三月四日,一個叫 Tycoon 2FA 的平台被摧毀了。
Europol 主導這次行動,參與方包括 Microsoft、Cloudflare、Proofpoint、Trend Micro、Coinbase,共 13 家機構。扣押 330 個控制面板域名,點名主嫌為巴基斯坦籍的 Saad Fridi。從技術層面看,這是一次成功的執法行動。
但我想聊一個在大多數資安報導裡沒人細說的角度:Tycoon 2FA 是一家 SaaS 公司——只不過它的產品是繞過你公司的多因素驗證(MFA)。它有訂閱方案、定價頁面、客服面板、持續的版本迭代。如果不考慮它是犯罪工具,這個「產品」做得相當扎實。
Tycoon 2FA 瓦解行動速覽(2026-03-04)
- 規模:峰值每月發送 3,000 萬封釣魚郵件,累計攻擊逾 9.6 萬名受害者(其中 5.5 萬名是 Microsoft 客戶)
- 市占:高峰期占 Microsoft 攔截所有釣魚嘗試的 62%
- 定價:訂閱制,10 天 $120 美元;30 天 $350 美元
- 用戶:約 2,000 名付費使用者,使用超過 24,000 個域名
- 行動規模:Europol + Microsoft 等 13 家機構聯合,扣押 330 個控制面板域名
- 成效:行動前數月流量已下降 57.6%(2025-11 至 2026-01)
- 主嫌:巴基斯坦籍 Saad Fridi(已由 Microsoft 公開指名)
攻擊者先完成了「產品化」
先說清楚 Tycoon 2FA 到底做了什麼事。
傳統的網路釣魚很簡單:寄一封假的 Microsoft 登入頁面,騙用戶輸入帳密。但 MFA 出現後,這招就失效了——就算帳密被偷,攻擊者還是過不了驗證碼那道關。
Tycoon 2FA 的核心技術叫 AitM(Adversary-in-the-Middle,攻擊者居中攻擊)。它不是只偷帳密,而是在釣魚頁面背後即時轉發整個登入過程,連 MFA 的驗證請求都一起轉發、攔截 Session Token。用戶完成了 MFA 驗證,攻擊者也拿到了可以直接用的 Session——MFA 的防禦形同繞過。
這個技術本身不新,但 Tycoon 2FA 做到的,是把它工業化、產品化。
你不需要懂 AitM 攻擊原理,你只需要訂閱。$120 買 10 天試用,$350 一個月全功能,面板裡有現成的釣魚範本、域名輪換、攔截紀錄,甚至有 Telegram 客服支援。產品介面的設計邏輯,和 HubSpot 或 Mailchimp 的操作後台沒什麼兩樣。
釣魚攻擊的資本門檻,已經降到比 Netflix 年費還低的地方。
這不只是一個技術問題。這是一個產業結構問題:當攻擊工具比防禦工具更快完成 SaaS 化,攻守之間的不對稱性就會急速擴大。
MFA 不再是「黃金標準」
MFA 在過去十年一直是企業資安的最高 CP 值建議。費用低、實施門檻低、效果顯著——Google 的研究曾顯示,加上 MFA 可以阻擋超過 99% 的自動化帳號攻擊。
Tycoon 2FA 的存在,讓這個數字必須被重新詮釋。
那 99% 是針對帳密填充攻擊(credential stuffing)——用已洩露的帳密清單大量嘗試登入。對這種攻擊,MFA 確實有效。但 AitM 釣魚攻擊是完全不同的威脅模型:它不是猜帳密,而是讓你自己登入、然後攔截你的 Session。MFA 在這個場景下,只是多了一道被它一起繞過的關卡。
Tycoon 2FA 高峰期占 Microsoft 攔截釣魚嘗試的 62%,這個數字說的是:在目前主流的企業 MFA 生態裡,每一百次被攔截的釣魚攻擊,其中超過六十次的攻擊者已經不再被 MFA 擋住——他們只是沒被其他機制攔截。
這對整個企業資安的 framework 有很實際的影響。如果你的資安策略的核心假設是「有了 MFA 就安全多了」,那這個假設需要更新。
不是說 MFA 沒用。而是說,MFA 的威脅模型已經被新的攻擊向量部分穿透,光靠 MFA 不夠。下一道防線必須在 Session 層:實裝設備綁定的 FIDO2 硬體金鑰、零信任的持續性行為驗證、Session Token 的存活期管控。
這些工具都存在,但導入成本和複雜度比 MFA 高出一個數量級。
13 家機構聯手,值得嗎?
這次行動的規模,是近年資安執法裡少見的。Europol 主導,Microsoft、Cloudflare、Proofpoint、Trend Micro、Coinbase、SpyCloud 參與。橫跨執法機關、平台巨頭、資安廠商、金融機構——這不是某個政府部門自己搞定的事,這是一次跨部門、跨私部門的協調。
這個模式值得細看,因為它代表了一個新的資安治理邏輯:私部門的能見度和行動能力,已經超過傳統執法機關。
Microsoft 知道 Tycoon 2FA 的存在,是因為它在大規模分析自己的企業客戶的釣魚攻擊數據。Cloudflare 的角色是偵測到釣魚域名並協助移除。這些都是私人公司在做的事,執法機關沒有這樣的數據管道。
但這也帶來一個張力:私部門公司在什麼條件下「應該」或「有義務」分享威脅情報?這次 13 家機構願意合作,在很大程度上是因為這件事對各方都有明確利益——Microsoft 的企業客戶被攻擊、Cloudflare 的基礎設施被濫用、Coinbase 的用戶是攻擊目標。
如果利益不對齊,這種合作就很難成立。
三個問題,一個答案都沒有
Tycoon 2FA 的崛起,本身就是釣魚市場生態更替的結果——它在 2023 年出現時,另一批 PhaaS 平台(如 Caffeine、RaccoonO365)正好陷入混亂。歷史上的 Emotet、Hive、REvil 都走過同樣的路:摧毀一個平台,空出的市場份額會被下一個填補。平台瓦解是「拔除一個供應商」,不是「摧毀一個市場」。
Microsoft 選擇公開 Saad Fridi 的名字,這在私部門是不常見的。這種「名點戰術(naming and shaming)」的邏輯是:提高犯罪成本——讓主嫌在實體世界受到旅行限制、金融封鎖和社會壓力。但它有效的前提,是主嫌身處一個和西方司法機關有引渡協議的司法管轄區。巴基斯坦在這方面的配合度,是個問號。
2026 年全球防釣魚市場約 $34.6 億美元,而釣魚攻擊每年造成的 BEC(商業電郵詐騙)損失,僅美國 FBI 統計就有 $27.7 億美元。防禦支出和攻擊損失幾乎在同一個數量級,但攻擊者的「成本」只有 $350/月的訂閱費。這個不對稱,不是技術問題能解決的——這是一個結構性的攻防成本比問題。
Tycoon 2FA 的「產品成功」
我想在這裡說一件有點反直覺的事:Tycoon 2FA 作為一個「產品」,是成功的。
它找到了一個明確的市場需求(繞過 MFA),建立了一個可持續的商業模式(訂閱制),維持了足夠的技術水準(持續更新、多版本迭代),並且在競爭激烈的黑市裡建立了市場地位(62% 市占)。如果你去掉「這是犯罪工具」這個前提,Tycoon 2FA 的 PMF 比大多數合法的資安新創更清晰。
這件事說的其實是一個資安產業長久以來的結構性問題:攻擊者的產品迭代速度,系統性地快於防禦者。
原因不複雜。攻擊者的客戶反饋循環非常短——釣魚成功就是產品有效,失效就是要修版。他們不需要通過合規審查、不需要企業採購週期、不需要說服 CIO 接受 budget,只需要在 Telegram 頻道更新一個版本說明。
防禦工具的採購和部署流程,往往比威脅演化的速度慢半個身位。
Saad Fridi 被點名之後
我不知道 Saad Fridi 接下來會怎樣。
如果他在巴基斯坦,短期內大概不會被引渡。但他的基礎設施被摧毀了,2,000 名付費客戶突然失去服務,而他的臉和名字已經在 Microsoft 的安全部落格和 Europol 的官方聲明裡出現。
這次行動真正的效果,可能不在於逮到 Fridi,而在於提高其他潛在模仿者的心理成本。知道自己可能被公開點名,是比知道「可能被逮捕」更即時的威懾——因為前者已經發生了。
但同樣確定的是:Tycoon 2FA 的市場空缺,不會空太久。
有一個數字很能說明這個行業的韌性:2025 年 11 月到 2026 年 1 月,也就是執法行動前數個月,Tycoon 2FA 的流量已經下降了 57.6%。但在這段期間,整體 AitM 釣魚攻擊流量幾乎沒有減少——因為已經有其他平台在填補空缺。
Tycoon 2FA 不是 AitM 釣魚市場,它只是這個市場裡最大的一個供應商。
你的 IT 部門今天用的 MFA 設定,在下一個 Tycoon 2FA 出現時,還夠嗎?
數據來源:Microsoft Security Blog(2026-03-04)、Cloudflare Threat Intelligence Report、Europol 官方新聞稿、Proofpoint 2026 年 2 月威脅報告、FBI 2025 Internet Crime Report、Fortune Business Insights 防釣魚市場報告。