Internationale Ermittler haben die Phishing-Plattform Tycoon 2FA abgeschaltet. Der Dienst half Cyberkriminellen, selbst MFA geschützte Konten zu kapern.
In einer internationalen Aktion haben Europol, Microsoft und mehrere Sicherheitsunternehmen den Phishing-as-a-Service-Dienst Tycoon 2FA abgeschaltet. Mehr als 330 Domains, die zur Infrastruktur der Plattform gehörten, wurden beschlagnahmt und vom Netz genommen. Koordiniert wurde die Operation vom European Cybercrime Centre (EC3) bei Europol. Die technische Umsetzung der Abschaltung übernahm Microsofts Digital Crimes Unit. Unterstützt wurde die Aktion von Sicherheitsfirmen wie Cloudflare, Trend Micro, Coinbase und SpyCloud sowie von Polizeibehörden aus mehreren europäischen Ländern, darunter Lettland, Litauen, Portugal, Polen, Spanien und Grossbritannien. Tycoon 2FA war seit 2023 aktiv und bot Phishing-Werkzeuge als Dienstleistung an. Auch weniger technisch versierte Angreifer konnten damit Anmeldedaten stehlen und Zwei-Faktor-Authentifizierungen umgehen. Dazu nutzte die Plattform sogenannte Adversary-in-the-Middle-Techniken, bei denen Zugangsdaten und Sitzungscookies in Echtzeit abgefangen werden. Nach Angaben der Ermittler wurden über die Plattform monatlich Millionen Phishing-Mails versendet. Ziel waren unter anderem Konten bei Microsoft 365, Outlook und Gmail. Insgesamt sollen mehr als 500'000 Organisationen weltweit ins Visier geraten sein. Die Abschaltung gilt als Schlag gegen Anbieter von Phishing-as-a-Service, die Kriminellen fertige Werkzeuge für gross angelegte Angriffskampagnen bereitstellen. (aso)