證權杖（session token）與Cookie。攻擊者即可將這些權杖匯入自家瀏覽器，繞過MFA直接接管受害帳號。

 

微軟數位犯罪部門助理總法律顧問Steven Masada表示：「到2025年中，Tycoon 2FA已佔微軟阻擋所有釣魚攻擊的62%，單月最高攔截超過3,000萬封惡意郵件，成為全球最大釣魚操作之一。」Cloudflare研究簡報補充，攻擊者常利用被劫持的企業郵件帳號進行商業郵件詐騙（BEC），監控內部通訊與財務流程後，偽造合法發票寄給合作廠商或供應商，導致巨額資金損失。

 

Proofpoint資深威脅研究員Selena Larson指出，Tycoon 2FA之所以廣受歡迎，除了MFA繞過能力，還因其持續更新、操作簡單與強大反分析技術。「平台定期升級程式碼、加入混淆、重度過濾與CAPTCHA，讓研究人員與沙箱難以追蹤。對中低技術駭客而言，這是極低門檻的高效率工具。」

 

Trend Micro資安研究員在部落格表示，雖然此次行動重創Tycoon 2FA，但犯罪集團適應力極強。「營運者向來擅長重建、遷移基礎設施。已竊取的憑證與權杖仍在暗網流通，過去用戶可能繼續運作。」Trend Micro、微軟、Cloudflare、Coinbase、Intel471、Shadowserver Foundation與SpyCloud等參與單位將持續監控Tycoon 2FA殘餘活動與潛在復活跡象。

 

對台灣影響深遠。台灣企業高度依賴Microsoft 365與Google Workspace，BEC與帳號接管攻擊已成主要威脅來源。Tycoon 2FA的MFA繞過能力，讓傳統簡訊、應用程式或推播通知MFA形同虛設。近期台灣金融、製造與科技業頻傳帳號被盜用詐騙事件，若未及時升級防護，恐成為下波攻擊目標。

 

資安專家一致建議轉向「釣魚抗性MFA」（phishing-resistant MFA），包括：

 

Proofpoint的Ryan Witt總結：「憑證仍是攻擊者首要目標。釣魚抗性MFA雖無法完全消除風險，但可大幅降低AitM攻擊成功率。」Trend Micro強調：「這場戰爭尚未結束。企業應視Tycoon 2FA拆除為警訊，而非終點。」

 

當虛擬世界最強釣魚工具被摧毀，台灣企業卻不能鬆懈。MFA升級已不再是選項，而是保護企業與個人數位身分的必要防線。

 

 

出處： 基於Dark Reading文章《Tycoon 2FA Goes Boom as Europol, Vendors Bust Phishing Platform》，作者Rob Wright，發布日期2026年3月6日；並參考Europol官方公告、微軟數位犯罪部門部落格、Cloudflare研究簡報、Proofpoint資深研究員Selena Larson與Trend Micro相關分析。