Tycoon 2FA war nicht einfach ein Phishing-Dienst unter vielen — vor einem Jahr war es praktisch der Monopolist des PhaaS-Marktes (Phishing-as-a-Service). Nach Daten von Barracuda kontrollierte Tycoon etwa 90 Prozent aller PhaaS-Aktivitäten weltweit. Der Dienst war das Rückgrat einer ganzen Cybercrime-Infrastruktur, die Tausenden von Angreifern Zugang zu professionellen Phishing-Werkzeugen bot.
Doch nach der Razzia Anfang dieses Jahres hat sich das Bild dramatisch gewandelt. Während Tycoon 2FA zunächst knapp die Hälfte des PhaaS-Marktes kontrollierte, hat die Polizeioperation die Gruppe geschwächt. Doch Sicherheitsexperten warnen vor falschen Hoffnungen: “Man kann nicht erwarten, dass eine Zerschlagung alle Aspekte dieser Operationen eliminiert”, erklärt Merium Khalid, Director of SOC Offensive Security bei Barracuda. “Die Infrastruktur, Taktiken, Techniken und der Code bleiben bestehen.”
Tatsächlich bestätigt sich dieses Szenario. Während Tycoon lediglich 80 Prozent seiner Kapazität verlor, erlebten Konkurrenzgruppen einen regelrechten Boom. Mamba 2FA, Tycoons ehemaliger Hauptkonkurrent, verdoppelte seine Angriffsrate von etwa 8 Millionen auf über 15 Millionen Attacken pro Monat. EvilProxy stieg von knapp 3 Millionen auf über 4 Millionen, Sneaky 2FA von unter 700.000 auf etwa 2 Millionen Angriffe monatlich.
Das Besondere: Die abgewanderten Cyberkriminellen bringen ihre gesamte Expertise mit. Sicherheitsanalysten haben dokumentiert, dass ehemalige Tycoon-Operateure aktiv für neue Dienste arbeiten und dabei Tycoons bewährte Methoden weitergeben — was zu noch gefährlicheren hybriden Angriffsszenarien führt.
Die beunruhigendste Entwicklung ist jedoch ein paralleler Trend: Device-Code-Phishing. Diese Technik missbraucht die legitimen Anmelde-Prozesse für neue Geräte und zirkumviert damit moderne Zwei-Faktor-Authentifizierung. Erst im November und Dezember 2024 war diese Methode noch selten. Seit Dezember beschleunigt sich ihr Wachstum kontinuierlich — in den letzten zwei bis drei Wochen wurde ein exponentieller Anstieg beobachtet.
Selena Larson, Senior Threat Intelligence Analyst bei Proofpoint, entdeckte sogar direkte Verbindungen: Device-Code-Phishing-Kampagnen, die Artefakte von Tycoon-Adressen enthielten oder Tycoons charakteristische Code-Signaturen aufwiesen. “Es ist die natürliche Eskalation”, erklärt Larson. “Zuerst zielten Angreifer auf Passwörter ab. Dann kam MFA. Jetzt umgehen sie MFA durch Device-Code- und OAuth-Phishing.”
Für deutsche Organisationen bedeutet dies: Die Zeiten, in denen MFA als sicherer Hafen galt, sind vorbei. Unternehmen müssen ihre Sicherheitsstrategien neu überdenken und auf fortgeschrittene Detektionsmethoden setzen — bevor die nächste Generation von Phishing-Angriffen vollständig Fuß fasst.