Tycoon 2FA war als abonnementbasierte Plattform aufgebaut, die es Angreifern erlaubte, sich als andere Nutzer auszugeben, Phishing-Seiten anzulegen und die Multi-Faktor-Authentifizierung auszuhebeln. Damit konnten Authentifizierungssitzungen in Echtzeit abgefangen und Zugänge zu E-Mail- und Cloud-Konten übernommen werden, ohne Warnmeldungen auszulösen.

Microsoft beschreibt den Dienst als fertiges Paket, das überzeugende Phishing-Vorlagen, realistische Landing-Pages und das Abgreifen von Zugangsdaten und Authentifizierungscodes in Echtzeit kombinierte und sich schnell skalieren ließ. Durch die niedrige technische Einstiegshürde hätten auch Kriminelle mit geringem Fachwissen anspruchsvolle Identitätskampagnen durchführen können.

Nach Angaben des Konzerns entfielen im vergangenen Jahr etwa 62 Prozent der von Microsoft blockierten Phishing-Versuche auf Tycoon 2FA. Über die Plattform seien monatlich Phishing-E-Mails in zweistelliger Millionenzahl an 500.000 Organisationen verschickt worden. Seit 2023 werde der Dienst mit schätzungsweise 96.000 verschiedenen Phishing-Opfern weltweit in Verbindung gebracht, darunter mehr als 55.000 Microsoft-Kunden.

Die Zerschlagung stützte sich auf Gerichtsbeschlüsse, Erkenntnisse großer Sicherheitsfirmen und die Beschlagnahme von 330 aktiven Tycoon-2FA-Domains, einschließlich Steuerungspanels und Phishing-Seiten. Nach Angaben von Europol waren Strafverfolgungsbehörden aus Lettland, Litauen, Portugal, Polen, Spanien und dem Vereinigten Königreich an der Aktion beteiligt.

Auf Seiten der Privatwirtschaft wirkten Cloudflare, Proofpoint, Intel471, TrendAI, Resecurity, SpyCloud und eSentire mit, dazu die Kryptowährungsbörse Coinbase, die Kanzlei Crowell sowie die Sicherheitsorganisationen Shadowserver und Health-ISAC.

Neben der Abschaltung der Infrastruktur wurden rechtliche Schritte gegen mehrere Personen eingeleitet, die im Verdacht stehen, den Dienst betrieben zu haben. Dazu zählt der in Pakistan ansässige Saad Fridi, der als Hauptentwickler der Plattform gilt.