Domeinnamen phishing-as-a-service platform Tycoon 2FA offline gehaald

In dit artikel:

Een internationale actie onder leiding van Europol en Microsoft, met medewerking van techbedrijven (onder meer Cloudflare, Coinbase, Intel471, Proofpoint, Shadowserver, SpyCloud, Trend Micro) en opsporingsdiensten uit Letland, Litouwen, Portugal, Polen, Spanje en het Verenigd Koninkrijk, heeft honderden domeinnamen van het phishing‑as‑a‑serviceplatform Tycoon 2FA offline gehaald. Daarbij zou ook de hoofdontwikkelaar van de dienst zijn geïdentificeerd.

Tycoon 2FA leverde kant‑en‑klare phishingkits: templates, hostingconfiguraties, attachments (.pdf/.docx met QR‑codes, SVG/HTML‑bestanden), redirect‑links en tracking. De gegenereerde phishingsites imiteerden inlogpagina’s van Google en Microsoft en functioneerden als man‑in‑the‑middle: ingevulde inloggegevens en zelfs ingevoerde 2FA‑codes werden direct op de echte pagina’s geprobeerd, waardoor veelgebruikte vormen van multi‑factor‑authenticatie (sms, one‑time codes, pushmeldingen) konden worden omzeild.

Volgens Europol en Microsoft was Tycoon 2FA halverwege vorig jaar verantwoordelijk voor ongeveer 62% van alle phishingaanvallen die Microsoft blokkeerde. Het platform verzond naar verluidt tientallen miljoenen phishingmails per maand naar meer dan 500.000 organisaties; sinds 2023 zijn naar schatting ruim 96.000 unieke slachtoffers gemaakt, waaronder meer dan 55.000 Microsoft‑klanten. In totaal zijn 330 domeinnamen offline gehaald tijdens de operatie.

Microsoft en de deelnemende partijen raden organisaties en gebruikers aan over te stappen op phishing‑bestendige authenticatiemethoden, zoals FIDO2‑securitykeys (hardware‑sleutels die phishing via vervalste websites veel moeilijker maken). De ontmanteling van Tycoon 2FA verlaagt tijdelijk het risico, maar experts waarschuwen dat phishing‑as‑a‑service het misbruik vergemakkelijkt en nieuwe, vergelijkbare diensten kunnen opduiken zolang preventieve maatregelen en handhaving nodig blijven.