1 day ago
2
Es gibt mal wieder Neuigkeiten von der Front gegen Cyberkriminalität, dieses Mal trifft es eine ziemlich große Nummer. Eine international koordinierte Aktion hat die Phishing-as-a-Service-Plattform „Tycoon 2FA“ vom Netz genommen. Das Ganze lief unter der Federführung von Europol und involvierte sowohl Strafverfolgungsbehörden als auch diverse Partner aus der Privatwirtschaft. Tycoon 2FA war kein kleines Licht, der Dienst war darauf spezialisiert, Multi-Faktor-Authentifizierung (MFA) zu umgehen.
Abonnenten des Dienstes konnten ein Toolkit nutzen, um laufende Authentifizierungs-Sessions abzufangen. Das Ziel: unbefugter Zugriff auf Online-Konten, auch wenn diese eigentlich durch zusätzliche Sicherheitsebenen geschützt waren. Im Rahmen der Operation wurden 330 Domains beschlagnahmt, die das Herzstück der Infrastruktur bildeten, darunter Phishing-Seiten und Kontrollpanels. Microsoft leitete die technische Abschaltung, während Behörden in Lettland, Litauen, Portugal, Polen, Spanien und Großbritannien die Beschlagnahmungen durchführten.
Der Dienst war seit mindestens August 2023 aktiv und hat Cyberkriminellen den verdeckten Zugang zu E-Mail- und Cloud-Diensten ermöglicht. Die Zahlen sind durchaus heftig: Die Plattform generierte monatlich wohl zig Millionen Phishing-Mails und ermöglichte den Zugriff auf fast 100.000 Organisationen weltweit. Mitte 2025 gingen rund 62 Prozent aller von Microsoft blockierten Phishing-Versuche auf das Konto von Tycoon 2FA.
Die Ermittlungen kamen ins Rollen, nachdem Trend Micro Informationen geteilt hatte. Über Europols Cyber Intelligence Extension Programme (CIEP) arbeiteten dann Firmen wie Microsoft, Cloudflare und Coinbase direkt mit den Ermittlern zusammen.
