In einer konzertierten Aktion haben Europol, Microsoft und weitere Unternehmen den Phishing-as-a-Service (PhaaS) Dienst "Tycoon 2FA" lahmgelegt. Über 330 Domains, die zur Kerninfrastruktur von "Tycoon 2FA" gehörten (Phishing-Seiten, Kontrollpanels), wurden beschlagnahmt und vom Netz genommen.
Koordiniert wurde das Vorgehen von Europol (European Cybercrime Centre - EC3). Microsofts Digital Crimes Unit (DCU) führte die technische Zerschlagung durch, unterstützt von einer Koalition aus privaten Sicherheitsunternehmen (darunter Cloudflare, Trend Micro/TrendAI, Coinbase, Spycloud) und Polizeibehörden aus verschiedenen europäischen Ländern wie etwa Lettland, Litauen, Portugal, Polen, Spanien und Grossbritannien.
Der seit August 2023 aktive Dienst ermöglichte es auch weniger technisch versierten Kriminellen, Zwei-Faktor-Authentifizierungen (2FA) zu umgehen. Dies geschah durch "Adversary-in-the-Middle“ (AiTM) Techniken, bei denen Anmeldedaten und Session-Cookies in Echtzeit gestohlen wurden.
Berichten zufolge handelte es sich bei "Tycoon 2FA" um eine der grössten Phishing-Operationen weltweit, die für Zehnmillionen von Phishing-Mails pro Monat verantwortlich war und über 500.000 Organisationen global anvisierte. Es wurde oft genutzt, um auf Microsoft 365-, Outlook- und Gmail-Konten zuzugreifen. Der Hauptbetreiber der Plattform soll aus Pakistan stammen, wie die Ermittlungen ergaben.
Die Aktion gilt als schwerer Schlag gegen Phishing-as-a-Service-Anbieter, die darauf spezialisiert sind, moderne Sicherheitsmassnahmen wie MFA (Multifaktor-Authentifizierung) auszuhebeln.
