Coinbase và Microsoft triệt phá nền tảng Tycoon 2FA, chặn ‘dịch vụ phishing’ vượt MFA đe dọa nhà đầu tư crypto

Theo CoinDesk đưa tin ngày 5 (giờ địa phương), các tập đoàn công nghệ lớn và cơ quan thực thi pháp luật quốc tế, trong đó có sàn giao dịch tiền mã hóa *Coinbase* và *Microsoft(MSFT)*, đã phối hợp triệt phá hạ tầng cốt lõi của nền tảng *“từ Tycoon 2FA”*. Đây là một nền tảng “từ dịch vụ phising (Phishing-as-a-Service)” chuyên cung cấp công cụ lừa đảo vượt qua cơ chế *từ xác thực đa yếu tố (MFA)*, được xem là bước ngoặt quan trọng trong nỗ lực chặn đứng chuỗi tấn công chiếm đoạt tài khoản và các hình thức lừa đảo tài chính phía sau.

Theo Europol cho biết ngày 5 (giờ địa phương), *Microsoft(MSFT)* đã hỗ trợ chặn 330 tên miền có liên quan đến *từ Tycoon 2FA*. Không chỉ dừng ở việc ngăn truy cập tên miền, lực lượng chức năng còn thu giữ thêm các thành phần hạ tầng cốt lõi, cắt đứt nền tảng kỹ thuật cần thiết cho hoạt động của dịch vụ phishing này. Trong chiến dịch chung, *Coinbase* đóng vai trò quan trọng ở mảng “truy vết tài chính” dựa trên dữ liệu chuỗi khối.

Coinbase cho biết, họ đã phân tích dòng tiền trên blockchain để truy ngược các giao dịch cấp vốn cho *từ Tycoon 2FA*, qua đó hỗ trợ nhận diện được đối tượng bị cho là “quản trị viên” nền tảng cũng như nhóm khách hàng mua công cụ phishing. Theo giải thích của Coinbase, khi “hạ hạ tầng cốt lõi của Tycoon xuống offline”, cơ quan chức năng có thể cắt đứt một trong những “đường ống” chính dẫn tới việc đánh cắp thông tin đăng nhập (tên tài khoản, mật khẩu). Khi đó, tội phạm buộc phải xây dựng lại hệ thống, đối mặt rủi ro cao hơn trong khâu tái tổ chức và tái công cụ hóa nền tảng.

bình luận: Với việc các sàn lớn như *Coinbase* chủ động tham gia truy vết dòng tiền, những nền tảng *từ Phishing-as-a-Service* khó còn duy trì “vùng xám” ẩn danh như trước đây, nhất là khi mô hình kinh doanh chủ yếu dựa vào thanh toán bằng tiền mã hóa.

Theo phân tích của Coinbase, bộ công cụ của *từ Tycoon 2FA* hoạt động bằng cách dựng nên những “trang đích giả mạo” rất giống các website hợp pháp, nhằm đánh lừa người dùng tự nhập thông tin đăng nhập. Điểm nguy hiểm nằm ở chỗ công cụ này không chỉ thu thập *từ thông tin đăng nhập*, mà còn đánh cắp cả *từ session cookie* và *từ session token*, từ đó có thể vượt qua lớp bảo vệ *từ MFA*.

Về mặt kỹ thuật, khi người dùng đăng nhập và hoàn tất *từ xác thực đa yếu tố*, hệ thống sẽ cấp một *từ session token* lưu trong trình duyệt như “bằng chứng” cho thấy người dùng đã xác thực thành công. Nếu kẻ tấn công chiếm được token này, chúng có thể bỏ qua bước đăng nhập kèm MFA ở các lần sau, đăng nhập giống như chủ tài khoản thật. Coinbase cảnh báo: “Khi mồi nhử tinh vi kết hợp với việc đánh cắp *từ session token*, phishing sẽ trở thành một ‘cửa ngõ’ rất đáng tin cậy dẫn đến những tấn công quy mô lớn như chiếm đoạt tài khoản”.

Từ những tài khoản bị chiếm quyền, tội phạm có thể triển khai thêm nhiều kịch bản như tấn công *từ Business Email Compromise (BEC)*, lừa đảo hóa đơn/phiếu thanh toán, giả mạo nhân sự nội bộ để thực hiện các chiến dịch *từ social engineering* tiếp theo. Điều này không chỉ ảnh hưởng các hệ thống tài chính truyền thống mà còn là đe dọa trực tiếp với tài khoản trên sàn giao dịch tiền mã hóa.

Một trong những điểm khiến *từ Tycoon 2FA* đặc biệt nguy hiểm, theo Microsoft, là nó làm giảm đáng kể “rào cản kỹ thuật” cho tội phạm mạng. Steven Masada (Steven Masada), Phó cố vấn pháp lý thuộc Đội Phòng chống tội phạm số (DCU) của Microsoft, cho biết: tính đến giữa năm 2025, khoảng 62% số chiến dịch phishing mà *Microsoft(MSFT)* chặn được có liên quan đến *từ Tycoon*, với hơn 30 triệu email bị phát hiện chỉ trong một tháng. Masada đánh giá *từ Tycoon 2FA* đã trở thành một trong những chiến dịch phishing lớn nhất toàn cầu, khi cho phép cả những tội phạm ít am hiểu kỹ thuật cũng có thể vận hành các chiến dịch mạo danh tinh vi.

Các cuộc tấn công không giới hạn trong một ngành cụ thể. Masada cho biết từ lĩnh vực y tế cho tới giáo dục, nhiều ngành đã trở thành mục tiêu của *từ Tycoon 2FA*. Hệ quả là các “tuyến thanh toán” bị thay đổi (ví dụ tài khoản nhận thanh toán trên hóa đơn bị tráo), thông tin nhạy cảm bị đánh cắp, hệ thống mạng bị khóa, thậm chí hoạt động khám chữa bệnh bị gián đoạn. Masada nhận định, việc hạ hạ tầng của nền tảng này sẽ giúp “chặt đứt” một trong những tuyến đường chính dẫn tới chiếm đoạt tài khoản, từ đó góp phần bảo vệ cá nhân và tổ chức trước các bước tấn công tiếp theo như đánh cắp dữ liệu, phát tán ransomware, BEC và những hình thức lừa đảo tài chính khác.

Trong mảng tiền mã hóa, phishing lâu nay được xem là một trong những mối đe dọa trọng yếu. Theo báo cáo của công ty bảo mật blockchain *CertiK* công bố ngày 20 tháng 1 năm 2024 (giờ địa phương), *từ phishing* được xếp là mối đe dọa lớn thứ hai đối với nhà đầu tư, với 248 vụ việc gây thiệt hại tổng cộng 722 triệu đô la Mỹ (khoảng 1.059,1 tỷ won) cho cộng đồng nhà đầu tư tiền mã hóa. Trong khi đó, đơn vị phân tích bảo mật *PeckShield* đánh giá trong năm 2025 và sang cả năm 2026, các chiến dịch *từ phishing* nhiều khả năng vẫn là “mối nguy thường trực” trong hệ sinh thái crypto.

bình luận: Số liệu thiệt hại gần 1 tỷ đô la mỗi năm vì *từ phishing* cho thấy rủi ro không chỉ nằm ở lỗi người dùng mà còn ở sự công nghiệp hóa của mô hình “dịch vụ lừa đảo”, nơi tội phạm thuê công cụ trọn gói thay vì tự phát triển.

Giới chuyên môn cho rằng việc triệt hạ hạ tầng *từ Tycoon 2FA* chưa đủ để lập tức đánh sập toàn bộ hệ sinh thái phishing. Thay vào đó, tác động rõ rệt hơn nằm ở việc đẩy chi phí vận hành và mức độ rủi ro pháp lý của tội phạm lên cao. Một khi một nền tảng lớn như *từ Tycoon 2FA* bị “đánh gục”, các nhóm đứng sau những dịch vụ tương tự phải phân tán hạ tầng, đổi kênh thanh toán, thay đổi domain và kiến trúc kỹ thuật liên tục, làm tăng xác suất bị truy vết.

Tuy nhiên, với việc phishing vượt *từ MFA* đã chứng minh khả năng dẫn đến các vụ chiếm đoạt tài khoản quy mô lớn và lừa đảo tài chính nghiêm trọng, thị trường đang theo dõi sát sao xem liệu sẽ có thêm những chiến dịch phối hợp tương tự nhắm vào các nền tảng *từ Phishing-as-a-Service* khác hay không. Trong bối cảnh giá trị tài sản trên chuỗi ngày càng tăng, mọi diễn biến mới trong cuộc chiến giữa các nền tảng lừa đảo như *từ Tycoon 2FA* và nỗ lực truy quét từ phía sàn giao dịch, cơ quan chức năng sẽ tiếp tục là tâm điểm chú ý của cộng đồng tiền mã hóa.

bình luận: Với nhà đầu tư crypto, bài học rút ra là không thể “phó thác” hoàn toàn cho *từ MFA*. Thói quen kiểm tra kỹ URL, sử dụng trình quản lý mật khẩu, ví cứng và cơ chế đăng nhập tách biệt vẫn là lớp phòng tuyến quan trọng, ngay cả trong bối cảnh những hạ tầng lớn như *từ Tycoon 2FA* bị triệt phá.