文章总结： 文档报道了执法部门捣毁LeakBase暗网论坛与Tycoon2FA钓鱼平台的事件，分析了两者在凭证交易与钓鱼即服务方面的运作模式。文章指出网络犯罪呈现产业化与低门槛趋势，AitM技术可绕过MFA威胁关键基础设施。建议个人使用硬件密钥与密码管理器，企业部署邮件网关、加强培训与日志监控以提升防御能力。 综合评分： 85 文章分类： 安全大事件,威胁情报,社会工程学

---

国外执法部门重拳出击：一天端掉两个网络犯罪平台

原创

千里 千里

东方隐侠安全团队

2026年3月5日 21:58 江苏

昨天，网络安全领域发生了两件大事。

Europol牵头捣毁了Tycoon 2FA钓鱼平台，FBI查封了LeakBase暗网论坛。同一天，两个全球最大的网络犯罪平台被连根拔起。

这不仅仅是执法行动的胜利，更是给整个网络安全行业敲响了警钟。

01

LeakBase暗网论坛：全球最大凭证交易平台被查封

事件回顾

LeakBase是一个在暗网运行多年的凭证交易论坛，主要买卖被盗的用户名、密码、邮箱地址，以及各种网络犯罪工具。

关键数据：

• 142,000名注册会员

• 215,000条消息记录

• 涵盖数十亿条被盗凭证

• 运营多年，是全球最大的凭证交易平台之一

这次行动由美国司法部（DoJ）主导，联合欧洲刑警组织（Europol）、德国联邦刑事警察局（BKA）、荷兰国家警察等多国执法机构共同完成。

行动完成后，LeakBase的首页已经替换为执法部门的警告横幅，上面写着：”此域名已被美国联邦调查局扣押”。

论坛的运作模式

LeakBase的运作模式并不复杂，但极其高效。

1. 会员注册制 用户需要注册账号才能访问论坛内容。论坛采用邀请码制度，新用户需要老会员邀请，或者通过地下市场购买邀请码。这种机制保证了论坛的”安全性”——执法部门难以直接渗透。
2. 凭证交易

论坛的核心业务是买卖被盗的凭证。这些凭证来源包括：

• 各种数据泄露事件中的受害者信息

• 钓鱼攻击窃取的账号密码

• 僵尸网络收集的用户数据

• 恶意软件记录的键盘输入

这些数据被分门别类，按类型、按地区、按平台销售。买家可以是其他网络犯罪分子，也可以是意图进行账号盗用的人。

3. 犯罪工具交易

除了凭证，论坛还买卖各种网络犯罪工具，包括：

• 恶意软件生成器

• 钓鱼页面模板

• 漏洞利用工具

• 僵尸网络控制面板

这形成了一个完整的地下产业链：从数据获取到工具供应，从销赃到变现，每个环节都有人在”专业”运作。

影响有多大？

LeakBase的查封影响深远。

对普通用户的影响

论坛泄露的凭证可能包含你的邮箱、社交媒体账号、甚至银行账号。虽然论坛被查封了，但这些数据已经在地下流通了很久。

如果你的账号曾经出现在数据泄露事件中，建议：

• 立即检查并更改密码

• 开启双重验证

• 使用密码管理器

对网络犯罪生态的影响

LeakBase的倒下确实会打击网络犯罪气焰，但不太可能从根本上改变地下产业的运作方式。

历史经验表明，类似的论坛被查封后，往往会有新的平台填补空缺。犯罪分子会转移到其他暗网平台，或者干脆自己搭建新的交易市场。

更大的意义在于震慑

这次行动传递了一个信号：如果执法部门有能力也有意愿打击网络犯罪，即使藏在暗网，也逃不过法律的制裁。

02

Tycoon 2FA：钓鱼即服务的产业化

事件回顾

Tycoon 2FA是一个钓鱼即服务（Phishing-as-a-Service，PhaaS）平台。

2026年3月，欧洲刑警组织（Europol）联合多国执法机构捣毁了这个平台，逮捕了平台开发者——来自巴基斯坦的Saad Fridi。

关键数据：

• 出现时间：2023年8月

• 价格：$120/10天，或$350/月

• 攻击规模：每月发送数千万钓鱼邮件

• 受害组织：近10万个

• 攻击次数：64,000次

什么是钓鱼即服务？

传统意义上，钓鱼攻击需要攻击者具备一定的技术能力：搭建钓鱼页面、编写钓鱼邮件、配置服务器、处理数据等等。

但Tycoon 2FA把这些都封装成了一个”产品”。任何人都可以购买服务，通过简单的配置就能发起钓鱼攻击。

这意味着什么？

意味着网络犯罪的门槛降低了。

以前需要懂技术才能当黑客，现在只需要有钱就行。任何人只要花120美元，就能获得一个完整的钓鱼攻击工具包。

平台的技术特点

Tycoon 2FA的技术并不复杂，但非常”实用”。

1. AitM中间人攻击

传统的钓鱼只能窃取账号密码，但如果受害者开启了MFA（多因素认证），钓鱼页面就没什么用了。

Tycoon 2FA采用的是AitM（Adversary-in-the-Middle，中间人）攻击技术。攻击流程如下：

用户 → 钓鱼页面（攻击者的中间服务器）→ 真实网站↓窃取账号密码+MFA验证码↓立即转发到真实网站完成登录

用户在钓鱼页面上输入的一切，包括验证码，都被攻击者看得一清二楚。攻击者会立即用这些信息登录真实网站，完成账户控制。

整个过程只需要几分钟。用户刚输入验证码，还没来得及反应，攻击者已经进去了。

2. 完善的Web管理面板

作为一个”服务”产品，Tycoon 2FA提供了完善的管理后台。攻击者可以：

• 创建钓鱼活动

• 选择钓鱼模板

• 监控攻击效果

• 追踪受害者

• 导出窃取的凭证

这个后台的操作体验，可能比很多正规SaaS产品还好。

1. 会话cookie窃取 除了窃取账号密码，平台还能窃取会话cookie。攻击者拿到cookie后，可以直接”继承”用户的登录状态，无需知道密码也能登录。
2. 多平台支持

平台支持对Microsoft、Google、Facebook、Twitter等主流平台发起钓鱼攻击。预制模板涵盖了最常见的使用场景。

攻击谁？

这是最值得关注的。

根据披露的信息，Tycoon 2FA的受害组织包括：

• 学校和教育机构

• 医院和医疗机构

• 金融机构

• 普通企业

近10万个组织。

关键基础设施成为目标，这本身就说明了问题的严重性。

学校

学生的个人信息、成绩单、家长联系方式，都是敏感数据。一旦被泄露，后果严重。

医院

病人的病历、处方、保险信息，比任何数据都敏感。医疗行业的网络安全投入本来就有限，往往是攻击者的”软柿子”。

金融机构

银行、保险公司，这些地方一旦被钓鱼，后果就是真金白银的损失。

为什么这么难防？

传统钓鱼邮件很好识别：奇怪的域名、语法错误、链接指向可疑地址。

但Tycoon 2FA不一样：

1. 域名看起来正常 攻击者可以使用看起来很正规的域名，不是那种一眼假的fake域名。
2. 页面跟真的一样 预制模板是专业设计的，和真实网站的登录页面几乎一模一样。
3. 实时窃取MFA 你以为是安全的，其实攻击者正在同步操作。
4. 会话cookie直接用

攻击者不需要你的密码，只需要cookie就能”继承”你的登录状态。

整个过程只需要几分钟。

你收到钓鱼邮件 → 点开 → 输入账号密码 → 收到验证码 → 输入验证码

然后，就没有然后了。

03

两件事一起看：趋势与思考

同一天内两个平台被端，不是巧合。

执法力度明显加强

过去几年，暗网论坛和钓鱼平台屡禁不绝。但现在，执法部门明显加强了协调力度。

Europol和FBI的联合行动说明，网络犯罪已经进入全球化打击时代。一个平台可能同时侵犯多个国家的利益，执法部门之间的合作也越来越紧密。

但这还不够。

Tycoon 2FA的开发者Saad Fridi在巴基斯坦被捕。问题是，如果开发者躲在没有引渡条约的国家，怎么办？

钓鱼攻击门槛持续降低

从Tycoon 2FA的模式来看，钓鱼已经高度”产业化”。

任何人只要付费就能发起攻击，完全不需要技术能力。这意味着：

• 未来钓鱼攻击可能会更多

• 攻击者会越来越”业余”

• 防守压力会越来越大

企业面临的攻击面在扩大。

以前只需要防专业黑客，现在连普通网民都可能成为潜在攻击者——只要他们愿意花120美元。

关键基础设施成为目标

两起事件中，受害者都包括学校、医院等关键基础设施。

这些地方有一些共同点：

• 安全预算有限

• 安全意识不强

• 数据敏感度很高

攻击者最喜欢挑软柿子捏。关键基础设施的安全，需要引起监管层面的重视。

AitM攻击成为新威胁

Tycoon 2FA采用的AitM技术，代表了钓鱼攻击的新趋势。

传统的MFA（多因素认证）正在被绕过。你以为开了验证就安全了，但实际上：

• 短信验证码可以被拦截

• 邮箱验证码可以被窃取

• App推送验证码同样有风险

网络安全行业的机遇

这两起事件，对网络安全行业来说是挑战，也是机遇。

挑战在于：

• 攻击手段在进化，传统的防御措施可能不够

• 攻击门槛在降低，攻击者在增加

• 关键基础设施的安全投入需要增加

机遇在于：

• 安全产品的需求会增加

• 安全服务的价值会凸显

• 行业会越来越规范

04

我们能做什么？

个人层面：

1. 别点陌生链接这是最基本的，但也是最难做到的。看到邮件里的链接，尽量手动访问而非点击。
2. 使用硬件安全密钥YubiKey这种硬件密钥是目前最安全的认证方式。它采用FIDO2/WebAuthn协议，无法被中间人攻击。
3. 用密码管理器密码管理器会自动检测钓鱼网站。如果你是在钓鱼网站输入密码，密码管理器不会自动填充。
4. 收到验证码多看一眼如果不是自己操作的验证码，立刻改密码。

企业层面：

1. 员工安全培训定期进行模拟钓鱼演练，提高员工警惕性。
2. 邮件安全网关部署专业的邮件安全产品，过滤钓鱼邮件。
3. MFA不只是短信短信验证码容易被拦截，建议用硬件密钥或Authenticator App。
4. 日志监控关注异常登录行为，及时发现账号被盗。
5. 定期渗透测试发现自己系统的漏洞，总比被攻击者发现好。

05

写在最后

LeakBase和Tycoon 2FA的倒下，是网络安全领域的一个重要节点。

但我们必须清醒地认识到：

• 这不是结束，只是开始

• 地下产业不会消失，只是转移

• 攻击手段会继续进化

• 防守压力会继续增加

网络安全不是某个技术搞定的事，是所有人的事。

• 作为个人：保持警惕，使用安全工具。
• 作为企业：系统防御，定期检查。
• 作为从业者：普及知识，帮助身边的人。
• 网络安全是一场持久战。我们能做的，就是做好自己能做的一切。

---

欢迎关注「东方隐侠安全团队」，一起探索安全的边界。

---

喜欢就关注哦

动动小手点个赞

点在看最好看

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：东方隐侠安全团队 千里 千里《国外执法部门重拳出击：一天端掉两个网络犯罪平台》